無縫地帯

今年も大規模な個人データ流出は止まらないようです

英語圏で流行中の「Snapchat」ですが、このほど大量のデータ流出があったようで、しかも事前にハッカーグループから脆弱性の指摘があったのを無視していたという話です。

山本一郎です。美しく年を重ねていった末に美輪明宏みたいな有様になりたいと願っています。

ところで、新年早々460万人分のユーザーデータ流出というかなり規模の大きな事件があったようです。

460万人分のユーザーデータ流出のSnapchat、APIの脆弱性は昨年8月に警告されていた(TechCrunch Japan 2014/1/3)

Snapchatは460万人分のユーザー名と電話番号が漏洩した件について公式ブログに記事を発表した。それによるとデータが盗まれたのはAPIの濫用が原因だったという。同時に電話番号から対応するユーザー名が検索できるデータベースの仕様に問題があったことを認めた。TechCrunch Japan
この事件が興味深いのは、Snapchatの運営側がわざわざデータ流出する可能性のある問題点を抜本的に改善しないまま、さらなる穴を広げるような行為を行っていた点でしょう。

Snapchatは去る12月7日にFind Friends APIを利用して大量のユーザーデータを取得する方法をわざわざブログで公開するというセキュリティー史上まれに見る理解に苦しむ行動に出た。TechCrunch Japan
これに対して、従来からSnapchat側にセキュリティ上の不備を指摘してきたハッカーグループと思われるGibson Securityが警告の意味を兼ねて攻撃を仕掛けたわけですが、この時点ではまだSnapchat側が何らかの対応をしていれば最悪の事故は防げたと思われます。

「Snapchat」のエクスプロイトコード、セキュリティ研究者らが公開(CNET Japan 2013/12/26)

Gibson Securityは、Snapchatがこれまで公開していなかった開発者APIと2つのエクスプロイトを実行するために必要なコードを公開した。これらのエクスプロイトは、電話番号と氏名の大規模なマッチングのほか、大量の偽アカウントの作成を可能にするというもの。Gibson Securityは8月、Snapchatに存在するセキュリティ問題を指摘したが、これまで無視されてきた。CNET Japan
Snapchat側はこの事態に直面しても特に対策を行うことはしなかったようで、結果として上記のエクスプロイトコードによって460万人分のユーザーデータが流出した訳です。なお、事件が起きてからもSnapchatではこの情報流出が問題であったという認識はしていないようである点も興味深いです。

Snapchat、ユーザー情報流出問題に対処すべく新バージョンを公開へ(CNET Japan 2013/1/4)

Snapchatは、同アプリのユーザー460万人分の電話番号と名前が流出した原因と言われているプライベートAPIの脆弱性について、依然として謝罪するつもりはないようだ。(中略)Snapchatの主張によると、外部から脆弱性と考えられているものは重要な検索機能にすぎず、同機能が信用できない人物によって攻撃されているという。問題のこの機能は「Find Friends」と呼ばれるもので、ユーザーはSnapchatを利用している友達から検索できるよう、自身の電話番号の入力を求められる。
460万人分の個人情報を晒すというような形でエンドユーザーを犠牲にしてまでしてセキュリティの不備を訴えるという行為が正当化されるとは全く思えませんが、同時にそうした事故が起きる可能性を知っていながら無視して全く対応しなかった拙い企業姿勢も驚くべきものがあります。さすがに米国内でもこうしたSnapchat側の姿勢に対しては疑問視する声が多いようです。

驚いたことにSnapchatのコメントには迷惑をかけたユーザーへの謝罪が一言もない。過失を認めることになるのを恐れたのかもしれないが、まずい対応だという気がする。(中略)Snapchatの最初の間違いはセキュリティー専門家の意見を無視したところにある。Gibson Securityが警告を発したのは昨年8月で、問題が公表されるはるか前だったのだから、その間にSnapchatは真剣にセキュリティーの改善に取り組むべきだった。TechCrunch Japan
甘く見てたんじゃないかと問われるとCEOは、「あの対応で十分だと思ったんですけどね、たはは」と笑って受け流し、「謝罪の言葉もないんか!」と二度呆れられている。Long Tail World
Snapchatは米国などの若年層において大ブレイク中のSNSですが、日本ではほとんど話題になっていないようですから日本人ユーザーが今回の被害に遭ったという可能性はかなり低いのかもしれません。しかし、こういう杜撰な運営によるSNSを通じての大規模な個人情報流出というのは今後さらに増える可能性があるので気になる事件ではあります。

ちなみに、Snapchatが日本でサッパリ流行っていないのをいいことにして、ほぼそっくりな感じのサービスをDeNAが昨年末に提供を始めたようです。「面白い画像を共有するというコミュニケーションスタイルが10代を中心に改めて注目されていることを受けて本アプリを開発」とのことですが、「ヤヴァい画像を送ってみんなで盛り上がれ!」というコンセプト自体あまり趣味がよろしくないのが気になるところです。まぁ、とにもかくにもセキュリティ面だけはしっかりとやっていただきたいものです。

フレーム、エフェクト、落書きの各機能で友達と盛り上がれる爆笑画像に加工5秒で消える画像メッセンジャー「5sec snaps(ファイブセック スナップス)」の提供を開始(DeNAプレスリリース)

こういう全面的になりふり構わない感じがとても各社素敵で、年始早々終末な感じがしてグーですね(死語)。

本年もよろしくお願い申し上げます。