Kyojiのよろずひとりごと

作曲家、編曲家、ピアニストそして製作会社の経営者ですが、ここでは音楽以外の社会一般のことの雑感について書きます。

穴だらけのセキュリテイのSNS

実はまたSNSでひどい目に遭いました。

フォロワーの一人の一人が明らかにスパムによるハッキングに遭ってスパムメールを自動的に片っ端から送るウイルスのようなものに犯されていたのでそれを知らせてあげたのですが不覚にも同じスパムにやられてしまい、今度は私のtwitterのフォロワーの方に迷惑をかけてしまいました。実にお恥ずかしい限りであり、しかけた輩が腹立たしいです。

実はtwitterでは何者かにアカウントを乗っ取られるのは珍しくなく私のフォロワーの方も何人かその憂き目に遭っています。

それにしてもこれほどこういうことが多発するのはtwitterのセキュリテイというのはこんなに穴だらけなのか、とも思ってしまいます。

そんな折こんな記事を目にしました。

鉄壁であったファイアウォールの力はなぜ衰えたのか?
穴だらけのファイアウォールはもう要らない
http://ascii.jp/elem/000/000/601/601598/

>この数年、Webアプリケーションの台頭が著しい。業務アプリケーションのWeb化は1990年代後半から進められてきたが、2004年に「Web 2.0」が提唱されて以降、その流れは一気に加速している。昨今ではAjaxやリッチクライアントの技術が進化したことで、Webブラウザ上であってもローカルアプリケーションと同じような操作性が実現されている。「Webアプリケーションの使い勝手が悪い」というのは、すでに過去になりつつあるのだ。

 こうしたなか、最新技術を採用したGoogle AppsSalesforce CRMなどのWebアプリケーションを月額課金で利用するSaaSが一般化しているほか、昨今ではTwitterFacebookといった個人向けのサービスをビジネスで活用しようという動きも盛んになってきている。また、PCへのインストールを要するアプリケーションも、ネットワークを介して他のノードとやりとりしたり、クラウドと連携するという形態が増えており、純粋にPC単体やLAN内のみで使うアプリケーションはもはや少なくなっているといえる。

<中略>

たとえば、Webブラウザの通信はLAN内のPCのリクエストを、インターネット上のWebサーバーにHTTPの80番ポート宛てで送信し、Webサーバーからも同じポートを経由して、LAN内のPCにレスポンスを返すという流れになる。そのため、Webでの通信のみ許可するのであれば、LANからインターネットへのHTTPの80番ポートはOK、その他は遮断というルールを適用する。これにより、LANからインターネットにはHTTPのWebブラウジングのみ利用を許可することができる。

 しかし、世の中のほとんどのWebアプリケーションはHTTPやHTTPS、つまり80番ポートや443番ポートを利用する。実際にSalesforce CRMTwitterFacebookYouTube、そしてGmailGoogle カレンダー、GoogleドキュメントといったGoogle Appsなどのアプリケーションはすべてこの80/443番ポートを利用する。同じポートを複数のアプリケーションが使ってしまうので、ポート番号ではどのアプリケーションかを識別できない。
 また、80番ポートのみならず高度な手法でファイアウォールを越えてしまうアプリケーションも多い。たとえば、Skypeは空いているポートを勝手に探して使ったり、通信自体をSSLでトンネル化したり、あるいは通信が可能な他のSkypeノードをプロキシとして利用する。アプリケーション自体がファイアウォール越えを前提として作られているのだ。その他、昨今話題となっているTOR(The Onion Router)やUltrasurfなどの匿名プロキシやHamachiなどのトンネリングアプリケーションも、ファイアウォールやURLフィルタリングを容易に越えてしまう。こうしたツールやサイトは、検索するだけで簡単に見つかってしまうため、エンドユーザーは簡単に利用まで行き着く。HTTPのWebブラウジングを許可しただけで、ほとんどのアプリケーションがファイアウォールを素通りすることになるわけだ。
 だが、こうしたネットワークアプリケーションの台頭は、企業の情報管理にとって大きな脅威となっている。外部からのウイルスやスパイウェアといわれる不正プログラムの侵入や迷惑を引き起こすスパムメール、逆にビジネス情報や個人情報の漏えいといった事態を引き起こす可能性が高まっているからだ

つまり「アプリ」というものはどれも「ファイアーウオール越え」を前提として開発されているということがわかったわけですね。つまり最近のweb環境ではファイアーウオールやhttpsは事実上機能していないに等しいということらしいですね。スマホのアプリも殆どがそうだと思われます。

ということは「アプリ」の多い現代のweb環境ではセキュリテイを信頼するのは極めて危険、ということになります。

twitterfacebook「アプリ」を多用することから実質的にその「アプリ」によってセキュリテイは実態は穴だらけという状態で、先ほどのスパムの例はまさにその不審な「アプリ」が原因で起きたものと思われます。

facebookもスパムアプリが多発しており、その意味ではfacebookも実情はセキュリテイは実態は穴だらけという状態といって差し支えないと思います。少なくともアプリを多用するサイトでセキュリテイを信頼するのは危険かもしれません。その点ではmixiも事情が同じかもしれません。

特にアメリカ系のIT会社では情報を可能な限り多くの人間が共有できることが望ましいという雰囲気があり、その関係でセキュリテイがおおろそかになる傾向が強いといっていいかもしれません。先日の私の記事

iphone facebook連携ー知らない間に自分の非公開情報が
http://d.hatena.ne.jp/KyojiOhno/20120929

もそうしたアメリカのIT会社のセキュリテイに対する意識の甘さを象徴しているように思います。

日本のITギーグやITジャーナリストはアメリカのIT会社を半ば崇拝するような傾向が見えますが、ある意味アメリカのIT会社のセキュリテイ意識って結構いい加減なところがあることがわかります。

いずれにせよtwitterにせよfacebookにせよ、安易に自分の個人情報を入力するのはできればやめた方がいいと思います。ましてクレジットカード等の重要な情報を入れるなどとんでもない、ということがいえます。

それにしても今回は本当にひどい目に遭いました。
どうもSNSでこういう嫌な思い出ができることが多いので困りますね。