記事本文
mixi の足跡を本人に悟られずに取得するネタ
やねうらお-よっちゃんイカを買いに行ったついでに家を買う男 - mixi hacks で、本人の意図しないところで足あとを取得できる手段が紹介されていますが、定期的にこういった話は浮上しますね。 私が知る限りで mixi 関連のものを簡単に羅列してみましょう。
- インターネット殺人事件 : 日記 : 2005-02 にて今回のものと同様の発想が提唱されました。
既存のアクセスログより多くの情報が取れるというか、 ある程度個人が特定できるところがミソ。
- 私が書いた記事ですが、 mixi における CSRF ではまちちゃん事件について触れています。
- fladdict.net blog: MIXIを使った、トラフィックの個人追跡システムにて、考えられる具体的な被害について考察されています。
ウチみたいな弱小個人サイトがこれをやっても意味がありませんが、仮にここが違法ポルノサイトだったらどうでしょう?それもチャイルドポルノなどの社会的地位を確実に破壊する類のモノです。MIXIから個人情報が紐つけられてしまえば、脅迫なんだろうとなんだろうとやり放題です。
- mixi足あとちょう :: ぼくはまちちゃん! ( http://hamachiya.com/junk/mixilog.html ) にて実例。 mixi にログインした状態で http://hamachiya.com/junk/mixilog.html にアクセスすると足あとが記録されます。いぬビーム - mixiアカウントだだもれ中にて自衛策が紹介されています。
- そしてやねうらお-よっちゃんイカを買いに行ったついでに家を買う男 - mixi hacks 。
これらは mixi 関連にのみスポットを当てて集めましたが、 CSRF 全般で言えばもっともっと多くの記事が存在しますし、 mixi 関連でも取り上げていない記事もあります。
対策方法をいくつか
いぬビーム - mixiアカウントだだもれ中でも自衛策が紹介されていますが、ここでも考えてみましょう。
- Cookie を保持しないようにする
-
Movable Type における CSRF の可能性と各種対処法でも紹介しましたが、ログイン中は他のサイトを見ないようにする、他のサイトを見るときは必ずログアウトするといった方法や、ブラウザの Cookie をオフにするといった方法、ブラウザを使い分けるといった方法をとることで、意図せずに足あとが記録される可能性を防ぐことができます。
- 足あとと紐付けられてしまうと困る情報を mixi 内に公開しない
-
現在のユーザ数を抱える mixi では招待制というシステムによる安全性は保証できませんし、前項のように足あとによって mixi 内の情報とアクセスログが簡単に紐付けられてしまいます。 パスワードによる認証がかかっている SNSだからと、安易に、そして過剰に自分の情報を曝け出していませんか ?
- 足あとと紐付けられてしまうと困るサイトを見ない
-
こういった問題に限らず、 web サイトを見る場合はリモートホストなどの情報は常に ( サイトの管理者から見たら ) オープンになっています。 例えて言うなら、身分証を堂々と付けて街を歩いているようなもの。 普通の web サイトの場合はその身分証に書かれているのは所属と ID ナンバー程度のものですが、ひとたび mixi の足あとと紐付けられると、それが顔写真付きでかつ名前入りのものになるようなものです。
例えば、あなたが娯楽系サイトを運営していると仮定し、 *.go.jp というリモートホストがアクセスログに残っていたとしましょう。 *.go.jp というのは国の機関に与えられるドメインで、業務上必要な情報をあなたの娯楽系サイトに求めてきたのかもしれませんし、単純に仕事中にサボって見ているのかもしれません。 これだけではあくまで国の機関からのアクセスというのが分かるだけで、その中の誰がアクセスしてきたかは容易には分かりません。 しかし、 mixi の足あとと紐付けると、誰がアクセスしてきたかは分かります。 例え本名が分からなくも、その足あとの人が国の機関の人間だろうというのは分かります。 それを元に、職務専念義務違反で強請ることができる……かもしれません。
- Firefox の拡張機能で防ぐ
-
楓 software / Firefox 拡張 / mixi external site blocker ( mixi外からのアクセスを排除するFirefox 拡張 ) という、
不用意に足あとなどを付けてしまう事を回避
する拡張機能が公開・配布されています。
というか、はてなブックマークの CSRF 脆弱性とその対策への流れでも言いましたが、個人情報に容易に到達できるログイン状態のまま web を歩いているということをもっとみんな自覚した方が良いと思います。
mixi の場合は、常にログインしておく必要性は低いのですし。
このように「ユーザーの意図しないところで勝手にユーザーの情報が送信されてしまって本当にいいのか?」と思うのだが
とありますが、常に持ち歩かなくていい mixi の中の情報を、多くのユーザはわざわざ外でも持ち歩いているという現状もどうかなあと思うのです。
それ以前に足あと機能が無くなれば、少なくとも mixi 関連の問題は解決しそうな気もしますが。
トラックバック送信先
- やねうらお-よっちゃんイカを買いに行ったついでに家を買う男 - mixi hacks
-
常に持ち歩かなくていい mixi の中の情報を多くのユーザはわざわざ外でも持ち歩いているという現状もどうかなあと思うのです。
