インスタのサードパーティ製アプリによるアクセス制限対応が遅々として進まないワケ

Instagram(インスタグラム)は、しばらくほったらかしになっているサードパーティ製のアプリから、ユーザーの個人データを守るための機能を、ゆっくりと展開し始めた。Instagramのユーザーデータへのアクセスをいったん許可したアプリの認証を取り消す機能だ。こうしたアプリには、Instagramの写真をプリントするために使ったウェブサイト、色々な出会い系のアプリ、コラージュを作成したり、もっとも人気のある自分の写真を見つけたりするためのツールなどが含まれる。

ユーザーのアカウントへの、サードパーティ製アプリからのアクセスを削除するツールを提供することは、プラットフォームプロバイダーにとって、かなり一般的なセキュリティ対策の1つになっている。Instagramは、そのような機能を提供するのが遅れている。TwitterFacebook、それにGoogleなどは、もう何年も前から、そうした機能を提供してきた。

そしてInstagramは、その機能の導入を急いでいるような様子もない。

同社によれば、今回の新しいセキュリティ機能は、徐々に展開されるように設計されているため、すべてのユーザーに行き渡るのに、なんと6ヵ月もかかるという。普通は、ほとんどの新機能は数日から、長くても数週間以内に展開されるもの。半年もかかるというのは稀だろう。

このような遅い動きは、非難されてしかるべきだろう。Instagramの親会社、Facebookの大規模な個人データの扱いに関するスキャンダルを思い出せば、なおさらだ。それは、Cambridge Analyticaという調査会社が、サードパーティアプリを使って、Facebookのユーザーデータを不正に収集していたというものだった。

たしかにInstagramは、Facebookと比べれば、詐取可能な個人情報の宝の山というわけではないかもしれない。しかし、何年も前に1回使っただけのアプリに、Instagramのユーザー名、写真、すべてのキャプション、投稿のタイムスタンプ、記事へのリンク、といった情報へのアクセスを許可したままにしておく必要は、まったくない。もし、親しい友人や家族とだけコンテンツを共有するために、プライベートアカウントのままにしている場合、このようなアプリからのアクセスは、余計に不快に感じられるはずだ。

Instagramは、この機能の展開が、なぜそんなに遅いのか、公の発表では明らかにしてない。しかし実は、サードパーティのデベロッパー用のAPIの変更とリンクしているようだ。同社はデベロッパーに対して、Instagram Legacy API Platformから、Facebook Graph APIに移行するための時間的猶予を与えている。

デベロッパー向けの発表で説明されているように、新しいAPIは「ユーザーのプライバシーと安全を保護しながら、適切な消費者のユースケース」を可能にする。その中には、ユーザーが、どの情報をアプリと共有するかを選択し、その他の情報へのInstagramのモバイルアプリを経由したアクセスを無効にする機能が含まれている。古いAPIプラットフォームは、2020年3月2日に廃止されることになっている。

この機能の展開が遅い理由は、デベロッパーにアプリの変更のための時間を与えているからだと、Instagramはユーザーにはっきり伝えるべきではないだろうか。しかし実際には、そのことについては触れていない。そのため、その機能の展開が遅いのは、ユーザーにとって優先すべき重要なものだとInstagramが考えていないからだ、といったレポートが出回ることになる。

新しいセキュリティ設定が使えるようになると、その機能はInstagramアプリの「設定」に組み込まれる。その中の「セキュリティ」→「アプリとウェブサイト」を開くと、アクティブなアプリのリストを見ることができる。そのリストの中から、自分のInstagramアカウントに接続させたくないアプリの名前の横にある「Remove」をタップすればいい。

この機能と合わせて、Instagramは、アカウントに接続するアプリを認証する際の画面もアップデートしたことを明らかにした。その画面には、アプリをユーザーのInstagramアカウントに接続しようとする際に、アプリが要求するすべての情報を詳細に表示する。もし要求が度を過ぎたものと感じたら、「Authorize(認証)」ではなく、「Cancel」を選べばいい。

まだこの新機能が使えるようになっていないという人も、おそらく2020年のいつかには使えるようになるのではないだろうか。

原文へ

(翻訳:Fumihiko Shibata)

米政府機関は依然としてクレジット履歴を認証に利用、Equifaxの1.4億人情報漏えいの教訓生かされず

多数のアメリカ政府機関がユーザー認証に依然としてクレジット情報を利用していることにGAO(米会計監査院)が強い警告を発した。

GAO(Government Accountability Office)は先週の6月14日にEquifax問題の現状分析と勧告を発表し、いくつも米政府機関がクレジット情報企業のEquifax、Experian、TransUnionのデータを本人認証に利用しているとしているとしてこれを中止するよう勧告した。Equifaxは2017年にハッカーに侵入され、被害者が1.4億人以上、史上最悪のデータ漏えい事件の1つとなっている。

米国の郵便公社(Postal Service)、社会保障庁、退役軍人省、CMS(メディケアおよびメディケイド運営センター)は新規ユーザーがサイトを閲覧しようとするとき本人確認のためにいくつかの質問をし、答えを本人のクレジット情報と比較していた。クレジット情報は本人以外知りえないはずだから認証データとして役に立つつという考え方だ。

GAOのレポートは「2017年のEquifaxのデータ漏えい事件でこうした手法は安全でないことが示された」と警告する。

Equifaxに達するハッキングで1億4800万人のクレジットカードデータが盗まれた。こうしたデータの多くの部分がデータ所有者の明示的同意なしに収集されたものだった。後日の調査により、このデータ漏えいは「100%防げた」ことが明らかにされた。Equfaxがもっとも初歩的なセキュリティ対策を怠っていたことが漏えいの原因だった。GAOのレポートはこう述べている。

NIST(米国立標準技術研究所)はデータ漏えい事件直後に「本人認証のためのデータをクレジット履歴と照合することはユーザーデータの漏えいやなりすましを招く危険性がある」としてこうしたクレジット情報の知識ベースを利用した認証はただちに止めるべきだというガイドラインを発表した。

しかし政府機関側は「新しい認証システムの構築には多額の予算が必要であり、一部の地域ではユーザー認証が不可能となる」として反対していた。

復員軍人省だけは新しい認証システムを構築したが、それでも一部のケースではクレジット情報との照合に頼っている。

クレジット履歴を認証に利用することにはもうひとつの問題がある。クレジットカードを持っていなければクレジット履歴も作られない。クレジットカードを持っていなければこうした政府機関のサイトを閲覧できないことになる。つまり合法的に米国のビザを取得としていても多数の外国人労働者が政府機関のサイトから閉め出されることを意味する。2015年の推定だが、米国では2600万人にクレジット履歴がないという。

GAOは「米政府機関がクレジット履歴ベースの本人確認を中止しないかぎり、ユーザーは個人情報窃取の危険性にさらされる」と強く警告している。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook

Microsoft、ログインシステムの重大バグを修正――2段階認証のOfficeアカウントでも乗っ取れた

いくつかのバグを組み合わせると他人のMicrosoftアカウントを簡単に乗っ取れたことが判明した。これはユーザーに偽のリンクをクリックするよう仕向けるものだ。safetydetectiveは記事の公開に先立ってTechCrunchに内容を報じた。

Sahad Nkはsafetydetectiveと協力するインド在住のプログラマーで、脆弱性の発見を専門にするいわゆるバグ・ハンターだ。NkはMicrosoftのサブドメイン、success.office.comのコンフィグレーションが正しくないことを見つけ出した。

このサブドメインはOfficeへのログインにあたって使われるもので、CNAMEレコードというのはDNSが名前を解決するときに参照するソーン・ファイル中のデータだ。safetydetectiveの記事によれば、Nkはhost checkによりCNAMEにsuccessor.officeの別名として自身のサイトを書き込み、このサブドメインをコントロールすることができるようになったという。

ユーザーがMicrosoftのLive login systemを使ってOffice、Store、Swayのアプリにログインを試みた場合、Nkは自分がコントロールするサイトを利用して認証ずみログイン・トークンを送ることができることも発見した。

この脆弱性はアプリが正規表現のワイルドカードを使ってoffice.comすべて(Nkがコントロールするサブドメインも含めて)を信頼済みとして扱うというバグに由来する。

ハッカーはこの脆弱性を利用するために特別に書かれたリンクをメールで送ることができる。ユーザーはMicrosoftのログイン・システムにユーザー名とパスワード、(有効にしている場合は)2段階認証コードを入力する。システムはいちいちこの手続を何度も繰り返さなくてもすむよう、ユーザーをログインした状態に保つためのアクセス・トークンを入手できる。アクセス・トークンを入手するのは認証情報をすべて入手するのと同じことだ。攻撃者はアンチ・マルウェア・サービスに気づかれることなく自由にユーザー・アカウントに侵入できる。今年、これに煮たアカウント・トークンの脆弱性は3000万人のFacebookアカウントに危険をもたらしている。

悪意あるサイトを通じてMicrosoftのログインシステムを作動させるように書かれたリンクは無数のユーザーに極めて深刻な危険をもたらす。攻撃者は自分がコントロールするサブドメインを通じてアクセス・トークンを入手できるだけでなく、そのために用いるURLもまったく正常なものとみえる。ユーザーはMicrosoftのログイン・システムを使って正常にログインできるし、URLからwreplyパラメータをチェックしても悪意あるサイトはOfficeのサブドメインだから不審は発見できない。

これはつまり、個人だろうと大企業だろうと、どんなOfficeアカウントにも攻撃者が簡単にアクセスできることを意味する。また悪意あるサイトであることを発見することも不可能に近い。

Nkと協力者のPaulos Yibeloは問題をMicrosoftに報告し、同社はこの脆弱性を除去した。

Microsoftの広報担当者はTechCrunchの問い合わせに対して、「Microsoft Security Response Centerはこの問題を検討し、 2018年11月に対応策を実行した。これによりCNAMEレコードからNkが作成したAzureのインスタンスは除去された」とメールで回答してきた。

MicrosoftはNkの貢献に対してバグ発見報奨金を支払った。

原文へ

滑川海彦@Facebook Google+