タダほど高いものはない？ ツールバーの履歴収集：セキュリティクラスタ まとめのまとめ 2012年8月版

8月は、Webブラウザにアドインして利用する「検索ツールバー」の問題が大きくクローズアップされました。ほかにも、話題の市長がうっかり名簿をさらしたり、SQLインジェクションで世界中のサイトが被害に遭ったりと、暑い中でも休みなく事件は起こりました。

[山本洋介山，bogus.jp]

　8月は、Webブラウザにアドインして利用する「検索ツールバー」の問題が大きくクローズアップされました。以前から多数のツールバーが提供されてきましたが、最近話題の「Tポイント」がツールバーを公開したことを機に、その「怪動作」を調べた人が多かったようです。

　また、「セキュリティキャンプ」が開催され全国から未来のハッカーが千葉に集結し、ブートキャンプに挑んだり、話題の市長がうっかり名簿をさらしたり、SQLインジェクションで世界中のサイトが被害に遭ったりと、暑い中でも休みなく事件は起こりました。

ツールバーがWeb閲覧履歴を送信して大騒動

　このところプライバシーの問題で議論の俎上に載せられることの多いカルチュア・コンビニエンス・クラブ（CCC）の「Tポイント」が、「検索を行うとポイントが貯まる」というふれこみで「Tポイントツールバー」というツールを公開しました。

　検索するだけでポイントが貯まることから、喜んでインストールする人も多かったと思います。しかし、タダほど高いものはありません。このツールバーも例外ではなく、ポイントがたまる代わりに、その人のWeb閲覧履歴を送信することになっていました。

　このこと自体は利用規約にも書かれていたため、きちんと読んでさえいれば問題はそれほどなかったともいえます。しかし、ツールバーの挙動を調べたところ、SSLによる暗号化通信を行った際も、なぜかその履歴が送信されることが判明しました。

　例えば、SSLでセッションIDつきのURLにアクセスした場合でも、平文でセッションIDを含んだアクセス履歴が送信されてしまいます。もし通信経路の途中で盗聴があった場合、大変なことになってしまうわけです。

　「さすがにこれはまずかろう」とたくさんの人が指摘したからか、CCCは8月15日にツールバーのダウンロード提供をいったん中止し、Web閲覧履歴の取得も停止したほか、これまでに取得した閲覧履歴も8月31日に削除することになりました（Tポイントツールバーに関する重要なお知らせ）。

日記書いた Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる | 徳丸浩の日記 blog.tokumaru.org/2012/08/t-poin…

— 徳丸　浩 (@ockeghem) August 10, 2012

Tポイントツールバーは「パケット解析するとTポイントが貯まるスニファー」という触れ込みでリリースしてればこんなに叩かれることも無かった

— ROCA (@rocaz) August 10, 2012

　これで騒ぎが収まるかと思いきや、今度はクレディセゾンが運営するポイントサイト「永久不滅.com（永久不滅ドットコム）」のツールバー、「永久不滅プラス」が同様にWeb閲覧履歴を送信していることが明らかになりました。

　このケースでも閲覧履歴を送信する旨は規約に明記してあったため、それだけならばまだ大きな問題とまではいえないかもしれません。しかし、データを送信することを許可する「モニター登録」をする、しないにかかわらず、インストールしただけで勝手に履歴が送信されることが明らかになり、Tポイントツールバーよりもタチの悪いツールだと問題視されることになりました。

　そこで高木浩光先生をはじめ、何人かの人がクレディセゾンに問い合わせを行い、改善を求めました。当初は、永久不滅.comの「必ずご確認ください」という部分に「履歴情報送信するからな！（意訳）」という注意が追記されただけで、ツールの動作自体に変更はなく、タイムラインには失望を感じる声が上がりました。しかしその後事態は変わり、モニタ会員以外のインターネット行動履歴情報が送信されないように履歴情報収集の仕組みを変更すること、そのためのシステム改修を10月末までに行い、その間、新規ダウンロードを停止することを明らかにしています（【重要なお知らせ】「永久不滅プラス」（ツールバー）によるインターネット行動履歴情報の収集について）。

ブラウザのツールバーはとてもこわい。どんなに暗号を使って途中の経路をしっかり守っても、最後に自分がブラウザで見るものをツールバーは見ることができる。機密情報、オンラインバンクの残高、Webメールの内容。結局、ツールバーの提供会社はどこまで信用できるかという問題に還元される。

— 結城浩 (@hyuki) August 30, 2012

「セキュリティキャンプ 2012」、開催される

　8月14日から18日にかけて、夏恒例となりつつある「セキュリティキャンプ」が開催されました。今年も狭き門をこじ開けてきた学生が全国から集結しました（関連記事）。ただ、去年までは「セキュリティ＆プログラミングキャンプ」でしたが、何か事情があったのか、今年はセキュリティだけに絞っての開催となっています。

　自分と同じような興味を持つ仲間とともに、Twitterのセキュリティクラスタでよく見かけるあの人やこの人に直接話を聞いたり、一緒にさまざまな体験を積めるという、学生でなくても参加したくなるような、何ともうらやましい5日間です。

　キャンプの前後はツイートが盛んだったのですが、キャンプ中はさすがにつぶやいている時間も余裕もなかったのでしょう。講師や関係者による、暖かい目で学生を見守るツイートとは対照的に、特に講義や実習が行われている間、参加している学生が静かになってしまったのが印象的でした。なお、今年もハードなキャンプに負けないためのエナジードリンクは大人気だったようですが、なぜか宿舎であったAPAホテルのミネラルウォーターも人気だったようです。

　終盤には恒例となったCTF（Capture the Flag）競技も行われ、ツイートからも非常に盛り上がっている様子が伝わってきました。そして無事キャンプは終了し、「家に帰って感想を書くまでがキャンプ」ということで、感想ツイートがTLをにぎわせました。皆さん、お疲れさまでした。

　また、キャンプ終了後も卒業生によって勉強会が開催されたり、CTFの問題を出し合うサイトが作られるなど、今年もキャンプをきっかけにセキュリティ関連の活動を始める人が早くも現れているのが楽しみですね。

セキュリティ・キャンプ2012は大成功のうちに終了しました！皆さんご苦労様でした！ハイライトビデオを公開しました。bit.ly/fb-spcamp #seccamp #spcamp

— security_camp (@security_camp) August 18, 2012

セキュリティキャンプ、選考落ちて翌年リベンジしてきた人が、実際参加してみると、悔しかったので1年間勉強しましたとか言ってものすごく技術力あったりする。勉強する習慣もできてるのでキャンプ終了後もぐんぐん伸びるし。 #spcamp

— Yosuke HASEGAWA (@hasegawayosuke) August 20, 2012

CTFの問題を出し合えるサイト作りました！！セキュキャン終わったけどCTFやりたい方とかどうぞ！！ ctf.nash-dev.com #flaggers #seccamp #spcamp

— nash (@nash_fs) August 18, 2012

【関連リンク】

[seccamp2012]セキュリティキャンプ2012感想まとめ（Togetter）

http://togetter.com/li/359471

セキュリティキャンプ2012卒業生主催：第1回APASEC勉強会まとめ（Togetter）

http://togetter.com/li/362493

武雄市長、住所録とプライベート写真を世界に公開

　Tポイントカードや上記のツールバーなどで個人情報の管理が甘いとされるCCCに、市営図書館の運営を任せようとしたことがきっかけで、プライバシーやセキュリティ関係者と険悪な関係になってしまった武雄市長の樋渡氏という人がいます。

　先日彼が、「Yahoo!ブリーフケース」というサイトに、自身の住所録や年賀状データなどを自由に閲覧できる形で保存していたことが、@12648430さんによって見つけられ、報告されました。住所録の漏えい（公開）も大変なことですが、それが年賀状データだったことから、公職選挙法の「あいさつ状の禁止」に違反しているのではないかという指摘もあり、大きな騒動になりました。

　また、市長が写真共有サービス「flickr」に大量のプライベート写真をアップロードし、公開状態だったことも明らかになりました。公開していた写真の中には他人が写った写真も多く、子どもの裸の写真も含まれていたことから、プライバシーの問題や児童ポルノとの関連で、こちらも話題となりました。

　指摘を受けた市長はすぐに設定を変更し、うっかりミスで「非公開」とすべきものを「公開」に設定してしまっていたと平謝りしていますが、セキュリティクラスタのTLではやはり、ITリテラシーの低さと個人情報に関する意識の低さに唖然とした人が多かったようです。また「Yahoo!ブリーフケース」のフォルダは、もともと公開を前提としていた武雄市のプレスリリース置き場だったこともあり、「設定ミスではないだろう」との意見も多く見られました（関連記事）。

　これで終わればよかったのですが、公開中にしていた写真のURLが拡散されたことに本人が噛みつき、逆ギレしつつ謝罪する……という珍事も発生。一連の騒動は、TLからは冷ややかな目で見られていました。この件はFacebookにまで飛び火して、実名で炎上するという珍しい事例にまで発展することになりました。

@hiwa1118 briefcase.yahoo.co.jp/bc/hiwa1118/ls… に市長個人のものと思われる住所録ファイルが置いてあり、誰でもダウンロードできる状態になっていますが、問題ないのでしょうか ?

— Coffee (@12648430) August 23, 2012

@12648430 うっかりしていました。ご指摘ありがとうございました。感謝申し上げます。

— 武雄市長 日本ツイッター学会長　樋渡啓祐 (@hiwa1118) August 23, 2012

【関連リンク】

『武雄市長、個人情報露出』うっかりミスでも漏洩でも流出でもないよね？その後の指摘ツイートまとめ（NAVER まとめ）

http://matome.naver.jp/odai/2134588430174812701

セキュリティクラスタ、8月の小ネタ

　このほかにも、8月のセキュリティクラスタでは以下のようなことが話題となりました。9月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

• セキュリティ人材っていったいどんな人なの？ 足りないの？ と議論
• GhostShell、SQLインジェクションで日本企業を含む世界中のサイトからデータをぶっこ抜いてさらす
• ブラウザで閲覧するだけで攻撃されるJava 7の脆弱性が発見され、すでに攻撃も多数
• Adobe Flash Playerにもう何度目か分からない任意のコードが実行できる脆弱性
• アニメ関係者が殺害予告して捕まった件、実は無線LANルータを踏み台にされてCSRFで書き込まれた？
• 「アノニマス超会議」が開催される
• 小学5年生のょぅι゛ょハッカーが不正アクセスで補導
• ギズモードのTwitterアカウント、AppleのiCloudアカウントがソーシャルハッキングされたことで乗っ取られる

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。