サツキふぁくとりー

昨日、TL上でなる四時(なるほど四時じゃねーの)のことが話題になり、OAuthがどうのこうのということも話題になり、気になったので記事にしてみます。
まず、なる四時の概要ですが、これは午前四時と日曜の午前0時に時報ツイートを行うものです。
認証にはもちろん、OAuthを利用しています。

ツイート内容はサービス名そのまんま。日曜だけ「なるほどSUNDAYじゃねーの」とツイートする。
で、今回騒動となったのは、「なる四時作者が自分のツイートをなる四時に登録している全てのアカウントでふぁぼらせた」ということです。
このことがツイートされ、騒動となったようです。

詳細は、こちらの記事をご参照ください。
このサービス自体はただ時報ツイートするだけのサービスなんですが・・。
作者がその意図とは違ったことをしていたことが今回問題らしいです。
でも、OAuth許可をするっていうのは、多少なりともリスクを伴うということを理解しておかないといけないと思うんですね。
ここで、ちょっとOAuthについて触れてみます。

OAuthっていうのは、TwitterではBASIC認証に変わるセキュアな認証方法として提唱されたもです。
BASIC認証は、IDとパスワードを直接サーバーに送信するので、アカウントハックや盗聴の危険性があります。
OAuth認証では、IDとパスワードはOAuthの許可だけに使われ、それ以外の通信にはトークンというものが使われます。
このトークンというのはOAuthから発行された文字列のことで、許可されたOAuthアプリケーションはこのトークンを使って通信をします。
尚、このトークンがばれたところで、アカウントハックは出来ません。
なので、BASIC認証に比べて安全な通信を保証できるというわけです。

しかしながら、OAuthも100%安全というわけでもなく、抱えている問題はあります。
でも、従来の認証方式より安全というのには変わりありません。
ということは、安全だからといって何でもかんでもほいほい許可してしまうと悪意を持ったサービスも許可しかねないということです。
一例としては、Mobster World(リンク先はIT Mediaの記事)というスパムがあります。
これは、Mob Strikeというサービスと名前が似ているため、それと勘違いして許可してしまうという人も多かったようです。
ちなみに、Mob Strikeはちゃんとしたブラウザゲームなのでご安心ください。（2011年10月25日現在、Mob Strikeのサイトが無くなっていました。）

で、このMobSter Worldは、許可してしまうと自分の相互フォローの方に無作為にDMを送りつけ、同様のことをそのユーザーにやらせようとする悪質なスパムです。
私も何回かこのDMを受け取ったことがありますが、英文DMは基本信用していないので内容を少し読んで削除しました。もちろん、貼ってあったリンクはクリックしていません。
こうした一例があるので、OAuth許可をする際は許可しようとしているサービスが信頼できるものなのかどうかを考えた上で許可するのが望ましいです。許可してからでは遅いですからね。
そんで、ここまで来ると「じゃぁ、OAuthってどの範囲までやりたい放題なのさ？」という疑問が浮かぶと思いますが、その答えは「ほとんどやりたい放題」と言っても過言ではないでしょう。

許可したOAuthアプリが読み取り専用だったとしても、自分のツイートからふぁぼり、DM等が丸裸になってしまいます。
書き込みの権限があれば、ツイートもDM送信もふぁぼり等も出来てしまいます。
たとえ、ツイートを非公開にしていたとしても許可されたOAuthアプリからは全て丸見えです。
しかし、IDとパスワードが無いので、アカウントそのものをハックすることは出来ません。
でも、ここまで出来てしまうともはやアカウント乗っ取りと同等のレベルです。
こんなことを言ってしまうと、OAuth自体が信用できなくなると思いますが、もうすぐBASICが廃止される現状、OAuth以外に安全な認証方法は提供されていません。

じゃぁ、どうすればいいのさ？ということですが、何回も言うように「許可しようとしているサービスが信用できるものかどうかを確認した上で許可をする」というのが一番望ましいと思います。
OAuthの許可をするというのは、自己責任でもありますから。
とはいえ、サービス提供者側にもモラルと多少の責任というものは必要ですけども・・。

こうしたこともあり得る・・ということを頭の隅にでも置いた上で、快適なTwitterライフを送って欲しいと思います。
私も気をつけなければ・・・。
ではでは。

Tweet

Pocket