Instagramのプライベートコンテンツが漏れ漏れってホント?→そうとも言えるけど「ハック」ではないよ

Instagramのプライベートコンテンツが漏れ漏れってホント?→そうとも言えるけど「ハック」ではないよ

  • ギズモード・ジャパン
  • 更新日:2019/09/18
No image

Image: Dan Kitwood/Getty Images

要注意なのは悪意あるフレンズ。

米BuzzFeed Newsは最近、Instagramとその親会社Facebookで、コンテンツ公開設定の抜け穴を発見したそうです。もともとコンテンツが見られるユーザーなら誰でも、ちょっとゴニョゴニョすればフレンドの画像/動画の公開リンクが取得できちゃいます。その具体的な方法とは、HTMLからリンクを探してコピー…ただこれだけです。

以下、米BuzzFeedからの引用になります。

このハックは、Instagramのストーリーでも機能し、HTMLやブラウザの基本的な理解があれば十分。数回のクリックで実行できます。ユーザーは単純に、ページにロードされた画像やビデオを調べ、ソースURLをぶっこ抜くだけです。この公開URLは、Instagramにログインしていない人や、そのユーザーをフォローしていない人にも共有できます。



米BuzzFeedのテクノロジーとニュースの作業班が実施したテストでは、プライベートフィードやストーリーのJPEGやMP4は、この方法で表示、ダウンロード、共有できました。

...

こうしたデータはすべて、Facebookのコンテンツ・デリバリ・ネットワークによってホスティングされているため、抜け穴はFacebookのプライベートコンテンツにもあてはまります。

Vergeによる、Instagramのプライベート画像へのリンク例がこれ。

https://scontent-lax3-1.cdninstagram.com/vp/0907741760b14f49ebbb7d45f1e4871e/5E092026/t51.2885-15/e35/s1080x1080/67509661_124712232143789_4496164141880255274_n.jpg?_nc_ht=scontent-lax3-1.cdninstagram.com

ばっちりアクセスできてしまいますよね。

画像への公開リンクは他サービスでも生成されます

米BuzzFeedはこれを「ハック」と呼んでいます。でもこうした挙動、大規模なWebサイトのバックボーンとして機能するコンテンツ・デリバリ・ネットワーク(CDN)を活用するサービスにおいては、いたって普通のことです。HTML内のURLは、キャッシュサーバー上にコピーされたコンテンツへのリンク。許可されてないユーザーからのアクセスを防ぐための、最も簡単で計算負荷のかからない方法は、やたらと長いURLを発行することです。

実際のところ、URLが十分長いものであれば、これを推測することは事実上不可能でしょう。つまり、画像や動画が見れるユーザーがURLをコピーして共有しない限り使えない方法なのです(あるいは悪意あるAIが開発されれば可能かもしれませんが)。

「そういう仕様」という側面が強い

不正アクセスを防ぐために、追加の認証を実装することも可能です。でも2010年にはすでに、Hacker Newsのスレッドで、Facebookが追加の認証の維持に人力とリソースを費やすことに意味があるのかが議論され、そこでは疑問の声があがっています。

以下、iOSディベロッパーのBenjamin Mayo(@bzamayo)さんのつっこみです。

Most apps work like this, including Google Photos. The content CDN URLs are so long you would never be able to guess them, so sharing the link is effectively the same as saving the photo and sharing it. https://t.co/elt7ROA6Uk
— Benjamin Mayo (@bzamayo)
September 9, 2019
from Twitter

Googleフォトなんかのほとんどのアプリについて言えることです。CDNのURLは長いので推測できません。なので、URLを共有することは写真を保存しておいて共有するのも同じです。

こちらも同じくBenjamin Mayo(@bzamayo)さん。

Due to a lot of dumb technical reasons, most private content have theoretically public links. The protection is that the URLs have enough random complexity that you’d never be able to guess them, or otherwise guess it. More secure than guessing the account password.
— Benjamin Mayo (@bzamayo)
September 9, 2019
from Twitter

ほとんどのプライベートコンテンツには技術的理由で公開リンクがあります。推測するのはむつかしく、アカウントのパスワードを推測されるより安全です。

友だちのプライベート投稿のスクショをとって公開したりしないでしょ?

FacebookはVergeに対して次のような声明を出しています。

書かれている内容は、FacebookやInstagramで友人の写真のスクショを撮って共有するのと同じことです。ユーザーの個人アカウントへのアクセスを許可するものではありません。

(ニュースとしての価値があるかについても議論の余地があります。Instagramの写真に公開リンクからアクセスできることは、広く知られている事実です)

知らないユーザーに啓蒙することに意義があるんだよ

2002年に、プライバシーを考慮した設計のSNSを開発していたIan Bogost(@ibogost)さんはこんなツイートをしています。

No image
No image

It’s actually quite interesting that this behavior of the web isn’t widely understood, such that Buzzfeed can legitimately present it as surprising and “OMG.”
— Ian Bogost (@ibogost)
2019年9月9日
from Twitter

こうしたWebの挙動が広く理解されていないこと、そしてBuzzfeedが驚き、「OMG」案件として合法的に紹介できるようになったのは、とても興味深いことです。

なにも、FacebookとInstagramが追加の認証を実装できない、すべきではないと言っているわけではありません。実際、Facebookの財政的余裕をもってすれば、実装はたやすいことでしょう。

Facebookの言い分は、もしフレンドリストの中に裏切り者がいたのなら、不本意ながらなにもできない…というものです。でも、Ian Bogost(@ibogost)さんが以前のブログ記事で指摘したように、リクエストした人のみ画像が見れるようにする、といった打ち手がまだあるはずです。

削除したコンテンツが数日間アクセス可能なまま残るのも厄介

ところで、米BuzzFeedはさらに厄介な発見をしています。当該URLには、コンテンツが削除された後もしばらくアクセスできるのです。削除したはずのInstagramのストーリーには数日間、写真についてはさらに長い間リンクが生きていました。これは懸念すべきことがらで、本人が消したと思ったコンテンツに、実際はまだ誰でもアクセスできてしまうわけです。

「誰に公開するか」のほうが大事

それに、プライバシー領域に関してFacebookへの不信感はぬぐえません。また、FacebookやInstagramのユーザーの多くは、どれだけプライバシーの抜け穴があるか、そしてデータをどれだけ広く共有されうるかを知らないのと断言できるので、こういった指摘は有益です。

なんにせよ今案件は、コンテンツのプライバシーは自身だけじゃなく、公開範囲内の人全員の手にかかっていることを思い起こさせてくれるよい教訓です。アップロードするコンテンツ、そして誰に公開するかを慎重に選択し、そして削除しても、ほんとうに削除できたとは思い込まないこと。これに尽きますね。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

IT総合カテゴリの人気記事

グノシーで話題の記事を読もう!
MicrosoftがExcel関数「XLOOKUP」を発表! 「VLOOKUP」から何が進化した?
【CEATEC 2019】開幕、超スマート社会「Society5.0」を体感できる
普通にほしい。犬型ロボ「Spot」のCM...じゃなくてローンチ映像登場
iOS 13のSafariはパソコン用Webサイトの選択が簡単!
犬型ロボット「ANYmal」、車輪が付いてローラースケートみたいになる
  • このエントリーをはてなブックマークに追加