InstagramもiPhoneアプリでセキュリティー無視(数日後には修正の予定)

次の記事

Mozilla:収益$104M、ユーザー数4億人、Googleとの契約も継続中

オンラインでのセキュリティーに関して、ほとんどの一般ユーザーの意識は非常に低い。たとえば、多くのユーザーが同じパスワードをすべてのサービスに使い回している。そしてそのパスワードでオープンなWi-Fiホットスポットに接続する。誰かが傍受していやしないかなどという考えは全く浮かばないらしい(Firesheepなんてものが出まわっているにもかかわらず)。それだけにスタートアップが新しいサービスを公開する際に、業界標準のセキュリティー上の措置を取り、多少なりと一般ユーザーの安全を高める努力をしないでいるのを見るのは腹立たしい。

最近のルール違反者は人気の写真共有iPhoneアプリInstagramだ。ものの数週間であっという間に何十万にものユーザーを獲得しているのだが、遺憾なことに、このアプリはパスワードを平文で送信する。さらに悪いことにTumblrとFoursquareのパスワードまで聞き出し、これも平文で送信する。

しかしもちろん、こうした欠陥のあるサービスをリリースしたスタートアップはInstagramが始めてというわけではない。FoursquareとGowallaにもまったく同一の問題があった。同様の欠陥がある無名のiPhoneアプリとなれば数えきれないほどだろう。しかしこの問題はわずか3ヶ月前に大見出になったのに、何十万単位のユーザーを集めるアプリがセキュリティー軽視という同じ失敗を繰り返すというのはどういうことなのだろう? いいかげんこういうことは止めなくてはならない。Firesheepのような技術的知識がなくても誰でも使えるようななりすましツールが出まわっているのだからなおさらだ。

Instagramは近々リリースされる次のバージョンではこの問題にすでに対処ずみだとしている。バージョンアップ後はInstagram自身のもののサードパーティーのものもパスワードはSSLで暗号化される(新バージョンはAppleの承認待ちで、明日か明後日にはリリースできるという)。われわれは知識の悪用を防ぐため、この記事の公開を新バージョンのリリースまで待とうかとも考えたが、しかしこの問題についての記事がInstagramの公式サイトのGetSatisfactionページに11月4日から載っている上に、先週末にはHacker Newsのトップ記事になっていた。これでは、悪者はすでに知っていて、知らないのは一般ユーザーだけということになる。

他のスタートアップにはくれぐれも同じミスを犯さないようにお願いしたい。もちろんInstagramもFoursquareもさほど機密性の高い情報を扱うサービスではない(そもそも一般公開を前提にして利用するユーザーも多い)。しかし全てサービスに同じパスワードを使い回しているユーザーの多さを考えれば、そういうサービスだからといってセキュリティーをおろそかにしていいわけがない。

[原文へ]

(翻訳:滑川海彦/namekawa01