岡田斗司夫のmixi退会が話題になっている。経緯についてはmixiのコメントを含む各社の報道や本人のBlogで確認して頂くとして、今回問題にしたいのはセキュリティに不備があったかどうかというような技術面ではなく、ユーザ対応について。
以前、私のハンドルやIDを騙っての荒らし行為についてgooと遣り取りした時にも感じたことなのだが、運営が保身に終始してユーザの立場に歩み寄る気がない、というのは交渉当事者として非常に苛立ちを憶える状態である。最終的な答えが「ウチとしてはこれ以上どうしようもない」であるとしても、その結論に至るまでの経緯が、最初から「アンタ個人の話で、ウチは知らんよ」だと腹も立とうというものだ。
少なくともmixiの件に関して言えば、本人の端末からのアクセスかどうかぐらいは調べようがある筈だ。まさかアクセス時のIPアドレスや(携帯なら)端末固IDも記録していないとは思えない、というかそこを押さえておかないと多分プロヴァイダ責任法に引っ掛かってしまう。
もし仮に、複数の端末からのアクセス記録が残っている(かつ本人はその期間に他の端末を利用していない)のならばパスワードが漏れていることになる。個人のPCにマルウェアが仕掛けられているのかも知れないし、ログイン時の通信が傍受されているのかも知れない(mixiのログイン画面はSSL不使用が標準設定らしいので、パスワードは暗号化されず平文で送信されている)が、少なくともこれで「何を調べるべきか」がはっきりする。端末が使用されているのであれば端末そのものにパスワードロックを仕掛けるなどの方法で無断利用を防げば良いし、端末からサーバのどこかで傍受されているならセキュリティ設定を洗い直す。「どこに非があるか」以前に、「どうしたら防げるか」が最重要だろう。
IPアドレスや端末番号は個人情報に準ずる扱いを受けるので当事者と雖も法的手続きを踏んで請求しない限り開示するわけには行かないかも知れないが、少なくとも一致するかしないかは答えて構わないだろうと思う。
まあ実際にmixiがその辺を回答しなかったかどうかは判らない。ITmediaの報道に拠れば
「岡田さんには、共有のPCなどでmixiを利用した際、ログアウトをし忘れたりしていないかのチェックや、パスワードの変更など、必要な案内は行った。不正アクセスなどの痕跡はなく、当社からのIDやパスワードの流出はない。正規のIDやパスワードでログインした人が誰かを特定することはできない」
と広報はコメントしているようで、「不正アクセスなどの痕跡はなく」にIPアドレスの一致チェックも含んでいる可能性はある。ただ、それなら岡田斗司夫が
mixi運営局に事態を通達し、対処を求めたのですが、対処や理由説明がありません。
それどころか、突っ込んだ質問をしたら返信そのものが無くなってしまいました。
(中略)
「原因はわかりません」
「調べようもありません」
これしか答えない、または答えること自体から逃げ回る管理者を僕は信頼することができません。
などと書くようなことにはならなかっただろうと思う。もしその辺がチェックされた上でなおこういう事態になっているのだとすれば、それは
のどちらかになる。しかし岡田斗司夫は仮にも電気通信大学に身を置いた人であり、また「王立科学博物館」など宇宙科学などにも造詣の深い人物。詳しいというほどではないとしても、説明が理解できないほど無知とはちょっと思えない。とすれば、mixi側からそれに関して説明がなかった、もしくは調べてもいない可能性の方が高いように思われる。
ところで実はこの件に関しては、観測範囲内で他にも「身に憶えのない書き込みがあった」という人がいて、こちらは利用/生活パターン的にソーシャルなクラッキングの可能性が非常に低いということだった。ひとまずパスワード変更してからは発生していないようだが、PC側の問題による漏れの可能性は低そうで、かつhttpsでログインされているということなので経路上での傍受という可能性もかなり低い。となると岡田斗司夫の言うように「内部の犯行ではないか」という説が俄然真実味を帯びてしまう。
こちらの問い合わせについてももう3日になるが、回答はないようだ。大丈夫なのかmixi。
