「Peing-質問箱-」騒動をわかりやすくたとえた話が登場。開発者せせり氏は「WEB開発者は気を引き締めよう」と前向き発言

3ヶ月の放置がちょっと問題過ぎるように見える
41
【公式】Peing-質問箱- @Peing_net

匿名で質問ができるPeing-質問箱-公式アカウント 「白紙ハコ」というキャラクターが皆さんからの質問に爽快に答えます! ↓ご意見・ご要望、質問募集中バコ

https://t.co/pCF57t9ZoK

【公式】Peing-質問箱- @Peing_net

緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。

2019-01-28 21:35:28
【公式】Peing-質問箱- @Peing_net

第三者が勝手にツイートできてしまう問題について対応中で、 明朝までに復旧見込みです。 本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。 詳細は明日、会社よりお知らせ致します。 ご迷惑をおかけし大変申し訳ございません。

2019-01-28 23:02:23
国際信州学院大学 @kokushin_univ

今回の脆弱性の解説です。 影響範囲の大きい脆弱性ですので質問箱(peing)を利用したことがある方全員注意してください。 pic.twitter.com/grohTbRNIA

2019-01-29 00:37:44
拡大

たとえ話

シロ @siro_xx

【Peing(質問箱)の件について】 技術的な解説は散々されてるのでそれを読んでもよくわからん人向けのたとえ話です(ゆえに正確性には欠けます) 連投します

2019-01-29 12:44:49
シロ @siro_xx

登場人物: あなた(質問箱とtwitterのユーザー) マンション管理人(twitter) 清掃業者(質問箱) 泥棒(脆弱性を悪用する第三者) 宅配便のお兄さん(脆弱性を発見した善意の第三者) 警察(IPA・情報処理推進機構。要するにセキュリティ的に危ないことがあったら届け出る先)

2019-01-29 12:45:15
シロ @siro_xx

① あなたはマンションに住んでいます。(Twitterにアカウントを持っています) あなたは部屋をきれいにするため清掃業者と長期契約しました。(質問箱を使おうとしました)

2019-01-29 12:46:05
シロ @siro_xx

② このときあなた-清掃業者-マンション間で「あなたの部屋に清掃業者が出入りする許可」を結びました。(質問箱にTwitterアカウントでログインして質問を受け付けたり質問の回答ができるようにしました)

2019-01-29 12:46:25
シロ @siro_xx

③ 清掃業者はあなたの部屋に入る許可を逐一得なくていいようにあなたの部屋の合鍵をマンション管理人から貰っています。(Twitterにアクセスする権利=アクセストークンを保持しています) 当然、この合鍵があれば誰でもあなたの部屋に入れてしまうので合鍵のありかは絶対に秘密にする必要があります。

2019-01-29 12:47:20
シロ @siro_xx

④ でも清掃業者はあろうことかあなたの部屋のまん前にあなたの部屋の合鍵を保管していました。 パッと見では確かにわからない場所ではありますが、ちょっと注意深い人であればすぐに気づくような場所です。

2019-01-29 12:48:23
シロ @siro_xx

⑤ ある日、たまたま宅配便を届けにきたお兄さんが合鍵が堂々と保管されていることに気づきました。(善意の技術者が脆弱性を発見しました。昨年10月頃とのこと)

2019-01-29 12:49:19
シロ @siro_xx

⑥ 宅配便のお兄さんは「こんなところに鍵を置いて、泥棒に入られてしまったらまずいぞ!」と思い、警察に「あのマンションの清掃業者が鍵を見える場所に保管している。事件になる前に注意してほしい」と届け出ました。(IPAに脆弱性を報告しました)

2019-01-29 12:49:42
シロ @siro_xx

⑦ 警察は清掃業者に「鍵を適切に保管しなさい」と言いました。ところが清掃業者はちゃんと対応せず、ちょっと隠し方を変えただけで「対応しました」と言いました。 宅配便のお兄さんだけでなく、チラシを配りにきた人、マンションの別の部屋の住人、いろんな人がちょっとずつ気づきはじめました。

2019-01-29 12:50:34
シロ @siro_xx

⑧ そして昨日、ついにある人が「ここの清掃業者は鍵を見えるところに隠してる。問題だ」と大きな声で言ってしまいました。

2019-01-29 12:51:26
シロ @siro_xx

⑨ 「言っちゃだめ!泥棒が悪用しちゃう!」と思った人もいましたが、別の人もついにしびれを切らして清掃業者の部屋に入り、窓の外からよく見えるように「この清掃業者は皆さんの家の鍵をちゃんと管理していません」「いますぐこの清掃業者との契約を解除してください」と書いた紙を貼り付けました。

2019-01-29 12:52:13
シロ @siro_xx

⑩ (昨夜、質問箱自体のアクセストークンを取得した誰かが質問箱のアカウントで注意喚起ツイートを行いました)

2019-01-29 12:52:26
シロ @siro_xx

⑪ 他の住人もすぐに気づきました。清掃業者もこれに気づいて大慌てで各部屋の鍵の回収に向かいました。(質問箱のメンテナンスが始まりました)

2019-01-29 12:52:57
シロ @siro_xx

幸い今回は大事には至りませんでしたが、もし本格的に悪用されていたならあなたの部屋に知らない物が置かれていたり(覚えのないツイートがされていたり)逆に置いてあったはずのものがなくなっていたかも(ツイートが消されていたかも)しれません。

2019-01-29 12:53:43

Q&A

使用していたなら確認しておこう

シロ @siro_xx

【よくわかるQ&A】 Q.危ないところでした。でも、私のアカウントは本当に無事なんですか? A.こっそり悪い人が何かしていた可能性も否定できません。変なツイートがないか、変なフォロワーが増えていないか、質問箱を使っていた人は一度確認したほうがよいでしょう。

2019-01-29 12:54:29

DMは大丈夫

シロ @siro_xx

Q.ダイレクトメッセージ(DM)で個人情報を含むやりとりをしていました。それは大丈夫ですか? A. DMについては今回は無事です。というのも質問箱はあなたの部屋の鍵しか貰っていなかったからです。

2019-01-29 12:55:42
シロ @siro_xx

Twitterの認証には種類がいくつかあり、今回質問箱が持っていた権利は「部屋に入る権利」だけでした。DMを見るにはこれより更に強い権利である「部屋と郵便箱を開ける権利」が必要なため、郵便箱の中身(DM)は無事ということです。

2019-01-29 12:56:43