まとめの限定公開に「リンク限定」が追加されました。URLを伝えてまとめを共有しよう!
37
Peing-質問箱-(公式) @Peing_net
緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。
Peing-質問箱-(公式) @Peing_net
第三者が勝手にツイートできてしまう問題について対応中で、 明朝までに復旧見込みです。 本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。 詳細は明日、会社よりお知らせ致します。 ご迷惑をおかけし大変申し訳ございません。
国際信州学院大学 @kokushin_univ
今回の脆弱性の解説です。 影響範囲の大きい脆弱性ですので質問箱(peing)を利用したことがある方全員注意してください。 pic.twitter.com/grohTbRNIA
 拡大
たとえ話
シロ@〆最新節クリア済 @siro_xx
【Peing(質問箱)の件について】 技術的な解説は散々されてるのでそれを読んでもよくわからん人向けのたとえ話です(ゆえに正確性には欠けます) 連投します
シロ@〆最新節クリア済 @siro_xx
登場人物: あなた(質問箱とtwitterのユーザー) マンション管理人(twitter) 清掃業者(質問箱) 泥棒(脆弱性を悪用する第三者) 宅配便のお兄さん(脆弱性を発見した善意の第三者) 警察(IPA・情報処理推進機構。要するにセキュリティ的に危ないことがあったら届け出る先)
シロ@〆最新節クリア済 @siro_xx
① あなたはマンションに住んでいます。(Twitterにアカウントを持っています) あなたは部屋をきれいにするため清掃業者と長期契約しました。(質問箱を使おうとしました)
シロ@〆最新節クリア済 @siro_xx
② このときあなた-清掃業者-マンション間で「あなたの部屋に清掃業者が出入りする許可」を結びました。(質問箱にTwitterアカウントでログインして質問を受け付けたり質問の回答ができるようにしました)
シロ@〆最新節クリア済 @siro_xx
③ 清掃業者はあなたの部屋に入る許可を逐一得なくていいようにあなたの部屋の合鍵をマンション管理人から貰っています。(Twitterにアクセスする権利=アクセストークンを保持しています) 当然、この合鍵があれば誰でもあなたの部屋に入れてしまうので合鍵のありかは絶対に秘密にする必要があります。
シロ@〆最新節クリア済 @siro_xx
④ でも清掃業者はあろうことかあなたの部屋のまん前にあなたの部屋の合鍵を保管していました。 パッと見では確かにわからない場所ではありますが、ちょっと注意深い人であればすぐに気づくような場所です。
シロ@〆最新節クリア済 @siro_xx
⑤ ある日、たまたま宅配便を届けにきたお兄さんが合鍵が堂々と保管されていることに気づきました。(善意の技術者が脆弱性を発見しました。昨年10月頃とのこと)
シロ@〆最新節クリア済 @siro_xx
⑥ 宅配便のお兄さんは「こんなところに鍵を置いて、泥棒に入られてしまったらまずいぞ!」と思い、警察に「あのマンションの清掃業者が鍵を見える場所に保管している。事件になる前に注意してほしい」と届け出ました。(IPAに脆弱性を報告しました)
シロ@〆最新節クリア済 @siro_xx
⑦ 警察は清掃業者に「鍵を適切に保管しなさい」と言いました。ところが清掃業者はちゃんと対応せず、ちょっと隠し方を変えただけで「対応しました」と言いました。 宅配便のお兄さんだけでなく、チラシを配りにきた人、マンションの別の部屋の住人、いろんな人がちょっとずつ気づきはじめました。
シロ@〆最新節クリア済 @siro_xx
⑧ そして昨日、ついにある人が「ここの清掃業者は鍵を見えるところに隠してる。問題だ」と大きな声で言ってしまいました。
シロ@〆最新節クリア済 @siro_xx
⑨ 「言っちゃだめ!泥棒が悪用しちゃう!」と思った人もいましたが、別の人もついにしびれを切らして清掃業者の部屋に入り、窓の外からよく見えるように「この清掃業者は皆さんの家の鍵をちゃんと管理していません」「いますぐこの清掃業者との契約を解除してください」と書いた紙を貼り付けました。
シロ@〆最新節クリア済 @siro_xx
⑩ (昨夜、質問箱自体のアクセストークンを取得した誰かが質問箱のアカウントで注意喚起ツイートを行いました)
シロ@〆最新節クリア済 @siro_xx
⑪ 他の住人もすぐに気づきました。清掃業者もこれに気づいて大慌てで各部屋の鍵の回収に向かいました。(質問箱のメンテナンスが始まりました)
シロ@〆最新節クリア済 @siro_xx
幸い今回は大事には至りませんでしたが、もし本格的に悪用されていたならあなたの部屋に知らない物が置かれていたり(覚えのないツイートがされていたり)逆に置いてあったはずのものがなくなっていたかも(ツイートが消されていたかも)しれません。
Q&A
使用していたなら確認しておこう
シロ@〆最新節クリア済 @siro_xx
【よくわかるQ&A】 Q.危ないところでした。でも、私のアカウントは本当に無事なんですか? A.こっそり悪い人が何かしていた可能性も否定できません。変なツイートがないか、変なフォロワーが増えていないか、質問箱を使っていた人は一度確認したほうがよいでしょう。
DMは大丈夫
シロ@〆最新節クリア済 @siro_xx
Q.ダイレクトメッセージ(DM)で個人情報を含むやりとりをしていました。それは大丈夫ですか? A. DMについては今回は無事です。というのも質問箱はあなたの部屋の鍵しか貰っていなかったからです。
シロ@〆最新節クリア済 @siro_xx
Twitterの認証には種類がいくつかあり、今回質問箱が持っていた権利は「部屋に入る権利」だけでした。DMを見るにはこれより更に強い権利である「部屋と郵便箱を開ける権利」が必要なため、郵便箱の中身(DM)は無事ということです。
残りを読む(15)

コメント

朝起きるの慣れてきた @yuukoaozora 1月30日
とてもわかりやすい例えだった。ちなリアルに通りすがっただけの道で不動産屋が鍵の場所を電話で確認していて玄関付近に隠された鍵を取り出すシーンを目撃したことがある。私が悪意を持てば勝手に鍵開けれるやんって思った。
saku @sakuuuuuuune 1月31日
図を見たけど、身を引き締めるとかいうレベルじゃないよねこれ 一晩でサービス作れる天才!的ななんちゃってプログラマーが書いたコードがプロダクションに乗ってたって話でしょ
てす子 @momimomitest 1月31日
個人が管理してた時点ではちゃんとできてた事をそれ買い取った企業が変更してめちゃくちゃ雑な事しだしたっての、普通なら逆じゃね何でそうなる?と思うし あの会社だと思うと何もかも怖い
nekosencho @Neko_Sencho 2月1日
「Peing」って何だろうと思って検索したら「Peeingの間違いでは?」と聞かれた
cinefuk 🌀 @cinefuk 2月1日
Neko_Sencho 英語圏なら絶対につけないネーミング、確かにユニークではあるが…
堅こんぶ @catacombu 2月2日
ジラフって社長のリテラシーがアレだったり、ツイッター運営がインターネット初心者みたいなノリだったりするとこだし、不思議でもないな
Koke @Koke1024 2月3日
不動産屋で勤めていたことがありますが、空き家と思って入った家(パイプスペースに鍵が置いてあった)に住民がいたときは本当にヤバいと思いました
ログインして広告を非表示にする
ログインして広告を非表示にする