やっぱりCGMって、げろヤバイじゃん という話【前編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

やっぱりCGMって、げろヤバイじゃん という話【前編】

特集 特集

 筆者は以前このコラムで、CGMというものは、そもそもの発想からして危険ではないか? という話を書いた。

 CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html

 そこで「いずれの方法でも『招かれざる客』を防御することができない」と書いた。CGMが利用者の自由な書き込みをほぼ無制限に許している以上、「プログラム上適切だが、不適切な結果となる利用」に論理的に対抗する方法はないはずなのである。

 ここで無制限に許しているというのは、有効な防御措置を講じていないという意味である。規約上、あーだ、こーだ書いていても、それは有効な防御方法にはならない。規約に書いておけば済むという発想は、典型的な『サイバーノーガード戦法』でしかないと思うのである。有効な防御方法と罰則規定のない法律のようなもの。問題が発生した時に、運営者側がエクスキューズできるためのものでしかない。

 具体的に言ってしまうと、この考え方に立つと、ブログ、Wiki、掲示板などのサービスのほとんどは『サイバーノーガード戦法』を実戦するトンデモ管理者になってしまう。

サーバ管理者、経営者に朗報!
安価で安全な新方法論 サイバーノーガード戦法!(2004.2.5)
https://www.netsecurity.ne.jp/1_459.html

カカクコム続報
実はサイバーノーガード戦法? 最大の問題は無知の脆弱性(2005.5.17)
https://www.netsecurity.ne.jp/1_2777.html

大手サイトの「4つのやりません宣言」
サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!
(2005.5.26)
https://www.netsecurity.ne.jp/1_2937.html

 ということを考えていたら、来るべきものがやってきた。『サイバーノーガード戦法』を活用しているWikiサービスを使ったP2Pストレージサービスである。

ブラウン大学の院生が Wiki を利用した P2P ストレージを開発→管理者困惑
http://slashdot.jp/it/article.pl?sid=09/04/16/006221

Graffiti Networks
http://graffiti.cs.brown.edu/

 ようするに、データはWikiに置いて、P2Pで通信を行い、自分が必要とするファイルを見つけたら、そのデータをWikiからダウンロードする。なんて便利なシステムだろう。

 これまでのP2Pシステムだと、データのありかを見つけるのも、データそのものを転送するのも、P2Pで行っていたわけで、そうすると巨大なデータを転送する際には帯域を食う。自宅でやると結構、つらかったりするわけである。

 これに対して今回のシステムは、データの転送をWikiのサーバにまかせられる。自分の家の帯域を食われない。素敵だ。

●CGMの前提となっている『善良な利用者』

 このシステムが端的に教えてくれるのは、CGMは『善良な利用者』を前提としているということだと思う。

 CGMの利用規約をちゃんと読んで、それを遵守し、規約に書かれていないことも常識や規約から類推できる範囲で考えてくれる。そんな素晴らしい『善良な利用者』を前提にしないとCGMは機能しない。リアルな社会で、そんなことを言ったら、ありえないだろ、と即座に、つっこまれるんじゃないかと思う。

 インターネット黎明期で利用者も限られており、相互扶助しなければ物事がうまく進まない、ネットそのものがダメになる、そういう時代ならば、『善良な利用者』を期待することは合理的だったような気がする。物事、なんでも黎明期には『善良な利用者』がたくさんいるような気がする。というか、そういう人が集まらないとそのサービスは広がらない。

 しかし、黎明期を過ぎて、社会のインフラになってしまえば、そうも言っていられない…

【執筆:Prisoner Langley】

【関連記事】
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(2)
https://www.netsecurity.ne.jp/3_12915.html
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(3)
https://www.netsecurity.ne.jp/3_12969.html
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(4)
https://www.netsecurity.ne.jp/3_13011.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×