Instagramのプライベートコンテンツが漏れ漏れってホント?→そうとも言えるけど「ハック」ではないよ

Instagramのプライベートコンテンツが漏れ漏れってホント?→そうとも言えるけど「ハック」ではないよ
Image: Dan Kitwood/Getty Images

要注意なのは悪意あるフレンズ。

米BuzzFeed Newsは最近、Instagramとその親会社Facebookで、コンテンツ公開設定の抜け穴を発見したそうです。もともとコンテンツが見られるユーザーなら誰でも、ちょっとゴニョゴニョすればフレンドの画像/動画の公開リンクが取得できちゃいます。その具体的な方法とは、HTMLからリンクを探してコピー…ただこれだけです。

以下、米BuzzFeedからの引用になります。

このハックは、Instagramのストーリーでも機能し、HTMLやブラウザの基本的な理解があれば十分。数回のクリックで実行できます。ユーザーは単純に、ページにロードされた画像やビデオを調べ、ソースURLをぶっこ抜くだけです。この公開URLは、Instagramにログインしていない人や、そのユーザーをフォローしていない人にも共有できます。


米BuzzFeedのテクノロジーとニュースの作業班が実施したテストでは、プライベートフィードやストーリーのJPEGやMP4は、この方法で表示、ダウンロード、共有できました。

...

こうしたデータはすべて、Facebookのコンテンツ・デリバリ・ネットワークによってホスティングされているため、抜け穴はFacebookのプライベートコンテンツにもあてはまります。

Vergeによる、Instagramのプライベート画像へのリンク例がこれ。

https://scontent-lax3-1.cdninstagram.com/vp/0907741760b14f49ebbb7d45f1e4871e/5E092026/t51.2885-15/e35/s1080x1080/67509661_124712232143789_4496164141880255274_n.jpg?_nc_ht=scontent-lax3-1.cdninstagram.com

ばっちりアクセスできてしまいますよね。

画像への公開リンクは他サービスでも生成されます

米BuzzFeedはこれを「ハック」と呼んでいます。でもこうした挙動、大規模なWebサイトのバックボーンとして機能するコンテンツ・デリバリ・ネットワーク(CDN)を活用するサービスにおいては、いたって普通のことです。HTML内のURLは、キャッシュサーバー上にコピーされたコンテンツへのリンク。許可されてないユーザーからのアクセスを防ぐための、最も簡単で計算負荷のかからない方法は、やたらと長いURLを発行することです。

実際のところ、URLが十分長いものであれば、これを推測することは事実上不可能でしょう。つまり、画像や動画が見れるユーザーがURLをコピーして共有しない限り使えない方法なのです(あるいは悪意あるAIが開発されれば可能かもしれませんが)。

「そういう仕様」という側面が強い

不正アクセスを防ぐために、追加の認証を実装することも可能です。でも2010年にはすでに、Hacker Newsのスレッドで、Facebookが追加の認証の維持に人力とリソースを費やすことに意味があるのかが議論され、そこでは疑問の声があがっています。

以下、iOSディベロッパーのBenjamin Mayo(@bzamayo)さんのつっこみです。

Googleフォトなんかのほとんどのアプリについて言えることです。CDNのURLは長いので推測できません。なので、URLを共有することは写真を保存しておいて共有するのも同じです。

こちらも同じくBenjamin Mayo(@bzamayo)さん。

ほとんどのプライベートコンテンツには技術的理由で公開リンクがあります。推測するのはむつかしく、アカウントのパスワードを推測されるより安全です。

友だちのプライベート投稿のスクショをとって公開したりしないでしょ?

FacebookはVergeに対して次のような声明を出しています。

書かれている内容は、FacebookやInstagramで友人の写真のスクショを撮って共有するのと同じことです。ユーザーの個人アカウントへのアクセスを許可するものではありません。

(ニュースとしての価値があるかについても議論の余地があります。Instagramの写真に公開リンクからアクセスできることは、広く知られている事実です)

知らないユーザーに啓蒙することに意義があるんだよ

2002年に、プライバシーを考慮した設計のSNSを開発していたIan Bogost(@ibogost)さんはこんなツイートをしています。

こうしたWebの挙動が広く理解されていないこと、そしてBuzzfeedが驚き、「OMG」案件として合法的に紹介できるようになったのは、とても興味深いことです。

なにも、FacebookとInstagramが追加の認証を実装できない、すべきではないと言っているわけではありません。実際、Facebookの財政的余裕をもってすれば、実装はたやすいことでしょう。

Facebookの言い分は、もしフレンドリストの中に裏切り者がいたのなら、不本意ながらなにもできない…というものです。でも、Ian Bogost(@ibogost)さんが以前のブログ記事で指摘したように、リクエストした人のみ画像が見れるようにする、といった打ち手がまだあるはずです。

削除したコンテンツが数日間アクセス可能なまま残るのも厄介

ところで、米BuzzFeedはさらに厄介な発見をしています。当該URLには、コンテンツが削除された後もしばらくアクセスできるのです。削除したはずのInstagramのストーリーには数日間、写真についてはさらに長い間リンクが生きていました。これは懸念すべきことがらで、本人が消したと思ったコンテンツに、実際はまだ誰でもアクセスできてしまうわけです。

米BuzzFeedでテクノロジーとビジネスを担当する編集者John Paczkowskiさんは、批判に対して、ポイントは「削除したはずのコンテンツにその後数日間アクセス可能なままということだ」と答えました。

「誰に公開するか」のほうが大事

それに、プライバシー領域に関してFacebookへの不信感はぬぐえません。また、FacebookやInstagramのユーザーの多くは、どれだけプライバシーの抜け穴があるか、そしてデータをどれだけ広く共有されうるかを知らないのと断言できるので、こういった指摘は有益です。

なんにせよ今案件は、コンテンツのプライバシーは自身だけじゃなく、公開範囲内の人全員の手にかかっていることを思い起こさせてくれるよい教訓です。アップロードするコンテンツ、そして誰に公開するかを慎重に選択し、そして削除しても、ほんとうに削除できたとは思い込まないこと。これに尽きますね。

    あわせて読みたい

    powered by