やっぱりCGMって、げろヤバイじゃん という話【前編】 | ScanNetSecurity
2024.05.20(月)

やっぱりCGMって、げろヤバイじゃん という話【前編】

 筆者は以前このコラムで、CGMというものは、そもそもの発想からして危険ではないか? という話を書いた。

特集 特集
facebookLINE
 筆者は以前このコラムで、CGMというものは、そもそもの発想からして危険ではないか? という話を書いた。

 CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html

 そこで「いずれの方法でも『招かれざる客』を防御することができない」と書いた。CGMが利用者の自由な書き込みをほぼ無制限に許している以上、「プログラム上適切だが、不適切な結果となる利用」に論理的に対抗する方法はないはずなのである。

 ここで無制限に許しているというのは、有効な防御措置を講じていないという意味である。規約上、あーだ、こーだ書いていても、それは有効な防御方法にはならない。規約に書いておけば済むという発想は、典型的な『サイバーノーガード戦法』でしかないと思うのである。有効な防御方法と罰則規定のない法律のようなもの。問題が発生した時に、運営者側がエクスキューズできるためのものでしかない。

 具体的に言ってしまうと、この考え方に立つと、ブログ、Wiki、掲示板などのサービスのほとんどは『サイバーノーガード戦法』を実戦するトンデモ管理者になってしまう。

サーバ管理者、経営者に朗報!
安価で安全な新方法論 サイバーノーガード戦法!(2004.2.5)
https://www.netsecurity.ne.jp/1_459.html

カカクコム続報
実はサイバーノーガード戦法? 最大の問題は無知の脆弱性(2005.5.17)
https://www.netsecurity.ne.jp/1_2777.html

大手サイトの「4つのやりません宣言」
サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!
(2005.5.26)
https://www.netsecurity.ne.jp/1_2937.html

 ということを考えていたら、来るべきものがやってきた。『サイバーノーガード戦法』を活用しているWikiサービスを使ったP2Pストレージサービスである。

ブラウン大学の院生が Wiki を利用した P2P ストレージを開発→管理者困惑
http://slashdot.jp/it/article.pl?sid=09/04/16/006221

Graffiti Networks
http://graffiti.cs.brown.edu/

 ようするに、データはWikiに置いて、P2Pで通信を行い、自分が必要とするファイルを見つけたら、そのデータをWikiからダウンロードする。なんて便利なシステムだろう。

 これまでのP2Pシステムだと、データのありかを見つけるのも、データそのものを転送するのも、P2Pで行っていたわけで、そうすると巨大なデータを転送する際には帯域を食う。自宅でやると結構、つらかったりするわけである。

 これに対して今回のシステムは、データの転送をWikiのサーバにまかせられる。自分の家の帯域を食われない。素敵だ。

●CGMの前提となっている『善良な利用者』

 このシステムが端的に教えてくれるのは、CGMは『善良な利用者』を前提としているということだと思う。

 CGMの利用規約をちゃんと読んで、それを遵守し、規約に書かれていないことも常識や規約から類推できる範囲で考えてくれる。そんな素晴らしい『善良な利用者』を前提にしないとCGMは機能しない。リアルな社会で、そんなことを言ったら、ありえないだろ、と即座に、つっこまれるんじゃないかと思う。

 インターネット黎明期で利用者も限られており、相互扶助しなければ物事がうまく進まない、ネットそのものがダメになる、そういう時代ならば、『善良な利用者』を期待することは合理的だったような気がする。物事、なんでも黎明期には『善良な利用者』がたくさんいるような気がする。というか、そういう人が集まらないとそのサービスは広がらない。

 しかし、黎明期を過ぎて、社会のインフラになってしまえば、そうも言っていられない…

【執筆:Prisoner Langley】

【関連記事】
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(2)
https://www.netsecurity.ne.jp/3_12915.html
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(3)
https://www.netsecurity.ne.jp/3_12969.html
CGMにおける「招かれざる客」問題
「プログラム上適切だが、不適切な結果となる利用」について(4)
https://www.netsecurity.ne.jp/3_13011.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  4. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  5. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  6. Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

    Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

  7. マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  8. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  9. 「Cloudbase」が Oracle Cloud Infrastructure 対応

    「Cloudbase」が Oracle Cloud Infrastructure 対応

  10. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

    7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

ランキングをもっと見る
ホーム 特集 特集 記事
TOP