開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2017/05/15

マストドンのセキュリティを考える、利用する前に要注意な「3つの問題」

SNSサービスの「Mastodon(マストドン)」をご存じだろうか。Twitter(ツイッター)とよく似たサービスとして注目を集めるマストドンだが、サービスの仕組みはツイッターとは大きく異なる。オープンソースソフトウェアであるマストドンは、個別でサーバーを用意すれば誰でもインスタンスを立ち上げることが可能だ。つまり、誰もがSNSサービスの管理者になれてしまうのである。今回は、マストドンのユーザーと管理者が注意すべきセキュリティを考えてみたい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
非中央集権型SNS「マストドン」のセキュリティ課題は?

手軽さと気軽さで拡散したSNS「マストドン」

 分散型SNS「マストドン」は、2016年10月のリリース後まもなく世界中で話題になり、2017年4月には、日本にもその波が押し寄せてきた。


 国内のインターネットサービス企業では、ピクシブ、ドワンゴがインスタンスを立ち上げたり、さくらインターネットがマストドンのインスタンス立ち上げサービスを開始したりといった動きがある。

 マストドンが注目される理由の一つが、「脱中央集権型(Decenterization)」であるということだ。

 脱中央集権型とはどういうことか。マストドンはツイッターやフェイスブックのようにSNSの運営主体が一つではなく、プログラムはオープンソースソフトウェアでGitHubに公開されている。そのため、誰でもSNSサーバー(インスタンス)を立ち上げることができるのである。この手軽さと気軽さが、これまでのSNSにない魅力とも言われているのだ。

マストドンのユーザーと管理者に想定されるリスク

 しかし、企業にしろ個人にしろ、自分でマストドンのインスタンスを立ち上げて運用する際には、さまざまなリスクを想定してセキュリティ対策を講じる必要がある。専門家が指摘するのは、次のようなセキュリティ課題だ。

・ユーザーアカウント管理問題
・悪意ある運営主体問題
・管理者の脆弱性対応問題

退会機能なし? ユーザーアカウント管理問題

 まず懸念されるのは、ユーザーアカウント管理問題である。レンタルサーバーやクラウド上にWordPressのブログを立ち上げるのと同様、マストドンのインスタンスを立ち上げることはそれほど難しくない。

 だからといって、運用も同じとは限らない。管理者は、インスタンスに参加する「ユーザーアカウント」を管理するという重要なタスクがあるのだ。

 原稿を執筆した2017年5月時点では、マストドンには退会機能が実装されていない。たとえば、もしユーザーがアカウントを削除したいという問い合わせがあったときには、管理者はこれに対応しなければいけないが、アカウント削除は手動となるため、退会処理に応じていないインスタンスも存在する。

画像
マストドンのユーザー設定画面からログアウトはできても、アカウント削除(退会)はできないので注意が必要だ

 あるいは何らかの都合でインスタンスを止めなければいけないときには、ユーザーに対してその理由を説明し、アカウント情報を適切に削除しなければならないだろう。

 もしマストドンに興味があり、ユーザーアカウントを作成する場合には、だれがインスタンスを管理しているのかをきちんと認識したうえで利用してほしい。

フィッシングの温床に? 悪意ある運営主体問題

 また多くのセキュリティ専門家は、悪意のある主体が情報収集目的でマストドンを運営する危険性を指摘している。

 万が一、運営主体が悪意を持っていたら、アカウント情報、パスワード、プロフィール、投稿内容などの情報漏えいによる被害が発生しかねない。また、運営主体に悪意がなかったとしても、メジャーなインスタンスに似せたフィッシングサイトが立ち上がる可能性がある。

 フィッシングの場合は、「URLが正規のものはない」ことがわかれば、ある程度被害は防げる。しかし、マストドンはインスタンスごとに異なるドメイン名がたくさん存在する。となると、そもそも正規インスタンスのドメイン名、URLを把握するのさえ難しいかもしれない。ユーザーはきちんとログイン先のインスタンスを確認するべきである。

【次ページ】企業でのインスタンス立ち上げやビジネス利用は慎重に

ソーシャル・エンタープライズ2.0 ジャンルのトピックス

ソーシャル・エンタープライズ2.0 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!