• 会員限定
  • 2017/05/15 掲載

マストドンのセキュリティを考える、利用する前に要注意な「3つの問題」

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
SNSサービスの「Mastodon(マストドン)」をご存じだろうか。Twitter(ツイッター)とよく似たサービスとして注目を集めるマストドンだが、サービスの仕組みはツイッターとは大きく異なる。オープンソースソフトウェアであるマストドンは、個別でサーバーを用意すれば誰でもインスタンスを立ち上げることが可能だ。つまり、誰もがSNSサービスの管理者になれてしまうのである。今回は、マストドンのユーザーと管理者が注意すべきセキュリティを考えてみたい。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
非中央集権型SNS「マストドン」のセキュリティ課題は?

手軽さと気軽さで拡散したSNS「マストドン」

 分散型SNS「マストドン」は、2016年10月のリリース後まもなく世界中で話題になり、2017年4月には、日本にもその波が押し寄せてきた。

関連記事

 国内のインターネットサービス企業では、ピクシブ、ドワンゴがインスタンスを立ち上げたり、さくらインターネットがマストドンのインスタンス立ち上げサービスを開始したりといった動きがある。

 マストドンが注目される理由の一つが、「脱中央集権型(Decenterization)」であるということだ。

 脱中央集権型とはどういうことか。マストドンはツイッターやフェイスブックのようにSNSの運営主体が一つではなく、プログラムはオープンソースソフトウェアでGitHubに公開されている。そのため、誰でもSNSサーバー(インスタンス)を立ち上げることができるのである。この手軽さと気軽さが、これまでのSNSにない魅力とも言われているのだ。

マストドンのユーザーと管理者に想定されるリスク

 しかし、企業にしろ個人にしろ、自分でマストドンのインスタンスを立ち上げて運用する際には、さまざまなリスクを想定してセキュリティ対策を講じる必要がある。専門家が指摘するのは、次のようなセキュリティ課題だ。

・ユーザーアカウント管理問題
・悪意ある運営主体問題
・管理者の脆弱性対応問題

退会機能なし? ユーザーアカウント管理問題

 まず懸念されるのは、ユーザーアカウント管理問題である。レンタルサーバーやクラウド上にWordPressのブログを立ち上げるのと同様、マストドンのインスタンスを立ち上げることはそれほど難しくない。

 だからといって、運用も同じとは限らない。管理者は、インスタンスに参加する「ユーザーアカウント」を管理するという重要なタスクがあるのだ。

 原稿を執筆した2017年5月時点では、マストドンには退会機能が実装されていない。たとえば、もしユーザーがアカウントを削除したいという問い合わせがあったときには、管理者はこれに対応しなければいけないが、アカウント削除は手動となるため、退会処理に応じていないインスタンスも存在する。

画像
マストドンのユーザー設定画面からログアウトはできても、アカウント削除(退会)はできないので注意が必要だ

 あるいは何らかの都合でインスタンスを止めなければいけないときには、ユーザーに対してその理由を説明し、アカウント情報を適切に削除しなければならないだろう。

 もしマストドンに興味があり、ユーザーアカウントを作成する場合には、だれがインスタンスを管理しているのかをきちんと認識したうえで利用してほしい。

フィッシングの温床に? 悪意ある運営主体問題

 また多くのセキュリティ専門家は、悪意のある主体が情報収集目的でマストドンを運営する危険性を指摘している。

 万が一、運営主体が悪意を持っていたら、アカウント情報、パスワード、プロフィール、投稿内容などの情報漏えいによる被害が発生しかねない。また、運営主体に悪意がなかったとしても、メジャーなインスタンスに似せたフィッシングサイトが立ち上がる可能性がある。

 フィッシングの場合は、「URLが正規のものはない」ことがわかれば、ある程度被害は防げる。しかし、マストドンはインスタンスごとに異なるドメイン名がたくさん存在する。となると、そもそも正規インスタンスのドメイン名、URLを把握するのさえ難しいかもしれない。ユーザーはきちんとログイン先のインスタンスを確認するべきである。

【次ページ】企業でのインスタンス立ち上げやビジネス利用は慎重に

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます