手軽さと気軽さで拡散したSNS「マストドン」

　分散型SNS「マストドン」は、2016年10月のリリース後まもなく世界中で話題になり、2017年4月には、日本にもその波が押し寄せてきた。


　国内のインターネットサービス企業では、ピクシブ、ドワンゴがインスタンスを立ち上げたり、さくらインターネットがマストドンのインスタンス立ち上げサービスを開始したりといった動きがある。

　マストドンが注目される理由の一つが、「脱中央集権型（Decenterization）」であるということだ。

　脱中央集権型とはどういうことか。マストドンはツイッターやフェイスブックのようにSNSの運営主体が一つではなく、プログラムはオープンソースソフトウェアでGitHubに公開されている。そのため、誰でもSNSサーバー（インスタンス）を立ち上げることができるのである。この手軽さと気軽さが、これまでのSNSにない魅力とも言われているのだ。

マストドンのユーザーと管理者に想定されるリスク

　しかし、企業にしろ個人にしろ、自分でマストドンのインスタンスを立ち上げて運用する際には、さまざまなリスクを想定してセキュリティ対策を講じる必要がある。専門家が指摘するのは、次のようなセキュリティ課題だ。

退会機能なし？　ユーザーアカウント管理問題

　まず懸念されるのは、ユーザーアカウント管理問題である。レンタルサーバーやクラウド上にWordPressのブログを立ち上げるのと同様、マストドンのインスタンスを立ち上げることはそれほど難しくない。

　だからといって、運用も同じとは限らない。管理者は、インスタンスに参加する「ユーザーアカウント」を管理するという重要なタスクがあるのだ。

　原稿を執筆した2017年5月時点では、マストドンには退会機能が実装されていない。たとえば、もしユーザーがアカウントを削除したいという問い合わせがあったときには、管理者はこれに対応しなければいけないが、アカウント削除は手動となるため、退会処理に応じていないインスタンスも存在する。


　あるいは何らかの都合でインスタンスを止めなければいけないときには、ユーザーに対してその理由を説明し、アカウント情報を適切に削除しなければならないだろう。

　もしマストドンに興味があり、ユーザーアカウントを作成する場合には、だれがインスタンスを管理しているのかをきちんと認識したうえで利用してほしい。

フィッシングの温床に？　悪意ある運営主体問題

　また多くのセキュリティ専門家は、悪意のある主体が情報収集目的でマストドンを運営する危険性を指摘している。

　万が一、運営主体が悪意を持っていたら、アカウント情報、パスワード、プロフィール、投稿内容などの情報漏えいによる被害が発生しかねない。また、運営主体に悪意がなかったとしても、メジャーなインスタンスに似せたフィッシングサイトが立ち上がる可能性がある。

　フィッシングの場合は、「URLが正規のものはない」ことがわかれば、ある程度被害は防げる。しかし、マストドンはインスタンスごとに異なるドメイン名がたくさん存在する。となると、そもそも正規インスタンスのドメイン名、URLを把握するのさえ難しいかもしれない。ユーザーはきちんとログイン先のインスタンスを確認するべきである。

【次ページ】企業でのインスタンス立ち上げやビジネス利用は慎重に