ここから本文です

盛り上がりつつある「Mastodon」、セキュリティは大丈夫?

4/18(火) 8:49配信

ITmedia エンタープライズ

 「Mastodon」(マストドン)というWebサービスが、ここ数日で大きな注目を集めています。

【Safariなど、Webブラウザのパスワードを自動生成する機能が便利】

 見た目がTwitterそのものですが、オープンソースと分散型によるシステムが特徴で、サーバを立ち上げれば誰でも(スキルがあれば)、誰からも干渉されないマイクロブログが作れるという、ドイツに住むEugen Rochkoさんが作ったSNSシステムです。

 日本では、ASCII.jpの記事「Twitterのライバル? 実は、新しい「マストドン」(Mastodon)とは!」をきっかけに知れ渡り、ITmediaでも解説記事や連載「マストドンつまみ食い日記」が掲載されています。

 そして大学院生である、ぬるかる(nullkal)さんが個人で立てた「mstdn.jp」は、今や世界最大ユーザー数を誇るサーバとなりました(編集部注:4月18日現在、ピクシブが運営する「Pawoo」が最大数となっています)。ここまでわずか7日間。インターネットの世界は本当に進化が早いです。

●パスワードが抜かれるから危険? 「使い回し」はもっと危険!

 ところでこの話、進化が早いという点で気になったことがありました。

 通常、こうしたITサービスは、機能や規模が広く、大きくなったあとに、やっと「ところでそれって安全?」という話が出てきます。Twitterも、アプリ認証やスパムが話題になり、「皆さん気を付けましょう」と言われ始めたのは、サービスが始まってから相当たってからでした。

 ところが、マストドンでは早速「見知らぬ個人のサーバに登録すると、メールアドレスとパスワードがバレてしまう!」という投稿が散見されます。セキュリティに注目する動きは大変ありがたいのですが、残念ながら、それはマストドン特有の話ではありません。

 オープンソースのサービスは、公開されたソースコードを元にして、技術があれば、誰でもサービスを展開できることが特徴です。その際に「悪意ある管理者」がソースを改変すれば、確かに登録したメールアドレスとパスワードを盗むことは可能でしょう。

 しかし、これはどんなサービスでも、個人、法人問わずに行われる可能性があります。むしろ、オープンソースの世界では、多くの開発者の目が光っています。内部構造を誰もが確認でき、修正も可能です。そのため、誤ったパスワードの実装は改善されるはずで、逆に「安全」とも言えるくらいです。

 そもそも、このパスワードが抜かれるから“危険”だという考え方自体が、パスワードの使い回しを想定した話です。もし、あなたが「どこの誰とも知らないサービスにパスワードを盗まれたら困る」と思うなら、「バレても影響がないパスワードを使えばよい」と考える方が、リスクはより少なくなるでしょう。

●iOSのパスワードジェネレーターを使おう

 私も以前は、信頼できないサービスや、1度しかログインしないであろうサービスでIDを作るときに、漏れてもいい簡単なパスワードを使っていた時期がありました。案の定、そのパスワードがメールアドレスとともに漏えいしてしまい、身をもって危険性を感じたこともあります。

 ですが、今はもっと簡単な方法があります。パスワードの全てをブラウザやパスワードマネージャーに任せるのです。例えばiPhoneでは、ブラウザアプリである「Safari」に、パスワード候補を表示してくれる機能があります。IDを新規登録するときにパスワード欄をタップすると「パスワード候補を表示」というメニューが出てくるので、これをタップすると、大変強固なパスワード文字列を提案してくれます。

 出てきた文字列は「aegCPvzo8etN」。こんな長くて規則性のないものは普通、覚えられません。iOSの場合、このパスワードをクラウド上に自動で保存するため、基本的に文字列を覚える必要はなく、iPhone自体を適切にロックしてセキュリティを保てばいいはずです。

 「パスワードのクラウド同期が信用できる場合」という条件はありますが、私はこれを活用し、見知らぬサービスであればあるほど強固なパスワードを利用し、その後はすっかり忘れています。

 どんなサービスでも、悪意さえあれば「パスワードを抜かれる」というリスクは確かにあります。しかし、新しく登場したものや個人が運営するものに対して、むやみやたらに「危険だ」といっていては、イソップ童話の“オオカミ少年”のごとく、本当に危険なときに対処できないかもしれません。

 ITセキュリティは「適切に」怖がることが重要です。信頼とリスクのバランスを考え、SNS上に流れている情報をうのみにするのではなく、自分自身できちんと判断ができるよう、常に学んでいくことが大切です。

Yahoo!ニュースからのお知らせ