ここから本文です

Instagramのプライベートコンテンツが漏れ漏れってホント?→そうとも言えるけど「ハック」ではないよ

9/18(水) 20:01配信

ギズモード・ジャパン

要注意なのは悪意あるフレンズ。

米BuzzFeed Newsは最近、Instagramとその親会社Facebookで、コンテンツ公開設定の抜け穴を発見したそうです。もともとコンテンツが見られるユーザーなら誰でも、ちょっとゴニョゴニョすればフレンドの画像/動画の公開リンクが取得できちゃいます。その具体的な方法とは、HTMLからリンクを探してコピー…ただこれだけです。

以下、米BuzzFeedからの引用になります。

このハックは、Instagramのストーリーでも機能し、HTMLやブラウザの基本的な理解があれば十分。数回のクリックで実行できます。ユーザーは単純に、ページにロードされた画像やビデオを調べ、ソースURLをぶっこ抜くだけです。この公開URLは、Instagramにログインしていない人や、そのユーザーをフォローしていない人にも共有できます。

米BuzzFeedのテクノロジーとニュースの作業班が実施したテストでは、プライベートフィードやストーリーのJPEGやMP4は、この方法で表示、ダウンロード、共有できました。

...

こうしたデータはすべて、Facebookのコンテンツ・デリバリ・ネットワークによってホスティングされているため、抜け穴はFacebookのプライベートコンテンツにもあてはまります。

Vergeによる、Instagramのプライベート画像へのリンク例がこれ。

ばっちりアクセスできてしまいますよね。

画像への公開リンクは他サービスでも生成されます

米BuzzFeedはこれを「ハック」と呼んでいます。でもこうした挙動、大規模なWebサイトのバックボーンとして機能するコンテンツ・デリバリ・ネットワーク(CDN)を活用するサービスにおいては、いたって普通のことです。HTML内のURLは、キャッシュサーバー上にコピーされたコンテンツへのリンク。許可されてないユーザーからのアクセスを防ぐための、最も簡単で計算負荷のかからない方法は、やたらと長いURLを発行することです。

実際のところ、URLが十分長いものであれば、これを推測することは事実上不可能でしょう。つまり、画像や動画が見れるユーザーがURLをコピーして共有しない限り使えない方法なのです(あるいは悪意あるAIが開発されれば可能かもしれませんが)。

「そういう仕様」という側面が強い
不正アクセスを防ぐために、追加の認証を実装することも可能です。でも2010年にはすでに、Hacker Newsのスレッドで、Facebookが追加の認証の維持に人力とリソースを費やすことに意味があるのかが議論され、そこでは疑問の声があがっています。

以下、iOSディベロッパーのBenjamin Mayo(@bzamayo)さんのつっこみです。

Googleフォトなんかのほとんどのアプリについて言えることです。CDNのURLは長いので推測できません。なので、URLを共有することは写真を保存しておいて共有するのも同じです。

こちらも同じくBenjamin Mayo(@bzamayo)さん。

ほとんどのプライベートコンテンツには技術的理由で公開リンクがあります。推測するのはむつかしく、アカウントのパスワードを推測されるより安全です。

友だちのプライベート投稿のスクショをとって公開したりしないでしょ?
FacebookはVergeに対して次のような声明を出しています。

書かれている内容は、FacebookやInstagramで友人の写真のスクショを撮って共有するのと同じことです。ユーザーの個人アカウントへのアクセスを許可するものではありません。

(ニュースとしての価値があるかについても議論の余地があります。Instagramの写真に公開リンクからアクセスできることは、広く知られている事実です)

1/2ページ

最終更新:9/18(水) 20:01
ギズモード・ジャパン

こんな記事も読まれています

あなたにおすすめの記事