Twitterの連携アプリを「許可する」ボタンのリスク

Twitterを外部アプリと連携するリスクについて。リスクを知って賢く使って頂くための情報。

TwitterのDM(ダイレクト・メッセージ)機能はメールよりも気軽で便利な連絡手段として普及しつつあります。でも、気をつけてください。あなたが技術者のようにTwitterのことを理解していないのであれば、DMが盗み見られる可能性は、おそらくあなたが考えている以上です。

〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました(参照:Twitterブログ: ミッション: アプリ認証でのアクセス権)。さらには連携アプリの一覧画面もありますので、プライバシーに関する機能が充実しました。詳しくはサードパーティアプリケーションとの連携方法もご覧ください。〕

〔註:本稿はなるべく多くの人に読んで頂けるように、易しく書きました。このように「註」欄で詳しい説明を書いていますが、詳しく知りたい人向けですので、読み飛ばして頂いても構いません〕

「DMで大事な話をすることがある」というツイートを見かけたのが、本稿を書くきっかけになりました。リスクを知った上で賢く使って頂くために、DMと連携アプリについての危険性を指摘することにしました。

本記事は具体的にああしろこうしろという指図はしません。考える材料を提供するだけです。「リスクがある前提での賢い使い方とは何か」を自分で考えたいという方のために書きました。先にお断りしておきますが、最後まで読んで「結局何が言いたかったのか」という不満を持つのが嫌なら、読まないでください。

本稿の構成

まず「Twitterクライアント・アプリ」のリスクについて説明したのち、それ以外の「連携アプリ」のリスクについて説明します。なぜ危険なのか、どう危険なのかについても説明します。最後に、このような知識の必要性(危険に見えない危険を避けるための知識)について説明します。

これは「危険だから使うな」という警告ではなく「取れる範囲のリスクを取って、積極的に活用する」ための基礎知識です。

Twitterクライアント・アプリの開発者にDMが盗み見られる可能性

Twitterクライアント・アプリはご存知でしょう。すでにご利用かもしれませんね。ブラウザでtwitter.comにアクセスするより、Twitterクライアント・アプリからTwitterを利用するほうが便利だと感じる人は多いでしょう。Windows, Mac, iPhone, Android, 携帯電話のアプリやモバツイなど、様々な形態の「Twitterクライアント・アプリ」があります。

Twitterクライアント・アプリの大半にはDM送受信機能があります。仕組み上は、アプリ開発者が利用者のDMを盗み見ることは簡単です。これだけ沢山のアプリがあり、それだけ多くの開発者がいるということは、一人くらい悪い奴がいるかもしれません。注意した方がいいでしょう。

架空の例で説明します。あなたがSteelDM(仮名)というTwitterクライアント・アプリを使うことで、SteelDMの開発者は、あなたのDMを盗み見ることが可能になります。どのアプリ(twitter.comも含む)で送受信したDMであるかは関係ありません。例えば「軽い気持ちでインストールしてみたけれど、一度使っただけで、すぐに削除した」といった場合でも、そのたった一度の使用時に、それ以前のDMまで遡って盗まれるのです。

安心と信頼

通信の秘密は、倫理的・法的には守られていますが、原理的・技術的に守られているわけではありません。アプリ利用者の通信内容は、アプリ提供者に筒抜けです。のぞき見るか見ないかは、技術の問題ではなく、倫理の問題です。

アプリ開発者は、有名企業から無名の個人まで幅広い。悪意を持ってアプリを提供している提供者だって、いるでしょう。何も考えずに安心しきって利用するのは無防備です。自分の判断で信頼できるアプリを選んでください。もしくは、信頼が不要な使い方をしてください(後述)。

もしあなたが「自分の判断に基づいて信頼すること」の必要性に無自覚だったなら、いま使っているアプリの開発者が信頼に足るかどうか、この機会に考えてみてはいかがでしょうか。

また、自分なりの利用ルールを作るのもよいでしょう。例えば、「TwitterのDMでやりとりする情報は、最悪の場合、アプリ提供者に知られてもいい情報だけにしておく」といった具合に。さらには、「他人のプライバシー情報は避ける」「職務上の機密事項は避ける」など。(※これが前述の「信頼が不要な使い方」)

※余談ですが、安心と信頼については:安心社会から信頼社会への移行をグーグルが強制している - アンカテ

ここまでは易しい話でしたが、ここからは直感的には分かりにくい話になるかもしれません。

Twitterの連携アプリ

あなたのTwitterアカウントにアクセスするアプリケーション(連携アプリ)は、Twitterクライアント・アプリだけではありません。様々なアプリケーションが、あなたのアカウントにアクセスします。例えば、Twitterのつぶやきをブログ形式で保存してくれるTwilogや、誰でも簡単に診断ゲームを作れるツイッター診断メーカーなどの「連携アプリ」です。

これらの連携アプリがあなたのTwitterアカウントにアクセスするためには、もちろんあなたの許可が必要です。あなたがこれまでに許可した連携アプリはtwitter.com上の「連携アプリ」という画面で確認できます(設定メニューの中にあります)。下の写真は連携を許可するための確認画面です。見覚えがありませんか?

TwitterOAuthScreen.png

〔註:上図は架空の例です〕

アプリに連携を許可すると、一体どうなるのでしょうか。簡単に言えば「自分のTwitterのパスワードを渡したようなもの」です(註:実際にパスワードを渡しているわけではないので、パスワード変更操作などはできませんが)。あなたがTwitterに関して出来るほとんどすべての操作は、連携アプリにも出来るようになります。Twitterに関する、ほとんどすべての権限をアプリに与えたことになります。

〔註:専門家向け:詳しく言えば、許可にも2つのモードがあります。「読むだけ(read-only)」と「読み書き両方(read/write)」の2つです。「読むだけ(read-only)」の許可ではwrite操作ができません。write操作とは、ツイートしたり、DMを送信したり、フォローしたり、といった何らかの状態変更を伴う(twitterのサーバーに何かを書き込む=writeする)操作のことです。本稿で考察している「DMを盗み見られるリスク」については「読むだけ(read-only)」の許可で十分です〕

連携アプリのリスク

連携アプリも仕組み上は、あなたのすべてのDMを盗み見ることができます。先のSteelDMという架空の例で説明したのと同様に。

ふたたび架空の例です。想像してください:あなたの友人が「コーラ占い」の診断結果をツイートしました。そのツイートには診断用のURLが記載されていました。あなたはそのリンクをクリックして、自分も診断を開始します。すると、下図のような確認画面が出てきました。

TwitterOAuthScreen.png

何かゴチャゴチャと、よくわからないことが書いてあります。面倒くさいので、よく考えずに「許可する」ボタンを押しました。すぐに診断結果が表示されます。あなたはその診断結果を面白いと思ったので「ツイートする」というボタンを押しました。すると、定型文にURLがついたツイートが、あなたのツイートとして送信されました。さきほどあなたが見た友人ツイートと同様のものです。

さて、このシナリオについて考察してみましょう。この架空の占いサイトは「連携アプリ」です。あなたも過去にこういう行動をしたことがあるかもしれませんね。

この架空の例では、じつはアプリ提供者が、あなたのDMをこっそり盗んでいます。あなたはそれに気付くことができません。あなたには見えないところで起こっていることだからです。疑ったところで、確かめる方法はありません。

このような危険があるので、アプリを許可する際には、十分に注意しましょう。信頼に足るアプリ提供者か確認しましょう。

狙われやすいTwitter

悪意ある開発者の立場で考えてみてください。口コミで利用者が増えていくタイプのアプリはうってつけです。Twitter上ではすでに様々な診断アプリが使われていますので、つけこむ隙がある。様々なプラットフォームのなかでもTwitterなら効果的にプライバシーを侵害することができる。

このような考察から、私はTwitterが狙われやすいプラットフォームだと思っています。

危険に見えない危険の怖さ

本稿の前半ではTwitterクライアント・アプリの開発者にDMを盗み見られるリスクについて考えました。それは直感的で分かりやすい話だったでしょう。それに比べれば、連携アプリ(占いサイトなど)にDMを盗み見られるリスクは直感的には理解しづらいのではないでしょうか。

占い・診断サイトや、ツイートのログを保存するサイトが、自分のDMを盗む。DMを利用しないサイトに、こっそりDMを盗まれる。知識がなければ想像もできないような手口ではないでしょうか。

連携アプリを「許可する」ボタンは非常に危険です。危険なボタンなのに、危険に見えない。このこと自体が危険です。危険に見えない危険なものほど、危険なものはありません。

Twitter社がアプリ連携の確認画面を改良し、危険が分かるようにしてくれれば解決する問題ですが、それまでは利用者自身が気をつけるしかありません。

危険に見えない危険から身を守るためには、それが危険であると知っていなければなりません。知識によって自衛する必要があります。

〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました。参照:Twitterブログ: ミッション: アプリ認証でのアクセス権

おわりに

本稿はみだりに危機感を煽る目的で書いたのではありません。Twitterクライアント・アプリ開発者の多くは、おそらくは善良な人々であって、あなたのDMを盗み見る目的でアプリを作っているわけではないでしょう。しかし、悪意ある開発者がいないという保証は、どこにもありません。

本稿はあなたに「リスクがあるから避けろ」とは言いません。そこは誤解しないでください。リスクを理解した上で、賢く活用してください。

冒頭に書いたように、具体的にああしろこうしろと指図するつもりはありません。考える材料は提供しましたので、あとはご自身で考えてください。ぜひ考えたことを共有して頂ければと思います。(私だけでなく他の読者の方のためにも)

本稿はTwitterに関して一部のリスクを取り上げた記事です。ただ、このようなリスクはどのような情報通信技術にも存在します。それは本稿の範囲を超えますので別の機会に論じたいと思いますが、一つだけ強調しておきたいことがあります。リスクは悪ではありません。リスクを避けるか、リスクを取るか、どれくらいのリスクまでは取ることができるか。それはあなた自身が判断すべきことです。情報通信技術を賢く活用するために、リスクと賢くつきあってください。私の考えでは、「取れる範囲のリスクを取って、積極的に活用する」ことが、リスクとの賢い付き合い方です。

専門的な余談

〈危険に見えない危険なもの〉は警戒されず、不用意に扱われ、事故になる。物体の世界よりも情報通信の世界で起こりやすい。情報通信技術におけるアフォーダンスとデザイン。不可視な危険性の可視化。悪玉ユーザーエクスペリエンスとアーキテクチャ支配の不可視性に通じます。

関連記事

トラックバック(0)

トラックバックURL: http://zerobase.jp/mt/mt-tb.cgi/890