この事件は、フリーウェア文化の終焉に繋がる危険がある重大な事件だ。
ソース
- サイトを綺麗に見せる Firefox/Chrome 拡張プラグイン『スタイリッシュ』は、実は悪質なデータ盗聴行為を行っていた(英語)
- 『スタイリッシュ(Firefoxプラグイン)』の買収についてコメント(英語)
- スタイリッシュ(ブラウザ拡張プラグイン)がブラウザ履歴をバックドア(ロバート・ヒートン・英語)
要約
Firefox/Chrome 用プラグイン『スタイリッシュ』が、公式ストアサイトから削除された。利用者の知らぬ間にブラウザ履歴を第三者サイトに送信していることが発覚したためだ。『スタイリッシュ』は、サイトの表示方法を利用者の都合に合わせて設定することができるツールとして注目を浴びたブラウザ拡張プラグインだ。しかし2017年にプログラムの所有者が市場調査系企業の SimilarWeb 変わった。新しいオーナーは処理内容を変更し、スパイ行為を働くように組み込んだ。
ソフトウェア技術者ロバート・ヒートン氏が、どの様な情報がSimilarWeb社に送信されているのか解析したところ、一目では内容がわからないように偽装されたバイナリデータが送信されていることに気付いた。これは明らかに悪いニュースだった。
スタイリッシュのプライバシーポリシーによると、個人を特定できない匿名の情報を収集しているとのことだった。だがヒートン氏が解析したところによると、データは、個人をトラッキングする為のIDが付加された上でSimilarWeb社に送信されていた。
ヒートン氏は次のように述べた。「復号化されたデータをよく見てみたのですが、 送られているデータにはトークン(一意追跡ID)が付けられていたんです。 ─── そして更に1つのリクエストに1つセッションIDが付けられていました。つまりスタイリッシュとSimilarWe社は、今なお、現実世界のユーザーIDと結び付けられかたちで、ブラウザ履歴を持っている…ということを意味しています。
モジラのプラグイン管理担当は、スタイリッシュに対してブロック処置を行うことを決めた。アンドレアス・ワグナー氏の書き込みでは、ブロック処置を行った理由を明確にしなかった。「プラグイン評価の基準に沿わなくなったので、ブロックしました。」
※ ロバート・ヒートン氏がSimilarWebに送られているデータを解析した結果。ブラウザ履歴だけでなく、グーグル検索の結果まで送信していることが判明した。ロバート・ヒートン氏によると、このデータは偽装目的でBase64で2度エンコード処理された上で、送信されている。
解説
この事件のインパクトは、大きい。 確かに以前からスパイ行為を働く無料ソフトはたくさんあった。 例えば「フラッシュゲット」などがその代表格だった。だがこれらは、最初から「スパイウェア」として作られて配布されていたので、気をつけていれば防ぐことが出来た。だがこの事件の発覚により、どんな無料ソフトも、買収されてスパイウェアとして改造されてしまう可能性があるということが明らかになった。これでは、フリーウェアを使っている以上、盗聴を防ぎようがない。
考えられる唯一の方法は、「オープンソース(プログラムの構造が一般公開されている)」のアプリだけを使うことだ。これなら利用者が自身の手によってアプリケーションの処理を追跡し、背徳行為を行っていないか監視することができる。
先日、オープンソースのアプリを開発する最大コミュニティーサイト github がマイクロソフトに買収されてしまった。今の所、利用者の自由を脅かすような目立った動きはない。 ─── だが僕は、日本のシステム屋が、この件に関して何の危機感を持っていないのが、怖ろしい。 日本のネットで githubの買収について意見を述べている人達の大半は、「マイクロソフトは最近、オープンソースに力を入れていたから、全く不自然さはないね」というものだったが、物を知らないということは、実に怖ろしい。
今までマイクロソフトが「仕様です」という有名なセリフによって、どれだけ曖昧な仕様を放置してきたか。どれだけの膨大なバグを放置してきたか。どれだけの弱小フレームワーク利用者を切り捨ててきたのか。ECMAScriptの仕様策定・CSS2の仕様策定・HTML4の仕様策定のときに、マイクロソフトがどれだけ足かせになっていたのか。 ─── これが背面教師となり、今の活発なオープンソース界が出来上がった。今なくてはならない必須ソフトウェアの数々は、ここから生まれてきたのだ。
このことは少しでも歴史を紐解けば直ぐにわかることだが、近年の『IT技術者』はあまりそのことをわかっていないようだ。その洗練されたファッショナブルなトークが光り輝く『IT技術者』達は、コードのコの字すらも書いたことがないと明らかだ。
参考:
スタイリッシュ・2017年1月のプライバシーポリシー変更