日本レコード協会が17日から始めた著作権啓発キャンペーン、「LOVE MUSIC」の特設Webサイトが、Twitterのパスワード入力を求めて来るとの批判を受け、同協会は24日、Twitter連動機能を一時停止した。同協会は、システム上での保存は行っておらず、セキュリティについてもTwitterが推奨するOAuth(オース)認証を使用していたが、説明不足だったと釈明。パスワード入力が不要となるよう、仕様の変更を行うとしている。
同協会のキャンペーン特設サイトには、渋谷をモチーフにした仮想の街「LOVE MUSIC TOWN」が設置され、ユーザーが書き込んだTwitterへのつぶやきによって街が音楽で溢れていく様子を演出しようという趣向だった。
ユーザーがこの「LOVE MUSIC TOWN」でつぶやこうとすると、Twitterの公式サイトには移動せず、その場で投稿コメントとTwitterのID/パスワードの入力を求める仕様になっていた。コンテンツはFlashで作成されているため、ブラウザのセキュリティ機能は利用できず、送信先や正当性、SSLで保護された通信が用いられているかといったことが一切確認できない状況下で、アカウント情報を入力させようとしていた。
■”フィッシングまがいのキャンペーン”批判の理由
ゲームやSNSなどのアカウント情報を騙し取ろうとするフィッシングでは、「賞品がもらえるキャンペーン」「新サービスへの招待」「βテストへの参加」「あなたをブロックしている人を探します」など、いろいろな理由を付けてユーザーを欺き、公式サイト以外の場所でアカウント情報を入力させようとする手口が用いられている。今年5月には、ユニクロが同じやり方でTwitter連動キャンペーンを行って批判を浴びている。
サイトの運営者は、他のサービスのアカウント情報を求める、このようなフィッシングまがいのキャンペーンを行ってはいけない。ユーザーもまた、公式サイト以外の場所でアカウント情報を入力しないよう、注意しなければいけない。万が一、公式サイト以外で入力してしまった場合には、直ちにパスワードを変更するよう心がけよう。
Twitterでは、このようなユーザーの全権を第三者の手にゆだねてしまうことがないよう、OAuthという認証方式を提供している。OAuth認証の場合には、第三者のサイトにID/パスワードを渡して処理させる代わりに、アクセストークンと呼ばれる、アクセス機能を制限した一時的な許可証をTwitterに発行してもらい、第三者のサイトはこれを使って処理を行う。OAuthの認証時にはTwitterのサイトが開き、そこで第三者のサイトからの要求を許可するかどうかを選択するようになる。
アクセストークンが悪用されるかどうかは第三者のサイト次第だが、この仕組みによってパスワードを知られてしまうリスクはなくなる。第三者のサイト上で、TwitterのID/パスワード入力を求められることはない。
(2010/12/28 ネットセキュリティニュース)
【関連URL】
・キャンペーンサイトのセキュリティについて(日本レコード協会)
http://www.riaj.or.jp/lovemusic_cpn/news/cat24/index.html#page73
・著作権啓発キャンペーン「LOVE MUSIC」(日本レコード協会)
http://www.riaj.or.jp/lovemusic_cpn/