Smoozのサービス終了について

アスツール社からSmoozのサービス終了が発表されました。
Smoozのサービス終了のお知らせ | Smooz Blog

さて、問題を拡大解釈する人がとても多いので、改めて書いておきますが、私が指摘したのは主に以下の点です。

・プライバシーポリシーが非常に大雑把で、アプリを使う上でのユーザーの情報は企業側が柔軟に使えてしまうようなものだったこと

・何に利用するために、どのような情報を送信しているかが明確ではないこと

・サービス利用データの提供をオフにしても、ユーザーIDと紐付けた情報の外部送信が止まらないこと

・どのようなユーザー情報が記録保存されているか明確になっていないこと

ちゃんと説明をして、送られる情報の範囲を線引きし、ユーザーに対して提示することが必要だと言っているんです。
情報を提供することに対して見合った対価が得られるのであればユーザーは使うだろうということも書いてきたように、ユーザーが納得して使うことには構わないと考えています。しかし、そうした情報を開示することなくユーザーの情報を送信させ続けるのは間違いだという話です。
情報を要求するなら、ユーザーのプライバシー情報をどのように扱っているのか明確にし、オプトアウトもちゃんと機能するようにしてほしいというだけ。

ここに後から付け加えられた争点が、本文の送信についてです。
第一弾の記事を書いた段階で、本文やタイトルらしきものの外部送信には気付いていましたが、それが確実に本文そのものであるのか、はたまた抽出されたキーワード群であるのかは確証がありませんでした。
第二弾の記事を書いた後で、実際に内容が本文そのものであると確認できたため、他の方に協力していただきながらそれが間違いではないかを再確認しました。

その間にセキュリティ専門家の方がアスツール社へ招喚され、脆弱性が修正されたアップデートが配信されましたので、そこで幕引きだろうと思われましたが、そのアップデートが行われた後も脆弱性の修正とは別に、本文送信が続いていましたので第三弾の記事を書いた次第です。

アップデートによってサービス利用データの提供をオフにするとちゃんと停止できるように修正されましたが、サービス利用データの提供おすすめ記事がオンの場合は送信されるままでした。
本文の外部送信という重大なものが『サービス利用データ』に含まれるというアスツール社の考え方はあまりにもズレています。
なによりも、ここで線引きが行われた本文を含む『サービス利用データ』はアスツール社が利用できるデータであるわけで、記録されているのかされていないのか、どのように扱われているかを説明する必要があったはずです。
超ユーザーファースト主義を掲げながらユーザーに対する十分な説明を行わず、データ全消去でサービス終了となってしまったのは非常に残念です。

 

おわりに

セキュリティ専門家の方はSmoozが「スパイウェア」だとか「マルウェア」と呼ばれることに対して遺憾の意を表されておりましたが、これには私も同感で、情報を盗んでいるとか、集めた情報を第三者に売り飛ばしているなんてことはまるで別次元の問題です。
私はあくまでも外部に送信していると書いてきました。その上で、ユーザー情報を利用するなら、送信した後の情報の取り扱い方が不明瞭だから説明すべきだ、と。

しかし、一部のサイトが情報の扱いを確認しないままに「凶悪なスパイウェア」と呼んだり、「ページ内容をまるごと全部送信している」と事実ではないことまで書きたて、ユーザーの間でも「入力したパスワードが全部漏れているんじゃないか」だなんて騒ぎになってしまった。そんなことはどこにも書いていないのに。

クラウド変換機能を持ったIMEはキーロガーではないけれど、過去にSimejiが炎上したのは「クラウド変換がOFFに設定した状態でも、クラウドサービスにアクセスする不具合があった」からで、今回のSmoozの件と構図は似ていますね。今回調査に協力してくれた人も私も悪意をもって実装されたとは考えていない点で一致していました。盗むならもっとやりようがあると。

Simejiや今回の問題を端的に示すならこうです。
機能と意図は理解できるけど、実装と説明は納得できない

faviconの通信に関しては、昨年にDuckDuckGOブラウザでも類似の問題が起きていましたので、「外部サーバーを経由してfaviconを取得するなんてありえない」と書いたのは私の間違いです。

Domains visited get leaked to DDG servers · Issue #527 · duckduckgo/Android · GitHub

DuckDuckGOのCEOはその用途や目的の説明を果たし、また方針の修正をして、ユーザーのプライバシーを最重要視するという立場に立ち返りました。
とはいえ、DuckDuckGOブラウザがホストをfaviconキャッシュサーバーに問い合わせていたのとは違って、Smoozはクエリも含めたURLをまるごと送信していたわけで、「ありえる」からといって「faviconの対価としてフルパスのURLが外部に送信されるのは許容できない」という主張は変わりませんけれど。
DuckDuckGOの例を見れば、ある地点で問題があったとしても、その後の納得のできる行動が示されればユーザーの理解は得られたはずです。

最初の記事では調べ方の説明をした上で、「怒るのは簡単だけど、私の書いていることが正しいかどうかを確認せずに怒ったりしないでください」と書きました。
いろんな視点から調査されてしかるべき問題だし、私の書いたことに間違いがあったら訂正されるべきで、起こっている事実に対してどのような解釈がなされるかも重要だと思ったからです。
ごく少数の方と個別に情報交換をしましたが、それ以外で得られる情報はほとんど流れてこず、ほとんどの方は何が起きているのかを確かめようとせずに怒っているようでした。

誰かひとりの意見を元にして、それが拡散され、大げさに書き換えられていくのも、多くの人がそれを鵜呑みにしてしまうのも怖いことです。
だから、自分と違う視点を持った人の意見はとても貴重だと感じます。結論が違っていても、いろんな立場の視点があったほうがいい。

私はユーザーの立場です。

 

今日の音楽

Future Bassのサブジャンルとして、Kawaii Future Bassを提唱する日本人アーティストのUjico* / Snail’s Houseさん(Wikipedia)。
音ゲーにも楽曲提供をされているので、聞いたことがあるって人も多いかもしれません。

チップチューンのようなピコピコ感と、身体を揺さぶるベースは聴く人をとても楽しげな気持ちにさせてくれます。
そして映像もまた素晴らしいんだこれが!
アイルランドのアニメーターSpeedoSausageさんが手がけたもので、作中に出てくるゲーム作品にはリスペクトが込められていて、それが曲ともリンクする。

Snail’s House – Pixel Galaxy

3:25過ぎの、主人公が風船から手を離すシーンでは特に印象的なメロディが流れます。作中のゲーム作品を知っている人なら必ずみんな笑顔になってしまうはず。
このフレーズを聴くために、そこに至るまでの楽曲を楽しむために、何度でも4分間の旅に出てしまう。

あなたの人生の4分間の有意義な使い方。

35 COMMENTS

匿名

企業や開発側の都合より、ユーザーファーストを考えて公表してくれたあなたは立派です

例のあの人にTwitterで絡まれてましたが、あまりお気になさらず…

アプリの存亡が掛かった大きな問題が話題になっているときに、別の脆弱性探して報告するムーブ意味不明ですし、なんなら止め刺しにいってるし
その脆弱性を見逃してしまったreliphoneさんや、他の開発者を馬鹿にするのも意味不明ですし
自分はタダ働きしたくないとか言っておきながら、他の開発者が脆弱性を報告しなかったことを批判するのも意味不明ですし
プロの誇りとやらを理由に、閲覧情報送信の問題を公にせずに見過ごせというのも意味不明で完全にユーザー軽視の考えですし
ユーザーや第三者に企業の肩を持つことを要求するのも意味不明ですし

あの怪文書を要約すると

「俺が見つけた問題を見逃したお前らは馬鹿、見つけた俺はすごい。サービスが終了したのはお前らのせい。」

ということだと思います。

何より、Twitterでのreliphoneさんに対する無礼な態度や暴言は当然看過できるものではありません
Smooz事件のことはそのうち忘れるでしょうけど、○○○○の名前は覚えておこうと思います。

返信する
Deor

これ結局、ユーザー目線で考えて倫理的におかしいでしょう、って話なのに、技術屋だかなんだか知らない人に絡まれてお疲れ様でした…
課金ユーザーだった身として、個人的には非常に感謝しております。
脆弱性の指摘報告とかマルウェアだとか悪意はないとか目的や意図があるとかどうでも良くて、やり方がおかしいという時点で告発されるべきアプリであったと認識しています。
何より、こちらが想定していない対価まで払っているということに対して憤りを感じていますので、逃げ隠れせず一刻も早く事実関係を公表してほしいところです。

返信する
taros0323

malaさんは「悪意ある第3者がsmooz利用者からフォームを利用して個人情報を同意なく得ることが出来る」
「ユーザー/サーバー以外のネットワーク中間者から閲覧URLが見れる」というセキュリティホールを報告し

maxiさんは「不必要なユーザー情報までトラッキングし、かつその利用用途の説明が不透明であること」を指摘されました。
特にbodyの冒頭556文字がパスワードで保護されたページであってもサーバーに送信されていることは私には非常に不快に写りますが、
じゃあ冒頭556文字に取りたいセキュリティ情報が常にあったか?といえばそんなことはないでしょう。
(むしろ冒頭には注意/お知らせが並ぶので無いほうが多いと思っています。やり方は最悪だがあくまでおすすめのための機能だった)

>>脆弱性ってのは先にオープンにしちゃうとそれを使って悪事を働く奴が出てくるからまずは隠密に報告し、
>>解決したらアップデートを促すってガイドラインがあるんだけど、それすらも説明しなければ荒れる世界なのか

malaさんはこっちですね。で、maxiさんはコンプライアンスと会社の態度に対してなのでこれには当たらない。

そして両者ともに「アスツール社の説明と対応は批判を受けてもしかたがない」としています。
(高木浩光さんも「悪意か無知かどっちかわからん。なのにアスツール社が説明しないまま幕引きした」事は指摘してました)

>>ハンロンの剃刀(無能で説明できることに悪意を見出すな)ってやつです

表現が肥大するTwitter上の伝言ゲームとはてブのカスコメント共がなんか言ってましたが
両者の視点と指摘は同様に大切にすべきだと理解しました。お疲れさまでした。

返信する
匿名

ハンロンの剃刀を持ち出す人が多いけど、的外れ。

本当に無能なら今でも何が問題か分からずに、のんきにサービス継続してるはずだよ。

返信する
匿名

Smoozはかなりの人気アプリだったので、告発に要する勇気は相当なものだったと思います。
様々なプレッシャーや心ない言葉もあった中、冷静に議論を展開されていて肝心いたしまた。本当にお疲れ様です。

よいお年を。来年もまた、素晴らしい記事を楽しみにしています。

返信する
匿名

なんでアスツール社にメール等で報告せずパブリックなブログにいきなり書いたんですか?
アスツール社に報告して改善がみられなければ公開という手順がセキュリティの問題では定石です。
この点に関してあなたは配慮が全くなかったと言わざるを得ません。
いきなりブログに書いてバズろうとしたんでしょうけどやり方が汚いと思いますね。

返信する
名無し

本当にその通りです。
メールの有無に関係なく、晒すようなやり方は反発を招くだけです。
結果として、サービス終了はおろか何の説明もされない最悪の結末になりました。

返信する
匿名

>結果として、サービス終了はおろか何の説明もされない最悪の結末になりました。

ん?最悪なのはそのままサービス継続されることだろ?

返信する
匿名

1ユーザーに脆弱性やセキュリティリスク報告の定石を強要する方がおかしい
アプリやWebサイトに問題を見つけてSNSでシェアする光景なんてもう珍しくもなんともないが、そういう人たちにも「やり方が汚い」「定石と違う」と宣ってるのか?

返信する
匿名

でもその判断を下したのはアスツール側でしょ。
アスツール側だっていくらでも弁明の機会はあったはずなのに。
ユーザーとしてセキュリティ的な不安要素を公表する事に何の問題があるの?
少なくとも訴訟リスクなら承知の上で掲載してるはず。

返信する
匿名

アスツールの社長がTwitterのリプで連絡取ろうとしたのを無視したのはなぜですか?
私はセキュリティの事はあまり分かりませんが直接のコンタクトを無視されたのを見てmaxiさんから誠実さを感じる事はできませんでした。
他の方が書いているようにバズり目的、投げ銭目的だったのだろうと思っています。

もしそうでないならなぜリプを無視したのか説明した方がいいですよ。

返信する
匿名

あの、ブログ主を悪者にしたいがための言いがかりにしか映りませんが。
貴方が「リプを無視した」とどうやって判断したんですか?
Twitter上に記録がないからですか?何でもかんでもやり取りを公にする必要あるのですか?
貴方は他人との連絡を漏れなく全て公にするのですか?

> 私はセキュリティの事はあまり分かりませんが直接のコンタクトを無視されたのを見てmaxiさんから誠実さを感じる事はできませんでした。

貴方がブログ主に誠実さを感じないことは理解しましたが、最初の指摘から1週間足らずでサービスを終了するSmooz側に誠実さを感じることはできましたか?

百歩譲って、貴方が宣う
> 他の方が書いているようにバズり目的、投げ銭目的
だったとして、何が問題ですか?
問題の本丸から目をそらして重箱の隅をつつこうとしているようにしか見えません。

結論、言いがかりも甚だしい。

返信する
匿名

コメント欄を読ませて頂きましたが何だか違和感があります。

実際アスツールの代表は提起した本人に対して数度リプライを送っているようです。

https://twitter.com/sassymanyuichi/status/1339563633555038208

もちろん提起した本人が必ずしもリアクションを取る必要は無いものの、大々的に問題を公開し大きな話題になってしまった以上、これには誠実に対応する必要があったのかなと。(対応するつもりがなければその旨返信すれば良いだけ)

そんな状況下で関連記事を何度も繰り返し投稿しているのですから、客観的に見ると広告収入(バズる)ため〜といった声が挙がるのも致し方ない気がします。

上記ツイに対してリアクションをDM等で送っているのであれば、内容は伏せてアクションの送信日時のみ公開すれば解決しそうです。

こちらの投稿者のファンも多い印象を覚えますが、投稿者に対する指摘に対して目くじら立てて返信するようなことは控えたほうが良いかと。

こちらのコメントが承認されるのか少し気になります。

返信する
匿名

この問題の後、大手スマホブラウザで手持ちの銀行サイトにログインして、
表示されている文字数を調べたところ、556文字位内の中に、
実名も、店番号も、口座番号も、預金残高も、全て含まれていました。

私はセキュリティ研究者でもなく、技術者でも無く、ただの一般利用者ですが、
ここに記載された内容は非常に参考になりましたし、同時に助かりました。
ありがとうございます。

返信する
匿名

せっかくよい問題提起だったのに、後味の悪い結果になった。僕は悪くないです、他の人が勝手に誤解したんですー、か。こういう事はいつか自分にはね返ってきますよ。

返信する
匿名

セキュリティの報告義務がどうの言ってる人がいるけど、例えば本文の一部を送信していることは、会社にとっては既知の事実で、不具合じゃないでしょ。

一旦、不具合の修正が終わった後は、もはこれはセキュリティではなく、プライバシーの問題。

Smoozの実装を問題があると思う人が、ごく少数なら話題にもならず、特に問題なくブラウザのサービスは続いていたし、ブログ主の方が投げ銭をもらうようなことも起きないし、ページビューも伸びなかったでしょう。

でも、問題だと思う人が多かった。Smooz側は釈明してユーザに理解を仰ぎつつサービスを存続させることより、撤退を選んだのは、撤退することのメリットの方が大きいと経営判断したから。ただそれだけの話だと思います。

返信する
匿名

主様を脅迫するようなコメント書いてるヤツなんなの?
閲覧サイトの本文をbase64エンコして送信なんて、「うっかり」やるものではないし「不具合」でも「バグ」でもないぞ。

返信する
hama

セキュリティ脆弱性とプライバシー情報未同意送信は分けて考えるべき

セキュリティ脆弱性が未知の場合、公開することで被害を拡大させる可能性があるため非公開でサービス提供的に伝達すべき

プライバシー情報未同意送信は、既に被害が出ている可能性があるゆえにできるだけ早く食い止めることが優先
アスツール社が悪意の無い無知によるものと分かっていれば道義的配慮として非公開伝達とすべきだが、無知か悪意か確信が無い以上公開で注意喚起したのは致し方ないのかなと思う

返信する
匿名

Safariよりもずっと使いやすかっただけに、いちユーザーとしてただただ悲しい顛末でした。アスツール社があっけなく投げ出してしまったことが最も残念です。機密情報を閲覧するような用途に用いていたわけではなく、本文を送信していたとしても今後修正されるなら気にしないと思っていたところだったので、社の対応に失望しかありません。
こういう会社ならmaxiさんがこの問題を指摘せずとも近いうちに破綻していたでしょうから、早めに分かってよかったと思います。本当にありがとうございます。

返信する
匿名

意図せず大げさな情報拡散に至ってしまうことは、人の世のならいと思いますよ。
発信した当人が後でそれを諌めても、これまた「想定外」との保身コメントとして響きます。鬼の首を取って、怖くなる気持ちは解りますが。

返信する
匿名

対価以上のものを得ていた企業側の”ミス”にたいしては寛大な方ばかりが、個人の功名心にはえらく手厳しいのは興味深いですね。ブログを見て欲しいとの思いから問題を提起するなんて、個人の意見を世界に発信するツールの使い方として、お手本のようだと思った自分にはない発想でした。

おねだりを批判される方もいますが、自分なんかはむしろ金とってるんだから新聞なんかがみつけてくれよと思ったくらいだったので新鮮な意見でした。金とってから問題が見つかった場合はかばって貰えるのに、提供してからねだるとお叱りを受けると言うのだから世の中難しいものですね。

こっそり指摘するべきだったと”配慮”を求める人々が、何故その事をこっそりと伝えようとはしないのか、これは純粋に不思議です。

アスツールの社長がTwitterのリプで連絡取ろうとしたのを無視したと批判される方がいらっしゃいますが、それはあたりまえの行動なのでは…

むしろ連絡を取ろうとする方が問題ではありませんか?
考えてみてください。とても不思議な行動ですから。

両者ともにサイトなりツイッターなりがあるなかで連絡をとって何をしようとしてたんだろう?と、余計な詮索されるだけですよ。

返信する
匿名

信用できない相手からの直接コンタクトなんか無視するに決まってるわな。普通の常識人なら。

返信する
匿名

この人告発も何も、ユーザーとして一般的なツールで解析できる範囲のことしかやってないのだから、別にブログ記事にしてよくね?

自称セキュリティ技術者は、「ブログの前に直接報告を」とか言ってるが虫のいい話だよな。そいつら自身も自分のプログラムにやましい点があるから公表を恐れてるんじゃない? 我々ユーザーはデベロッパーのボランティアデバッカーなんかじゃない。

返信する
匿名

結局ご高説たれてたその自称セキュリティエンジニアも
まだ古いバージョンの利用者がいる状態で、サービス終了して脆弱性が修正されないと分かっているのに、脆弱性の詳細を公開しちゃったんだけどね
みんなあまりにも都合よく忘れているよね
口ではあーだこーだ言ってるけど、実際は自分の功名心が一番大事で、利用者のことなんか何1つ考えてないよ

返信する
匿名

記事を書いてくださってありがとうございました。
斜め上からの叩かれ方をしていますが、あなたは悪くないです。しばらくネットから離れたのも大正解だと思います。
どうか思い詰めないようにご自愛ください。

返信する
ゆず

秘密裏にやり取りしていれば、きちんと修正されて大多数のユーザーが救われたはずです。
このようにやり玉にあげて非難記事を立て続けに発表することにより、
アスツール社も投げ出すほかなかったのでしょう。
便利なブラウザだっただけに、問題提起の仕方に疑問を感じます。

返信する
匿名

そうですね。秘密裏に伝えて報酬をもらう方が、くだらない人間に寄ってたかられて雀の涙程度の投げ銭もらうより遥かに利益になったでしょうに、不思議ですね。

返信する
匿名

maxiさんは防犯グッズの紹介というていの記事でしたので、いわゆる各自防犯しましょう、自衛しましょうってお話でした。

勿論鍵はしめるけど、鍵を閉めても泥棒は減りません。記事のおかげで皆が注意し警戒する、それが連携し自警団が生まれるかもしれませんが、自警団は追い払う事しかできません。見つかっても逃げて幕引きではやったもん勝ち、これではかえってやっても安全と言ってる風にも映ります。

この件は、違法性がありますか?
その場合それは刑事なのか民事なのか、刑事の場合は親告罪なのか、ほうっておいても司法が動くものなのか…記事を読んだ時、他のアプリは大丈夫なのかって思いませんでした?

問題提起の仕方ばかりが話されていますが、そろそろ提起された問題を考えてみませんか?

返信する
匿名

不適切なデータ収集していて悪意がある可能性もあったんだからアスツール社を信用出来ない前提で動くのは当たり前だろうに。
救って貰った人にこそ恨まれると言うのは良い皮肉。
恨んでる側の言ってる事も滅茶苦茶だし、アスツール社の被害者からのお礼の言葉とでも受け取っておけば良い。

返信する
匿名

今更事件に気付きました。
エンジニアもとい社会人の名誉のため言っておきますが
エンドユーザに完璧な対応を求めるアホはいません。

今回の場合は「仕様」として、何の明確な説明も暗号化もなしに
データが無許可で送信されていたことは証明されたように思える。
このブラウザの通信を狙い撃ちで覗き見るだけで個人情報が収集できる恐れがありますよね。

その脆弱性を見てどう思うかは、受け手の自由です。
真実だと信じるに相当する理由があれば。

嘘を広めるのはダメですが、アプリの利便性と天秤にかけて
批判を強めるのはよろしくない。
脆弱性の公開そのものについては敷居を最大限低くすべきだと考えます。

開発元を気にしてアラート上がりませんでした、なんて事態は
管理職として論外すぎるので一言申し上げておきます。

むしろこの手の目に見えるレベルのは積極的に公開されないと
色々と問題だ。

返信する
匿名

おかげで1番使いやすかったアプリは消えた。そこから3年間色んなアプリを使ってるけど、smoozを超えるアプリはありません。返して欲しい。正直セキュリティの脆弱性とか一般庶民にはまるで分からないくらいどうでもいいことだったんだから。

返信する

ゆず へ返信するコメントをキャンセル