パスワードを忘れた? アカウント作成
2061676 story
インターネット

はてブボタンを表示するスクリプトがスパイウェア的な挙動をしていたことが話題に 102

ストーリー by reo
どうしてこうなった? 部門より

ある Anonymous Coward 曰く、

はてなブックマークボタンを自サイトに設定するためのスクリプトで行動情報が取得されていたことが話題となっている (M.C.P.C.の記事最速転職研究会の記事より) 。

セキュリティ研究家の高木浩光氏はこれを受けて「もう、はてブ使うの、やめよう。Twitterでいいよ。いらないよね。さようなら。はてななんか倒産すればいいよ。」と発言、各所で話題となっている (NAVER まとめの記事より) 。

問題とされているのは、このスクリプトを使っているサイトを表示するだけでトラッキングが行われる、という点と、このボタンを設置する側がその旨を知らずにボタンを設置している可能性が高いという点。高木氏曰く「特に悪質なのは、仕掛けなしの当該ボタンが広範に普及した頃合いを見計らって、後からトラッキングの仕掛けを注入してきたこと。まさに騙し討ち。悪質極まりない。 .js 埋め込みパーツが突如マルウェア化する危険性を体現している。」(つぶやき) とこの件の悪質さについて述べている。

ちなみにはてなでは行動情報を取得しない、はてなブックマークボタンの作成ページをわざわざ用意しているが、その存在はほとんど知られていなかったようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年03月12日 11時02分 (#2115797)

    この手のトラッキングは実はTwitterやfacebookもつぶやくボタンやらいいねやらで似たような事をやっているわけだけれど、新しく設置されるボタンから適用ではなく、現時点で設置されているはてな管理外も含む全てのボタンに、第三者の広告屋のトラッキングを仕込んで、オプトアウトしたければ書き換えろと言う扱いにしたと言うところがなんともいただけないね。

    正直はてなブックマークボタンなんぞ設置しているところは消す理由がないからなんとなくってのがほとんどだろ。新規もまぁ無いよりはあったほうがいいやTwitterとfacebookのついでにつけとこうぜ程度の消極的なレベルだと思うのだが。
    メリットが少ない一方デメリットが増えてきたとなれば、離れる理由ができたわけで一気に減る予感。少なくともオプトアウト版に張り替える動きは出ている模様。(ちらっと確認したらImpressとかニュースサイト系はオプトアウト版に書き換わってきているみたい)

    #特に商用サイト構築の場面では、TwitterやFacebookは両社の話だけ客(サイトを作りたい人)に説明すればよい一方
    #はてなは「microad」というさらに第三者の広告屋の話もくっつけなきゃならんくなる可能性があるわけで正直面倒
    #んなリスクをやるほど付けるメリットが無くなってきているのが正直な所。

    ほかの忍者何某とか惰性で使われている系のブログパーツ屋も似たような事をやっているようなので、ターゲッティング広告屋はそう言う所を狙っているんだろう。ターゲッティング広告屋は管理を放置されているページに残るぐらいでも十分に利益を上げられるだろうし、契約は従量換金だろうから、その結果ブログパーツと呼ばれるものの設置が減ろうとあまり痛くも無いのだろう

    はてなはここら辺のリスクをどう考えて導入したのだろうか?
    いちいちセキュリティで騒ぐような煩い奴らをなんぞはユーザとしてうま味が無いからあえてこう言う事をすることで切り捨てにかかったんだろうか。でも正直それを切ったら後はうごメモはてなぐらいしか残らんが。
    このうごメモをはじめ、確かにガキをだまくらかして、カラースターなどと言う無形のものを売りつけ金を取ると言う無知につけ込んだビジネスで 比較的年齢の若い層に向けたビジネスはそれなりに堅調に見えるが、未だに3DS版のうごメモは出ず、はてなは子ども向けSNSを作ろうとして任天堂の逆鱗に触れると言う事をやらかしたと言う噂もある中どうなるかわからんがどうなんだろか。

    それとも、内情はかなりカツカツなのだろうか?
    はてなブログという未完成以下のサービスで月額980円のプランを初めて見たり、メール一通いくらと言う料金体系で出会い系まがいの自称高級な転職紹介サイトでCFOを募集して上場を目指すと言ってみたり、必至に資金集め、マネタイズに走っているようなのだが。Facebookモドキで何も知らんおじさん投資家に受けのよさそうなはてなOneとかはじめたりとかね。

    • この手のトラッキングは実はTwitterやfacebookもつぶやくボタンやらいいねやらで似たような事をやっているわけだけれど、

      やってねーよ。だから問題になってるんだろうが。
      タレコミのリンク先の記事(最速転職研究会 [hatena.ne.jp])くらい読め。

      GoogleもFacebookもトラッキングに使うということを否定している。それをやったら大問題だからだ。

      Googleの場合
      http://support.google.com/plus/bin/answer.py?hl=ja&answer=1319578&... [google.com]
      "+1 ボタンはウェブ上のユーザー アクセスのトラッキングには使用されません"
      "一部のデータは Google にてシステムの保守とバグ修正の目的で通常 2 週間程度保持する場合がありますが、特定のプロフィールやユーザー名、URL と関連付けられることはありません。"

      Facebookの場合
      https://www.facebook.com/help/?faq=293506123997323 [facebook.com]
      "あなたがログインしているかどうかに関わらず、弊社は、あなたが[いいね!]ボタンや他のソーシャルプラグインが実装されたサイトにアクセスした際に送信される情報を、第三者のサイトでのあなたのブラウズ行為のプロフィールを作成したり、広告を表示させりするために使用することはありません。"
      "弊社に送信される情報は90日以内に削除または匿名化され、あなたの許可無く広告主に販売されたり共有されたりすることはありません。"

      単に「アクセスログが残る」という話だったのに「情報が収集される→トラッキングされる→広告の最適化に使われる」と人々の意識に刷り込まれてしまった。

      親コメント
    • by Anonymous Coward on 2012年03月12日 11時26分 (#2115808)

      jkondo「もはや金銭的なモチベーションだけでは、生き残ることができなくなっています(キリ」
      http://jkondo.hatenablog.com/ [hatenablog.com]

      親コメント
    • by Anonymous Coward on 2012年03月12日 11時21分 (#2115803)

      「はてなランド」では年間監視コストというリスクを見てなかった
      のだけど、今回もリスクを見てなかったようだな。

      親コメント
    • by Anonymous Coward

      京都だったら株券印刷の上手なド○コムというベンチャーがあったんで、そこに相談してはどうでしょうかね。

    • by Anonymous Coward

      はてなランドとか、高価で低機能なブログサービスとか、もう何考えてるのかわからん。

  • Chromeの場合「サードパーティの Cookie とサイト データをブロックする」というオプションがありますが
    これ、Cookieだけではなくて、画像やjsやcssなども基本的に元htmlのドメイン外から取得するのは原則禁止にしたいですね。
    例外は追加設定で。

    ブラウザにそういった機能がほしいです。

    • IEの「InPrivate フィルター(IE8)」または「追跡防止(IE9)」機能がこの種のトラッキングに対して、効果的かつ副作用も少ないです。
      この機能は、複数のサイトで共有されている別ドメインのコンテンツのみをブロックする仕組みなので、Firefoxの「RequestPolicy」のように、いちいちホワイトリストを設定する必要も基本的にはありません。

      ただし、IE8の場合は、この機能はデフォルトでオンにならなない [microsoft.com] *ため、オンにするのを忘れがちという欠点があります。

      * レジストリを操作すれば [microsoft.com]規定でオンすることもできます。

      親コメント
    • by Wingard (37819) on 2012年03月12日 11時29分 (#2115813)

      NoScript
      http://ja.wikipedia.org/wiki/NoScript [wikipedia.org]

      トップドメインだけ許可してあと全部不許可とかできます。

      親コメント
    • by Anonymous Coward

      ChromeにはRequestPolicyないの?
      バージョン17でWebRequest APIが実装されてそういうアドオンを作ること自体は可能になったみたいだけど

    • by Anonymous Coward

      画像もjsもcssも、それやると多くのサイトが正常に表示されなくなっちゃいませんか?
      トラックングだけ止める方法があるといいのですけど。

      • by Anonymous Coward on 2012年03月12日 10時47分 (#2115791)

        RequestPolicyをホワイトリストなしで運用してみるとわかるけど使いものにならないレベル。とくに最近は静的コンテンツだけ別ドメインに切り離すのが流行ってるのでなおさら影響が大きい。
        ただ、CSSがなくても見栄えを気にしなければちゃんと読めるページが意外と多い。HTMLをCMSで自動生成することが増えたからかな。

        親コメント
        • by Anonymous Coward

          > RequestPolicyをホワイトリストなしで運用

          なんでそんなアホなことしなきゃならんのよ…

          とは言えホワイトリストに追加しようとしても
          外部ドメインが多すぎて
          どれを許可すればまともな見栄えになるのか
          全然分からないサイトとかもあるけどさ。

  • by USH (8040) on 2012年03月12日 14時10分 (#2115940) 日記

    「はてブボタン」って、一般的なんでしょうか?

    昭和なおじさんは、一瞬「ひでぶボタン」と空目してしまいました。

    # そのボタンは、こわいもの見たさで押してみたい

    • by usisi (41441) on 2012年03月12日 14時53分 (#2115965)

      朝日新聞デジタルやYOMIURI ONLINEに付いてますよ。

      --
      ID投稿推奨、マイナスモデ反対、リメンバー・スルー力。
      親コメント
      • Re:はてブボタン? (スコア:2, 参考になる)

        by Anonymous Coward on 2012年03月12日 15時22分 (#2115984)

        その2つはなぜかホワイトリストによってmicroadへの情報送信がされないようになっていますね。具体的には以下のサイト。
        var domains = 'www.toyokeizai.net member.toyokeizai.net excite.co.jp exblog.jp mainichi.jp jp.msn.com *.jp.msn.com itmedia.co.jp bizmakoto.jp atmarkit.co.jp eetimes.jp ednjapan.cancom-j.com ednjapan.com barks.jp www.asahi.com *.asahi.com jp.techcrunch.com japanese.engadget.com jp.autoblog.com celebrity.aol.jp www.nikkei.com *.nikkeibp.co.jp japan.cnet.com japan.zdnet.com builder.japan.zdnet.com japan.gamespot.com www.re-source.jp www.yomiuri.co.jp groupon.jp';
        ホワイトリストがあらかじめ組み込まれていることが(埋め込み先のサイトがプライバシーポリシーと矛盾するになるおそれがあることを承知のうえでやったことの証明になるわけで)より悪質性を際立たせますね。

        親コメント
  • by Anonymous Coward on 2012年03月12日 11時15分 (#2115800)

    Firefox には「オプション」「プライバシー」から「トラッキング拒否をWebサイトに通知する」って言うオプションがついてますね。(デフォルトではOFF) これはHTTPヘッダに拒否を伝えるものを入れるというもので、IE9にもついているらしい [ryow.net]ですが、これって今のところどの程度対応されているんでしょうか?
    今回話題になってるmicroadは対応しているのかな?

    • by Anonymous Coward on 2012年03月12日 11時59分 (#2115838)

      わざわざデフォルトで無効になっているDNTを有効にしているというだけでユーザーを数%にまで絞り込めるのに、こっそりプライバシーポリシーを差し替えるようなところの提携先がその貴重な情報をむざむざ捨ててくれると考える理由がさっぱり理解できないんですが。
      JavaScriptはクライアント側に送信せざるを得ないからバレたけどサーバ側がDNTについてどんな処理をしているかなんて知りようがないし。

      親コメント
  • by KAMUI (3084) on 2012年03月12日 20時54分 (#2116154) 日記
    セキュリティ関係の記事になってておかしくない様にも思われますが、ITMediaにもImpress Watchにも、マイナビニュースにもこの件に関する記事が無いようですね・・・
  • SourceForge.JP Magazineからの はてなブックマークボタン等の削除に関してのご案内 [osdn.jp]
    SourceForge.JP Magazineの記事ページに設置されていた はてなブックマークボタン および はてなブックマーク関連のウィジェットを3月12日午前に全て削除いたしました。

    --
    # SlashDot Light [takeash.net] やってます。
  • by Anonymous Coward on 2012年03月12日 10時27分 (#2115775)

    http://takagi-hiromitsu.jp/diary/20091230.html#f01 [takagi-hiromitsu.jp]
    はてブの画像がSSLで提供されていないのでSSL版で画像を表示できない問題があったらしいけど、(画像を外すことで)問題が解決したのでSSL版を正式化してほしい。今はOperaにもStartComの証明書が入ってるみたいだし。

  • by Anonymous Coward on 2012年03月12日 10時42分 (#2115788)

    * 気にせずしてもいい
    * オプトアウトでするべき
    * オプトインでするべき
    * ブラウザで弾くのをデフォルトにするべき
    * いっさいするべきではない

    • by Anonymous Coward on 2012年03月12日 13時08分 (#2115884)

      今回の問題はトラッキングがどこまで許されるかっていうより、無害なものを装って送り込んだスクリプトに、ある日突然提供元以外の第三者のトラッキングコードを入れたって言う所が問題なのでは。この流れ、普通にトロイの木馬だよ。デスクトップアプリケーションでそんな真似したらあっという間にウイルス扱い。インストール済みソフトウエアがユーザにまともな告知をせずに突然情報収集を始めたらアウトでしょ。こんなことをなぜ始めたのかと。

      影響も結構大きくて、ニュースサイトは自社のアクセス解析結果のデータを使って広告を取りに行くわけだが、はてなのこいつのおかげでその辺りのデータがライバルとも言える他の広告業者に流れていたりした。またトラッキングコードを分析した人によると、どうも大手新聞社などについては、要請があったからなのか、あるいは大事になるのを避けたくて始めからトラッキングされないようになっていたらしい。

      これ、間違えてそう言う状態になっていました、とかそういう過失じゃ無い。
      問題があることを分かっていながらそれを実行した、と言うパターンだよ。分かっていながら必要な処置をとっていなかった。
      そりゃjbeefは怒るわな。

      #個人的には「最低オプトアウトで、ブラウザのDNTはデフォルトでON」がベター

      親コメント
  • by Anonymous Coward on 2012年03月12日 11時03分 (#2115798)

    twitterのお勧めが急に普段閲覧しているサイトのものに刺し変わってたんですけど、何か関係あるんですかね?

  • by Anonymous Coward on 2012年03月12日 11時57分 (#2115836)

    叩きやすいし擁護する気にもなれないhatenaだが、
    でかいところがやらかしてる件とも比較してほしいね。
    googleとか。

    • by Anonymous Coward

      Googleはやってないんだな。これが。

    • by Anonymous Coward

      googleでさえ思いつかない程の悪質さ。

  • by Anonymous Coward on 2012年03月12日 12時38分 (#2115858)

    わさわざ煽り立てるようなコメントまで引用してわざとらしいな。
    普通に「指摘している」と書くべき。

    • by Anonymous Coward

      そうです。ここは2ちゃんなんです(キッパリ

      ※火に油

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...