情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

カカオトークが送信トーク本文中のURLを収集して検索結果に表示していた問題について

LINE (1015) カカオトーク (4) セキュリティ (62)

kakao-talk-url-leak-anzen-page

日本ではLINE一強となって久しく、カカオトークが大きな話題となるケースは減りました。その影響か、韓国国内では話題になっている、カカオトークのプライバシー/セキュリティに関するニュースが日本国内で話題になっていないと気が付いたので、ここでLINEとの比較なども付け足しながら、取り上げたいと思います。

確かにカカオトークは日本国内でマイナーになってしまいましたが、まだ日本でもユーザーをよく見かけます。また、韓国国内では、カカオトークがシェアNo.1なので、影響は小さくないかと。

ただ、この機能自体は、指摘された直後、ものすごい早さで停止されています(※機能自体が有効になっていたのは今年1月~)

話題のニュース

数日前より話題になっているニュースはこちらです。

ニュースの内容「トークに記載した秘密のURLが検索結果に表示される」

このニュースが指摘している問題は、カカオトークで送信したURL(非公開)が、なぜか、1時間後には韓国の検索サイトDaumの検索結果に掲載されてしまうという問題です。

ニュース本文中には、この問題が発見されるまでの経緯や、ニュースサイトが実施してみた実験の内容とその結果などが記載されています。

転用されたのはトーク本文中の「URL」、という「一部」ではありますが、トーク本文の流出であることに違いはなく、大きな問題です

エンドツーエンド暗号化される「シークレットトーク」機能を利用していた場合は、さすがに大丈夫だったようです

カカオ運営が検索結果への転用の事実を認める

そしてこの指摘に対してカカオトークは即日「検索結果への転用」の事実を認めています

1月から検索連動の機能を導入しており、心配の声があったので停止しました、ということが書かれています。

※この文中には、「検索が許可された公開URLを検索結果に表示するようにしていた」のような、あまり詳しくない人には分かりづらい表現があるのですが、おそらくこの「検索が許可された」というのは、robots.txtで検索避けをしていない、という部分を強調しようとした言葉なのでしょうが、これに対しては、「何が公開URLだ、プライベートなトーク内のURLなんだぞ」という怒りの声が上がっているようです。

日本国内アカウントからはアナウンスなし

また、※日本のカカオトーク公式Twitterアカウントから、この件についてのツイートは今のところ、一切ありません。日本国内では話題になっておらず、ほとんど心配はかけていないでしょ、なんてわけじゃないと信じますが。

補足:カカオとDaum

カカオトークって検索サービス有るの?と思ったかもしれませんが、カカオは、2014年10月に、韓国第2位のポータルサイトダウム(Daum)と合併し、「ダウムカカオ」という会社になっています。つまり、自社で検索サービスを持っているわけです(参考:ダウム - Wikipedia)。

ニュース元である「Oh My News」も、非公開URLの送信1時間後に検索結果に掲載されてしまうことを、Daumを使用して実験しています。

今、実際にDaumのフッターを見てみたところ、「(c) Kakao Corp.」の表記になっていました。

2016-05-29_13h46_30

関連:LINEでのトーク内非公開URLへのアクセス

以前、LINEでも、トークで送信した非公開のURLに対して、LINEのサーバーからアクセスが来る件について、記事にしています。

これは、サムネイルや要約文を表示するためのアクセスである、という目的であり、目的については黒ではありませんが、UserAgentでfacebook社からのアクセスと偽装しており、LINEからのアクセスであることを通知していないことが問題でした。

そして今回話題のカカオトークですが、カカオトークも、サムネイルや要約をトーク画面に表示するための同様のアクセスを以前から行っていました。そして、その目的が1月から検索結果への表示へ拡大されていた、ということになります。もしLINEがNAVERの検索結果に転用すれば、同じ構図になる、というわけです。

秘密のURLで共有するサービスは送信手段と利用方法に要注意

秘密のURL(シェア用リンク)を生成して、そのURLを知っている人にだけシェアする、という仕組みのウェブサービスは現在その簡単さから、かなり増えています(Google Docs、Dropboxなど)。

もちろん、その非公開URLを知られたら危ない、ということは認識しているはずですが、さすがにそんなわけないだろ、と思っていたようなところからの「流出」が発生するんだ、という危険の分かる一件でした。

真に大事なものに対しては、最低限パスワードやアカウントログイン等による認証が必要です。気をつけてください。

※今回のケースでは、ちゃんとしたサービスであれば、検索結果に載らないような対策(robot.txt)が実施されていてセーフ、だったかもしれませんが、未確認です。また、どちらにしても本来非公開であるはずのトーク本文の情報が転用/流出していたことに変わりはありません。

ひとこと

既に検索結果へ露出してしまったURLが消えるのか定かではないため、「あ、自分も・・・」と心当たりのある方は、シェア用非公開URLを無効化するなど、今からでも可能な対策はした方が良いかも知れません。

追記:利用規約とプライバシーポリシー

利用規約プライバシーポリシー(日本版)に目を通してみました。気になった部分を少し紹介します。

利用規約

利用規約で気になるのはここ。

ユーザーが投稿する投稿コンテンツの中で、カカとも(Plusカカともを除く)以外の一般にも公開されたものに限り、その投稿コンテンツの全部または一部を開示したり、公衆に披露・配布・保存・放送・伝播・再生・修正変更・利用・再利用できる利用権を有することになります。 引用元

それとここも。

また、ユーザーが当サービスを利用して送信するメッセージは、カカオのプライバシーポリシー の適用の対象になります。 引用元

プライバシーポリシー

プライバシーポリシー最大の見所は、最後のこの部分です。

韓国での処理

利用者の個人情報および通信内容は、利用者の居住地域、国の外部にあるサーバーやデータベースに送受信、および保存されます。韓国領土外に居住する利用者は、全ての情報が韓国内で処理され保存されます。韓国のプライバシー保護に関する法律は、利用者の国に比べて多少保護的でない可能性があります。カカオトークの利用によって、利用者が個人情報と通信内容に対する収集、利用、譲渡、または公開に対して、韓国の法律が適用される事実に同意したものと見なされます引用元

韓国の法律と日本の法律の比較で、この分野で良く言われるのは「通信の秘密」のことだったりしますが、そのあたりを強調しているんでしょうか。とりあえず、この項目の存在そのものにインパクトがあります。

普通にトークの情報(メッセージデータ)の利用目的は、次のように書かれています。

情報の利用および共有方法

基本的に、KAKAOはサービス提供のため、新商品やサービスのお知らせのため、または利用者とのコミュニケーションに利用する等の内部目的でのみ、個人情報やメッセージデータを利用します。個人情報やメッセージデータを、本プライバシーポリシーで記述されている用途以外に、利用者の許可なく第三者に提供することはありません。 引用元

「基本的に(例外ある前提?)」とか「サービス提供(どこまで?)」とか、「内部目的でのみ(なにそれ専門用語?)」などなど。

メッセージデータの利用目的に、今回の検索サービスへの利用が含まれていたとすれば、少し事情が変わってくるというか、利用規約が気になる案件になってくるので、このあたりの細かい所が気になります。

コメント(0)

新しいコメントを投稿




  • カテゴリ ナビ
  • 著者紹介

    ブログが趣味で、 月間1,000万PV を達成しました。

    自分が困ったことをブログに書けば、次に困る人の参考になって、みんながみんな同じ苦労をせずに済む、というのが原点です。

    最近の関心は、スマホやパソコンに詳しくない人の行動や思考、 そしてそんな人を手助けする方法や枠組み。 また、それに関連するような、"身近な"セキュリティ。

    ※SNS(特にTwitter)でシェアされた記事は、内容の追加・更新を行っています。 必ず、ではありませんが、気に入った記事は積極的にシェアしてみてください。

    RSS | Facebook | Twitter | About