Sarahahに対する「本当に匿名なの？バレる？個人情報が抜かれるって本当？ハッキングされるの？」等についてと過去発生した問題

Sarahahは、匿名メッセージを募集できるアプリです。メッセージを募集するためのURLを公開すると、そのページにアクセスした人から、メッセージを受け取ることができます。

しかし、受け取った側は、誰が送ってきたメッセージなのか分かりません。

この点が「匿名」と言われている部分です。

関連：Sarahahの使い方

実際にSarahahを使ってみると分かりますが、送ってきたのが誰なのか知るための機能は一切用意されていません。送り主を表示したり、送り主のヒントになるような情報（Twitter、メールアドレス、名前、Facebook…）などは分かりません。

そのため、「匿名アプリなのか」と言われれば、本当に匿名です。

※サービスの脆弱性や不具合によって、何らかの情報が漏れてしまう、特定する方法が発生してしまう、という可能性はまた別に存在します（細かい話：「漏れてもIPアドレスくらいだろ」と思うユーザーもいるようです（ある程度候補が限定されればIPアドレスで特定される可能性もあることはさておき）。この背景には「Sarahahはアカウントを作らずにメッセージを送信できることからメールアドレスがバレるようなことはない」という誤解があります。しかし、Sarahahにログインした状態でメッセージを送信すると、どのSarahahアカウントから、どのSarahahアカウント宛にメッセージが送信されたか、という情報が記録されます（送信BOX機能があるのはこれのおかげ）。実際、ログインしないとメッセージを送信できないようにする設定もあります。ですから、この情報がバレると、Sarahahに登録したメールアドレスまでたどられてしまう可能性があります。ただこの「送信元アカウントが記録されている」という事実は匿名であることとはまた別で、「どのアカウントから送信されたのか」はやはり相手には表示されません。匿名は保たれます）。

しかし、「バレるかどうか」といえば話は変わってきます。

というのも、名前は表示されずとも、そこには確かに「メッセージ本文」が存在しているからです。

言葉づかいや、話題の内容、送信のタイミング、知っている情報などから、「きっと誰々だろう」と推定されてしまったり、「あのメッセージ送ったの○○くんでしょ？」のようにカマを掛けて特定するといったことはかなり多く発生しているようです。

そのため、アプリとして匿名であっても、バレないとは言い切れません。

また、その他の工夫により、「匿名のアプリ」を使っていても、「匿名ではないメッセージ（送り主を特定できるメッセージ）」を受け取ることも可能です。

例えば次のような流れでバレてしまいます。まず、LINEグループにSarahahのURLが書き込まれました。そこであなたはメッセージを送信してみました。しかし実は、そのLINEグループに所属しているあなた以外が全員グルになっており、わざとメッセージを１通も送らないようにしていて、「メッセージを送ってくるのがあなただけ」という匿名性が崩れた状態が作られていた、なんていう可能性もあります。そういった場合は、アプリは匿名でも、書いたのがあんただとすぐバレてしまいます（これはとても簡単な例ですが、もっと複雑な方法で、送信元が特定されてしまう可能性はいろいろと存在します）。

※「アプリから情報が漏れた」「あのサービスから個人情報が漏れている」などと思っても、実はこういった「上手いこと騙されただけで、システムのせいではなかった」というケースは非常に多いので注意してください。

現在ツイッターで、「ハッキングされる」「個人情報が抜かれるらしい」などの噂が広まっていますが、これらは実際にアプリの具体的な問題を指摘しているというより、「Sarahahのメッセージの送信元をハッキングできるツールがあるよ（実は嘘）」と紹介しているサイトのことを見聞きして「ハッキングできるなんて危ない」と騙されていたり、「そのサイトに騙されると個人情報や乗っ取りの被害に遭う危険がある」という注意喚起をSarahah自体の問題だと勘違いしてしまっていたり、「知り合いから聞いた」という根拠を把握していないパターンであったりと、不確かなものが多く、「ハッキングされるのは本当」「個人情報が抜かれるのは本当」と言えそうな情報は見当たりませんでした。

しかしそれらの「噂話」とは別に、以前発生したSarahahの個人情報に関連する問題があります。

それは海外各国で大流行した直後、電話帳の電話番号やメールアドレスの情報を送信していることが見つかった件です。

以下は、Fortune.comの記事の内容です：

According to The Intercept, when users download the app for the first time, “it immediately harvests and uploads all phone numbers and email addresses in your address book.” （引用元）

インストール後に、電話番号とメールアドレスがsarahah.comへ送信されるのを確認した際の様子が、次の動画「Sarahah uploading address book data」で公開されています：

これについて、Sarahahの開発者は、元となった記事の内容に対して、「今後搭載予定の『友だちを探す』機能のためだった。しかし、技術的な問題により開発が遅れていた。そして、誤ってその機能が含まれた状態でリリースされてしまっていた」と、送信の事実を認める発言をしています：

Sarahah’s founder, Zain al-Abidin Tawfiq, tweeted in response to The Intercept’s article, saying that the contacts were being uploaded for a planned “find your friends” feature. The feature was then delayed due to “technical issues” and was accidentally not removed from the current version of the app. （引用元）

「誤ってそのような挙動になってしまった」ということなので、「不具合」と言えば不具合なのかもしれません。

このような出来事が過去にあったということも、Sarahahを利用するかどうかの判断に役立ててください。

参考：ちょうど５年前、LINEでも少し似たような問題（不具合）が発生していました：LINE最新版で「電話帳が強制アップロード→友だち追加」される不具合まとめ

以上をまとめると、Sarahahが匿名って本当？というのはたしかに本当ですが、それとは関係ない要因でバレることは少なくなく、未だかつてSarahahは個人情報の扱いで問題を起こしたことないの？といえばそうでもない、といった状況です。特に後半部分の詳細については、元の文章を読んでみてください。

関連：「Sarahahメッセージの送信元（書いた人）を特定する方法／調べる方法」系の情報に注意