今回の問題はトラッキングがどこまで許されるかっていうより、無害なものを装って送り込んだスクリプトに、ある日突然提供元以外の第三者のトラッキングコードを入れたって言う所が問題なのでは。この流れ、普通にトロイの木馬だよ。デスクトップアプリケーションでそんな真似したらあっという間にウイルス扱い。インストール済みソフトウエアがユーザにまともな告知をせずに突然情報収集を始めたらアウトでしょ。こんなことをなぜ始めたのかと。
by Anonymous Coward on 2012年03月12日 13時08分 (#2115884)
はてブボタンを表示するスクリプトがスパイウェア的な挙動をしていたことが話題に
http://it.slashdot.jp/comments.pl?sid=562589&cid=2115884
※私が書いた部分ではないのですが「トロイの木馬、ではなくてバックドアの類。後のせなので」とのご指摘 (id:houyhnhmさんより)。
SF Magazineからの はてなブックマークボタン等の削除に関してのご案内 (更新有り)
http://sourceforge.jp/forum/forum.php?forum_id=28622
↑非常に端的でわかりやすく、しっかりした記事です。何が起きているのか、何が問題なのかどうもわからないという方、是非。(これははてなにありがちな「50%完成の段階でリリースしたのでぐだぐだ」などの、はてなというサービスの中で完結していた事例とは、次元が異なります。)
少し抜粋:
上記URLで示されるように はてなブックマークボタンが昨年9月より閲覧者の行動履歴の取得を行い、さらに第三者の広告事業者へ履歴が提供されていることが明らかになり、OSDN社としては全く意図しない形での情報の流出に該当するため、削除に至ったものです。
なお、ボタン以外のウィジェットについては、同様の仕組みで再度問題が発生するリスクがあると考え、現時点では全て削除が妥当と考えております。
http://sourceforge.jp/forum/forum.php?forum_id=28622
12日深夜(日付の上では13日)にこのブログから「はてなブックマーク」に関するブログパーツなどを外しました(seesaaのブログの設定、およびzenbackの設定で、そのブログパーツを「非表示」にしてあります。閲覧の際、ソースコードが読み込まれることはありません)。その後、13日に展開がありましたが、当ブログではこのまま、「はてブ」関係のブログパーツは外しておきます。また、はてなダイアリーで書いているサブのブログは当面「非公開」とし、ログを移動する準備ができたら削除します。
13日の展開を受けたあとのTogetter:
3月13日、「はてなブックマークボタンの行動情報取得と第三者への提供」周辺(「停止」公表)
http://togetter.com/li/272393
※「論点をわかりやすく整理したまとめ」ではなく、「どのような声があるかを集めたアーカイヴ」です。つまり読みづらいし長いです。
以下、詳細。
「騒ぎ」が始まって数日、週末をはさみ、何のアナウンスもメッセージもないまま月曜日が過ぎ、そしてようやくその翌日、13日(火)の夕方に、株式会社はてなの社長さんから反応がありました。しかし、それを読んで、私は椅子から転げ落ちました。「たくさんのブックマーク情報から人気の記事が得られる最高のサービス」云々の白々しい、英語から翻訳したのかというような宣伝文句を織り交ぜつつ長々と書かれた文章ですが、これは「お詫び」なのでしょうか、「告知」なのでしょうか、「僕の考え」なのでしょうか。
それに、大の大人が何人も、数日間話し合って導き出した結論が「根本的に、はてなブックマークボタンを使って、行動情報を第三者に提供する事自体が誤りである」ということだった、などという事態は、もし現実であるとするならば、壮大な無駄&無茶。そんなこと、実装する前に気づけないようなサービス提供者に、(重要な意味を持つ)データを持たせたいとは思いません。しかもこの文章において「第三者」とは誰なのかは明示されず、読者は類推するよりありません。
そして何より、「はてなブックマークを愛していただいている皆さまに不安を与えることとなり、大変申し訳ありませんでした」という、ご本人としては「キメ」たつもりの一文。今回の問題は、はてブ利用者であろうがなかろうが、「はてなブックマークボタン」というツールのコードを貼ったウェブページをブラウザで表示させただけで(ボタンのクリックなどしなくても)、本人が気づくことのない形で、MicroAdに行動情報が送信されていた(その情報は実際には販売されていた)、ということです。「はてなブックマークを愛していただいている皆さまに不安を与えた」のではありません。与えたのは「不安」ではなく「害」で、それを与えられたのは「はてブユーザー」だけではありません。何をのらりくらりと、寝ぼけたことを言っているんですか。
そしてさらに、社長の「お詫び」なのか「告知」なのかわからない文章の次のステップであるらしい別のスタッフさんからのやや詳しい報告も読んだのですが、やっぱり椅子から落ちてしまいました。
問題視されていた「除外リスト」について、「ボタンの設置をお願いするなどのやりとりの中で、本行動情報の取得除外をご希望されたサイト運営者様については、除外ドメインリストとして実装いたしました」との説明です。つまり、営業をかけにいったら、先方から「別な広告会社との契約があるので、その仕組みではうちは無理です」と言われたので、じゃあ、その会社はトラッキングから除外しましょうということで商談成立……ってことですね。つまり「問題点」を指摘され、それは「問題」であると認識していた、ということですね。
これはこういうことですよ。
http://d.hatena.ne.jp/Dullahan/20120313
どういうことかというと、はてな側よりはてなブックマークボタン設置を依頼した企業が数社あって、そこで拒絶された企業に関しては除外指定ドメインとしてスクリプト内に記述したということになります。その他の「便利だから使ってみよう」と導入実装したサイトに関しては何のフォローもしない状態を認識して……。
《引用を略》
はてなからアプローチしなかった企業や個人サイトは完全にスルーした状態(つまりは「黙っていてもわからないだろう」という認識)でスクリプトの改ざん(あえてこう書きます)に踏み切ったわけです。…略…
これを「だまし討ち」や「後出しじゃんけん」と言わずして何と言う。
仮に、問題のスクリプトが仕込まれる前に「便利だから使ってみよう」ということでブクマのボタンを自ら導入した企業がMicroAdとは別のB広告会社と契約を結んでいた場合、はてなが勝手に妙なスクリプトを仕込んだおかげで、B広告会社との契約に違反してしまっていることもありえるわけです。導入時には「このボタンを使うとMicroAdに情報が送信されます」などという条件はなかったのに、突然、「今後、当社はMicroAdに情報を送信します」というまともな告知もなく、スクリプトが変更(改竄)されていたのだから。
しかも「オプトアウト版」としてトラッキングをおこなわないスクリプトもこのときに用意されていた以上、「問題」は認識されていたわけです(それが上の、「除外リスト」の件ですが)。「うっかり、変なものを入れちゃった」わけではない。まずいとわかってて導入したっていうことです。
(ここで、先日のGoogleのプライバシー・ポリシー統合のときのような「まともな告知」があったら、おそらく全然違う展開をしていたでしょう。なおかつデフォルトで差し替えられるボタンがトラッキングを行わない「オプトアウト版」だったとしたら、ethicalな企業だと高く評価されたでしょう。お金にはならなかったかもしれないけれど。)
さて、上記のはてな側からの「お詫び」だか「告知」だか、よくわからないメッセージの件、オンライン・メディアでの報道:
それぞれの記事(J-Castは見てない)の大まかな内容:
そして、「NAVERまとめ」のユーザー、emo.tamさんの整理:
残る不信感「はてなブックマークボタン問題」はてなの対応に対する指摘まとめ
http://matome.naver.jp/odai/2133163885440391001
貼りこみます。
And ...
http://d.hatena.ne.jp/Dullahan/20120313
内容がどうしようもないのですが、ともかくははてなよりメッセージが出たということは良かったと思います。ただし、これではまったく終わりません。自社提供のスクリプトを自社で改ざんしたことで MicroAd 社へ流れてしまったデータの扱いです。これは不正な状態において取得されたデータなので、はてなは MicroAd に対して、そのデータの削除を依頼する必要があります。
本来であれば、取得された側(ユーザ)からの依頼を受けての作業となるのでしょうが、今回のケースは改ざんした結果の影響が大き過ぎるためにそれは不可能です(不正に取得されたため未だに知らないユーザはたくさんいる)。今回の問題における完全収束は「MicroAd へ流れたデータの削除」が必須条件です。
実際にどのような作業を行っていくのかはわかりませんし、それが困難なことであるかもしれませんが「不特定多数のユーザに変わって」削除依頼することが必要だと考えます。……
とまあ、そんなこんなで、はてなダイアリーを読みに来てくださった方が気づかないうちに株式会社はてなが用意したウェブビーコンを仕込まれることはない、と確信・安心することはできませんので、はてなダイアリーで書いているサブのブログ(英語や翻訳の話題)を削除することにしました。正確には、削除する前にバックアップを取ったりしなければならないので当面「非公開」の状態になります。
ちなみに、サブのブログのブクマ数は、一番多かったエントリーでは220超でした。
なお、(ダイアリーではなく後発の)はてなブログでこういうことになっています。
追記: はてなブログも強制送信
絶賛betaテスト中の「はてなブログ」も強制送信。こいつは(株式会社はてなとは別の事業者であるMicroAdに情報を送信するbookmark_button.js を) head タグの中で読み込んでます。
http://d.hatena.ne.jp/rna/20120310/p2
headタグで読み込まれるようじゃ、ユーザーは何もできません。Geocitiesの昔っから head 〜 /head には広告のスクリプトが読み込まれるのが当たり前っちゃー当たり前でしたが、はてなは、正直、何をするかわからない。数日話し合わないと、はてブボタンにスパイウェア的挙動をさせるのは誤っているという結論が導き出せないようですから。 :-P
これは「不安」じゃないんです。「不信」です。それを「不安」と言い換えないでください。
はてなは長く良質なサービスを続けてきたし、はてブという大きなコミュニティを持っているということで、相応の信頼を得ています。ユーザはその信頼を元に、はてなブックマークボタンを設置していたはずです。
告知せずトラッキングを仕込んだことは、ユーザの信頼を裏切るだけでなく、サイト管理者であるユーザの信用までも落とすことになりかねません。事実、サイト閲覧者がAdblockなど入れていれば、そのサイトでどんなスクリプトが動いているのかが分かります。サイト管理者の知らぬ間にトラッキング用スクリプトが仕込まれていたとしても、閲覧者には関係ありません。自分がトラッキングされているのを喜ぶ人間はあまりいないでしょう。……
http://ichigomashimaro-life.blogspot.com/2012/03/blog-post_14.html
※この記事は
2012年03月14日
にアップロードしました。
1年も経ったころには、書いた本人の記憶から消えているかもしれません。
【ブログ関係の最新記事】
- トラックバック機能提供終了のお知らせ(Seesaaブログ全体)
- dlvr.itからTwitterへフィードする場合の画像の設定を変更する方法につ..
- Twitterfeedが終わってしまったので、Dlvr.itに乗り換えた。
- 9年前に提供開始された「AFP BBの記事の転載(引用)」のツールがサービス停止..
- ブログ更新時、Twitterに自動フィードする際のツイート末尾に、文字列を書き加..
- Twitterの「カード」などで表示されている当ブログの「見出し画像」について。..
- Seesaaブログさんで新たに提供されている「関連記事表示機能」を設定した。
- 「便利だから」と使っているツールに、どんどん時間を吸い取られるのはかないません。..
- わかりやすいところにしつこいほどリンクをしてあるのを読みもしていないかもしれない..
- 各記事の下に、アップロード日をでかでかと表示するようにしました。