1つのWebサービスに依存することの危険性

公開日：2010年09月24日00:45

近年、ブログやSNS（ソーシャルネットワーキングサービス）などのWebサービスは業者同士でのユーザー獲得競争が激しさを増しており、1つのサービスにユーザーが集中する現象が散見される。今回はその危険性について論じようと思う。

■TwitterでXSS攻撃が発生

2010年9月21日、ミニブログサービスで有名なTwitter（ツイッター）にセキュリティホールを悪用したコードが仕組まれ、Twitterの多くのユーザーに被害が出た。これはTwitterに存在したXSS（クロスサイトスクリプティング）の脆弱性を突いたものである。
通常、Twitterやブログ、掲示板ようにユーザーがフォームから投稿する形のWebサービスでは投稿した文章内にCSS（スタイルシート）やJavascriptなどのコードが入っていた場合、それが文字列としてエスケープ処理されるようになっている。しかし、Twitterではバグにより、この文字列がそのままスクリプトの制御文字として認識されてしまった。これが悪用された結果、Twitterのホーム画面上に表示されている悪意のあるスクリプト文（onmouseover関連）が含まれたツイート上にカーソルを当てた瞬間、それが自動的にリツイートされるということが起き、Twitterのユーザーの間で急速に被害が広がることとなった。また、一部ではこれがさらに悪用され画面上に巨大なフォントサイズでツイートを表示させたり（これにより意図せず悪意のあるツイートにカーソルが触れてしまい、さらに被害を拡大させた）、別のサイトに自動的にリダイレクトするなどの被害も発生した模様である。翌日未明までにTwitter社はこの脆弱性を修正したが、被害は世界全体で数百万人にも及んだものと見られている。

▼参考
Twitterブログ: 「マウスオーバーの」問題についての全容
Twitterの脆弱性突くコードが拡散　Webブラウザでのアクセス自粛呼び掛け - ITmedia News
2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について
＠IT：クロスサイトスクリプティング対策の基本

■1つのWebサービスに多数のユーザーが依存する危険性

Twiitterのユーザー数は全世界で1億4500万人にも及び（2010年9月現在）、日本国内のユーザー数も2010年1月時点で500万人を上回っている。この中には多数の芸能人、政治家、地方公共団体、大手企業などのアカウントも存在し、情報の「一極集中」が発生している。今回の騒動のように多数のユーザーが「依存」状態にあるWebサービスにセキュリティホールが存在し、そこを攻撃された場合大混乱になってしまうことがわかる。
このように多くのユーザーが集中しているサービスに問題が発生し、大混乱に陥った例は過去にも存在する。

●mixiのサーバーダウン（2010年8月10～12日）
2010年8月10日、SNS（ソーシャルネットワーキングサービス）の国内最大手であるmixi（ミクシィ）で大規模なサーバートラブルが発生し、2000万人を超えるユーザーが路頭に迷うこととなった。mixiではその内部に存在するコミュニティを通じてイベントの開催や金銭が関わるやり取りなども日常的に行われているが、昨今の個人情報保護に対する意識の高まりもあり、mixiしかユーザー間の連絡手段がないという場合も非常に多かった。そのため、mixiのサーバーダウンによりコンサートのチケットのユーザーの売買を予定していたあるコミュニティではユーザーが連絡手段を失い、チケットの引渡しが不可能となる危機に陥ったとのことである。

▼参考
【Ｗｅｂ】「ｍｉｘｉ」アクセス障害　「インフラ寸断」２１０２万人 - MSN産経ニュース

●運営会社の経営判断等によるサービスの終了（CURURU・Doblog等）
日本国内でブログがメジャーなWebサービスとなってからすでに5年以上が経過した。この間業者同士の熾烈な競争が繰り広げられ、その過程で競争に打ち勝てず脱落、サービス終了となるブログサービスもいくつか発生している。
例えば韓国のインターネットサービス会社の日本法人であるNHN Japanが運営していたブログコミュニティサイト「CURURU（クルル）」は去る2010年3月末をもってサービス終了となり、全ユーザーのデータが削除された。同社によると「限られた経営資源を選択集中させるため」というのが閉鎖の理由という。また、NTTデータが2003年から運営していたDoblog（ドブログ）は2009年2月にサーバートラブルが発生し以後長期間サービスを停止していたが、同年5月に一時的にサービスを再開した後閉鎖している。閉鎖の理由は表向きには「ブログシステムを構築するための技術的知見、ノウハウの蓄積については十分に達成できたため」とされているが、実際のところは長期間のサービス停止に伴うユーザーの流出やサーバーの管理・復旧にかかった費用などの問題が大きいように思われる。また、このほかにも画像・動画の共有サービスの統廃合も行われている。
このように利用していたサービスが終了してしまうとユーザーは代替のサービスを探した上でデータの移行などの作業を強いられることとなる。一般的にこのような場合は運営会社が移行用のツールを用意しておいてくれるが、フォーマットの違いなどにより必ずしも完全な形で移行ができるわけではない。また、不完全とはいえデータは移行できるから問題は無いとして、終了してしまうブログなどを閲覧してくれた読者すべてをそのまま移行先の他サービスまで呼び込めることは稀であり、ほとんどの場合閲覧者数の減少は避けられない。こうなると広告収入などで収益を上げていたサイトでは文字通り死活問題となってしまう。CURURUのサービス終了に際しては当初ユーザーによる反対の署名活動なども行われたが、期日が延長されたのみで結局サービス終了の方針が覆ることは無かった。

ちなみに、筆者が以前利用していたYahoo!JAPANの動画共有サービスであるYahoo!ビデオキャストが2009年に閉鎖されたため、YouTubeに移行している。以上のような事象はWeb上のサービスを利用しているものであれば必ず付きまとう問題なのである。

▼参考
ブログ＆SNS コミュニティ CURURU（クルル）
Doblog
選択と集中が進むネットサービス--2009年に終了した事業たち - CNET Japan

■あらかじめ代替手段を確保

冒頭で取り上げたTwitterの騒動は、1つのWebサービスに多数のユーザーが集中している場面におけるセキュリティ面での危険性を事実上「実証」してしまったものであるが、他にも以上ように我々が普段日常的に利用しているWebサービスが様々な要因により突如としてサービスを停止してしまう可能性があるのだ。このような事態に対応するために

●日頃からWeb上に投稿したデータのバックアップを取る。
ローカル（自分のPC内）やミラーサイトを作成しておき、万一突然利用していたサービスが停止してもすぐに復活・移行できるようにしておく。

●連絡手段の確保
緊急事態が発生した場合、重要な訪問者（個人情報や金銭が関係している場合など）にすぐに連絡を取れるよう代替手段（メールアドレスなど）を確保しておく。（ただし、その管理に関しては十分な注意が必要。）

といった防衛策をあらかじめとっておくことを筆者は提案する。Webサービスの利用に対する考え方は様々であるが、これまで積み上げてきた大切な投稿内容を無くしたくないのであれば多少面倒であっても何らかの対策を採っておいたほうが後々の負担を軽減できるはずである。

なお、余談であるが今回のTwitterと同じように大規模なWebサービスが攻撃された場面を描いたものとして、昨年公開されたアニメの映画「サマーウォーズ」がある。この「サマーウォーズ」は全世界の人々が集まる「OZ（オズ）」と呼ばれる仮想空間へ試験的に投入されたプログラム（人工知能）が暴走し、システムを自ら破壊し始めたためそれを止めるべく奮闘するという物語である。このサマーウォーズは時代設定がちょうど今年（2010年）となっていたこともあり、今回のTwitterの騒動を「リアルサマーウォーズ」と呼ぶ人もいたようだ。今回筆者がこの記事を書いたのきっかけの1つがこのサマーウォーズの映画であることを最後に付け加えておくこことしよう。

▼参考
モバイルデバイスからの「Twitter」利用、ユーザー数増加が明らかに - CNET Japan