2010年12月20日月曜日

「メールのBCCの宛先が晒される」という不具合を隠すという不誠実

TANAKA Kohji です。
以前、本来BCCで送られるべきある不動産屋からの営業メールを、全員のアドレスをTOに入れて送られてきたことがありました。
30名くらいだったでしょうか。

私のメールアドレスの他に、一般的なプロバイダ等のメールアドレスが羅列されていました。
こういうときわたしは呆れることはあっても怒ることはありません。
もはや諦めているというか。

晒された他の方々には同情を禁じ得ませんが、私自身は当時から外部サイトへの登録はそういう用途のアドレスを使用しているため、被害はほとんど無いもので。
(自分だけ助かるのは何なので、当ブログでは注意喚起を重点的にやっているつもりです)

しかし、さすがに最近は減ってきましたよね。
BCCを使うシーンが明確になり、浸透してきたということでしょう。

そんななか。
AUのスマートフォンIS01と、NTTドコモのスマートフォンLYNX(SH-10B)において、BCCで送ったメールアドレスが露呈されるという不具合が、ユーザーからの指摘で発覚したとのことです。
auスマートフォン「IS01」にBCCの内容が受信者に開示される不具合、NTTドコモの「LYNX(SH-10B)」でも同様に発生
上記GIGAZINEの記事によると、BCCで送信されたメールでも、メールソフトによって、BCCのアドレスを表示できてしまう(表示されてしまう)という不具合のようで、すでに対応したアップデートを配布しているようです。

電話サポートの対応が残念なのはいつものことですのでスルーしたとして、私が問題だと思うのは、不具合の事実をユーザーに周知しないという選択です。


さて、いわゆるオープンソースソフトで、不具合が発覚した場合の一般的な手順をご案内します。
通常オープンソースソフトの開発者はメーリングリスト(ML)による連絡が一般的です。世界各地でそれぞれ別の仕事に就いている方々が、有志で開発しているのですから、そのような情報共有の方法をとっているわけです。
しかし、重大なセキュリティの脆弱性の報告については、それとは別途でMLがあり、限られたメンバーに周知させることが一般的です。
そして、不具合を修正するソフトの改変を(一部のメンバーで)行い、それがリリースされたタイミングで、不具合の内容とその対策が明示されるのです。


そのことを念頭に入れて、今回の事件を見てみましょう。
AUもNTTドコモも「公開することで何らかの悪用に波及する恐れがございますので、ホームページ上での公開の予定はございません。(IS01を)お使いいただいているユーザー様に個別にメールをする形で、アップデートにご協力いただくようご連絡しております。」という主旨の回答をしています。

「悪用」ですか。
「悪用される危険性」と「既知の不具合であるにもかかわらず、ユーザーが意図しない形で情報漏洩すること」とどちらを避けるべきでしょうか?

今回のケースを悪用するのは、結構難しいと思いませんか?
不正にメールアドレスを収集したい業者があったとして、どうやってBCCで送らせるというのでしょうか?(別のソフトの不具合をついてというのであれば、それは別の話でしょう)

圧倒的に「ユーザーへの告知」が優先されるべき事柄です。

そのうえで、上述の回答を見てみると、どうやら不具合発覚時点での周知は無いようです。
その時点で、ユーザーに「不具合の認知」と「対策完了までBCCの使用を控える呼びかけ」「対応完了予定時期」の案内をすれば良かったはずです。

当然、対策後は、ウェブサイトによる周知も含めてしないといけません。
その後に購入するユーザーもいますし、メールを見ていないユーザーもいます。

不具合発見者の「顧客の個人情報を軽視している」という発言に、この事件の本質が良く現れています。
発見者本人は、対策されなかったら使わないだけです。
報告を入れたのは、他のユーザーで問題が起きないようにとの配慮でしょう。
その好意を無視するとは、困ったものですねえ。

ソフトバンクモバイルも、以前まったく別件ですが同じような対応をしていますし、もしかしたら、情報収集をしっかりし、対策するべきはユーザー側なのかもしれません。
悲しい結論で申し訳ないですが。
このエントリーをはてなブックマークに追加

Facebookへの「いいね!」ありがとうございます