「はまちちゃん」をspamと断じる思考停止

「Amebaなう」なるtwitterの真似にインスパイアされたサービスが始まって、さっそくは「はまちちゃん」の餌食になっている。

ミニブログ「Amebaなう」モバイル好調でPC版を前倒し、スパム被害も広がる

自分達の気に入らないものを悪しざまに言うのは同情出来ないことではないのではあるが、これを「スパム」と言ってしまうのは思考停止ではないか?

例によってはまちちゃんは脆弱性を突いて「こんにちはこんにちは!!」を出しつつ自分をフォローさせるトラップを仕掛けたようだ。まぁ、彼を知っている人なら、「お手軽フォロークリック」で便利でいい。って、私はAmebaのアカウントを消したばかりなんで、祭に参加出来なかったんだけど(Amebaはアカウントを消すとしばらく同じアカウントは使えなくなる)。

で、まぁ、これは「いつもの」でしかない。彼を知る人からすれば「いつやるのか」だけが問題であって、やらかさなかったらむしろ「どこか具合が悪いの?」とか心配するレベルだ。

そう。これはいつものはまちちゃんの姿であって、それ以外じゃない。つまり、いつも彼に狙われる

webサービスにありがちの脆弱性

を突いただけだ。むしろ、webサービスの通過儀礼… と言うよりは、毎回毎回そうやって突かれる「いつもの脆弱性」なのだから、

当然テストすべき

ものでしかない。

実はこのことは3つのことを意味している。

一つは、何度も何度もネット上で話題(騒ぎ)になったことで、よく知られている脆弱性の要素であっても、いまだにちゃんとテストするに至らないサービス開発会社があるということ。しかも、そこそこの経験を積んでいながら、何も学習していないのだ。

もう一つは、在野のwebプログラマには常識となっている「はまちちゃん」をAmebaの技術者が知らないということ。もしかして名前くらいは知ってるのかも知れないが、どういった脆弱性をどう突くかという手口をまるで知らないという点で、webプログラマが

コボラー化

していると言えなくもないということだ。いやしくも「webプログラマ」だったら、それくらいのこと自習しとけやと。

そしてもう一つは、彼ののいつもの行動を「spam」と言ってしまうリテラシーの低さだ。これはちょっと前にあった

ハッカーにやられた

というのと同じ臭いを感じる。どれだけたいそうなことかと思ったら、普通のhttpでアクセス可能なところに顧客データを置いてたとか、そーゆー類と同じ臭いがする。自分達の間抜けを「ハッカー」のせいにしてしまうという思考停止だ。

という類のことをtwitterで言っていたら、

@ogochan そうは思わないなー。スキだらけだから後ろからカンチョウ食らわした人間は無実だ…と言ってる様にしか読み取れないなー。

とか言われたのだけど、これもおかど違いだ。と言うか、この穴を「カンチョウ」で済ませているところが、はまちちゃんのサジ加減なのだ。

「スキだらけの後ろ」があることは、彼にはわかっている。わかっていてそこを突かないのは一見親切で礼儀正しい態度に見える。でも、そういった非常に突きやすい、単純な穴があることは、わかる人にはわかってしまっていて、気がついてないのは運営者だけという状態になっているのが、「Amebaなう」だったわけだ。はまちちゃんのやったのは「カンチョウ」かも知れないけれど、やれることがわかっている悪意の者であれば、

後ろから刺す

ことだって出来るわけだ。「悪の組織」がはまちちゃんの彼女をどーこーしたら… とかだってないとは言えない。Amebaには首相官邸のブログだってあるわけで、ポストにちょっとした仕掛けを入れるだけで、

公式チャネルからデマを流す

ことだって可能になる。仕手筋とかなら5分デマが流れりゃ十分満足だろう。Amebaには日本の最終兵器とも言われるデスブログだってあるわけでw

だから、「カンチョウ」程度で済ませることには意味がある。ちょっとつついただけではスルーされるかも知れない、「カンチョウ」の痛さを感じればこそ、もっと大きな危険を予感することが出来る。

彼の作法が良いかどうかいう話なら、お行儀が良いとは言えない行為だろう。でも、今までのネットサービスにあった脆弱性やそれの突かれ方、またそれに関する事後処理を見る限りでは、

「カンチョウ」でもしないと気がつかない

と言ってもいい。メールで「ここに脆弱性がありますよ」と言ってもたいていスルーされるのは、そういった経験のある人にとっては、毎度のことだろう。

だから、彼の行為を「spam」と断じて、

悪いのははまちちゃん

みたいな話に持って行くことは、単なる責任回避であり思考停止に過ぎない。Amebaは、「こんにちはこんにちは!!」くらいで優しく警告してくれた、はまちちゃんの優しさに感謝するべきだ。

PS.

「言ってもたいていスルーされる」って書いてるんだが… たいていのウェブサービスでは、騒ぎにならない限りその手の警告は少数意見として無視されるんだよ。

PS2.

あちこちに頭悪い言及があるようだけど、別にここでは「はまちちゃんの善悪」については一切論じているつもりはない。仮にそう見えたとしても、そういう意図では書いてない。いや、むしろ「やっぱりやったか。初日からキッツイなぁ」とか思ったしw

ここで言っているのは、

はまちちゃんの行為を悪と断じて思考停止すること

の愚かさだ。「スキがあったらカンチョウ」について良いとか悪いとかという類の議論ではない。

PS3.

だから何度「カンチョウの是非を論じてない」と言わせるんだよ。てか、そーゆー「是非論」で問題を矮小化することこそが愚かしいんだと何度(ry

私はAmebaくらいの規模のサービスなら、「カンチョウ」だろうが「ドツキ」だろうが「ハリセン」だろうが、やれる人はやった方がいいと思っているくらいだ。自分達のサービスがダメな状態にあることを気づかせないといけない。

それくらい、脆弱性垂れ流しのサービスは有害で、「勝手に潰れる」に任せるくらいでは健全な淘汰はされない。街中にウンコ積み上げる奴はみんなが爪弾きにするだけじゃなくて、ウンコ片付けさせなきゃ迷惑なのだ。

なお、これは「はまちちゃんの優しさ」だと言っている根拠は、彼の過去記事、

あたりからだ。一見矛盾するかのようなこれらのエントリに共通するものを探してみたらいいと思うよ。

PS4.

ITmediaは「spam」と言ってない。こんな記事であれば、わざわざ私ごときがエントリ書くまでもなかった。

URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる

記事も妥当。最初に挙げた記事はITProのページなわけで、いわゆる「IT素人」ではないはずなんだが。

PS5.

やっぱりアメブロ本体にも脆弱性があると、はまちちゃんのおばぁちゃんが言ってるらしいw

あとついでに

でも、このように指摘されても騒ぎは起きてない。既に書いたように、これは非常にマズいことで、もっと騒がれても良いことだと思うのだが。結局、「カンチョウ」でもしないと気がつかないってことの傍証だ。

Yahoo Facebook Twitter Digg FriendFeed Delicious Google Translate
This entry was posted on12月 11th, 2009 at 21:15:09. You can follow any responses to this entry through the RSS 2.0. Both comments and pings are currently closed.

14 Responses

Comments(6)Trackbacks(8)

  1. てんてんてんてん

    悪を悪だといえないはてなー界隈の論法は世間じゃspamだとかhackerだとか言われちゃうんだよ。

    それをWEBプログラマだから当然知っておくべきだとか、そういうのにすり替えちゃ説得力ないよ。

    2009/12/12 土曜日 1:06:35 | #1
  2. 名を言ってはいけないあの人

    はまちちゃんのポストを見て、
    「やったのはおまえだろおおおがああーーっ!w」
    ってツイートしたのはおれだけじゃないはずw

    やったの本人だよね?
    あのノリはいつもの彼らしくないと思った。
    面白いけど。
    あめーばで出ちゃイカンよねー。

    2009/12/12 土曜日 11:30:55 | #2
  3. カリガリ博士

    カンチョウしていいのは、カンチョウされる覚悟のあるやつだけですね、分かります。

    2009/12/12 土曜日 16:45:49 | #3
  4. うこうこ

    ごもっともだけがあんたも東原亜希氏に関して思考停止してる。

    2009/12/12 土曜日 17:30:00 | #4
  5. たるぼあろ

    「カンチョウ」でもしないと気がつかない
    のではなく
    「カンチョウ」でもしないと鉛より重い腰を上げない
    の方が正しい

    2009/12/13 日曜日 1:08:42 | #5
  6. Ryu

    >>肩をトントンと叩いて~

    「あぁ、そうですか。ありがとう」
    と言う返事だけ返って来て何も対応されないと言う様子が目に浮かんでならないw

    2009/12/14 月曜日 14:24:35 | #6
  1. […] This post was mentioned on Twitter by Mutsumi Takahashi, Baron OGOCHAN. Baron OGOCHAN said: 「はまちちゃん」をspamと断じる思考停止 http://www.nurs.or.jp/~ogochan/essay/archives/2156 […]

  2. […] おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止 おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止 […]

  3. […] おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止 […]

  4. […] おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考 停止 「Amebaなう」なるtwitterの真似にインスパイアされたサービスが始まって、 さっそくは「はまちちゃん」の餌食になっている。ミニブログ「Amebaなう」モ バイル好調でPC版を前倒し、スパム被害も広がる 自分達の気に入らないものを 悪しざまに言うのは同情出来ないことではないのではあるが、… original article […]

  5. […] おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止 (tags: security literacy ameba) […]

  6. […] おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止 […]

  7. はまちちゃんと脆弱性報告のあり方…

    はまちちゃんがいつものごとく、AmebaなうにCSRF脆弱性を発見していたずらを仕掛けた。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。…

  8. Big Sky より:

    Big Sky :: カンチョーが迷惑行為か否か…

    違うでしょ、肩をトントンと叩いて「ちょっと、スキだらけですよ。世の中ひどい人ばかりなので、気をつけないとカンチョーされますよ。」と言ってあげるのがやさしいんじゃないの?…

  • 私について

    ただのプログラマです、ハッカーではありません。

    秋葉で暮し秋葉で仕事してますが、秋葉系は嫌いです。物事を冷静に分析することは好きですが、ニヒリストは嫌いです。

    秋葉でちっこい会社をやってます。 こーゆーことがお仕事です。

    詳しいことは、自己紹介のページでも見て下さい。また、mixiの方でもいろいろわかるかも知れません。twitterは@ogochanですが、たいしたこと言ってません。近頃はShorplug内の別館で日記書いたりもしてます。だいたいここのコピーだったりしますが、ログインするとコメントがつけられます。

    日経ITProに連載(生越昌己のオープンソースGTD)を書いています。「ちゃんと書いた文章」が読みたい人は、そっちを読む方がいいと思います。

  • このページについて

    ここは私の雑文の置き場です。WordPressを使っていますが、いわゆるblogのつもりで書いているわけではありません。「覗き見のできるチラ裏」くらいの意味しかありません。

    もしかしたら有用なことがあるかも知れません。あるいはむかつくことも書いてあるかもしれません。それらはみな「そんなものだ」と思っておくに留めましょう。

    コメントを書くのは構いませんが、「反論」の類はよそでやって下さい。同意する気のない人達と議論する気は全くありませんので、議論したければよそで勝手にやって下さい。

    と言っても、「読むな」「広めるな」というわけでもありません。リンク、ブクマの類は御自由に。

  • カテゴリ

  • 過去の記事

  • メタ情報