「Amebaなう」なるtwitterの真似にインスパイアされたサービスが始まって、さっそくは「はまちちゃん」の餌食になっている。

ミニブログ「Amebaなう」モバイル好調でPC版を前倒し、スパム被害も広がる

自分達の気に入らないものを悪しざまに言うのは同情出来ないことではないのではあるが、これを「スパム」と言ってしまうのは思考停止ではないか？

例によってはまちちゃんは脆弱性を突いて「こんにちはこんにちは！！」を出しつつ自分をフォローさせるトラップを仕掛けたようだ。まぁ、彼を知っている人なら、「お手軽フォロークリック」で便利でいい。って、私はAmebaのアカウントを消したばかりなんで、祭に参加出来なかったんだけど(Amebaはアカウントを消すとしばらく同じアカウントは使えなくなる)。

で、まぁ、これは「いつもの」でしかない。彼を知る人からすれば「いつやるのか」だけが問題であって、やらかさなかったらむしろ「どこか具合が悪いの？」とか心配するレベルだ。

そう。これはいつものはまちちゃんの姿であって、それ以外じゃない。つまり、いつも彼に狙われる

webサービスにありがちの脆弱性

を突いただけだ。むしろ、webサービスの通過儀礼… と言うよりは、毎回毎回そうやって突かれる「いつもの脆弱性」なのだから、

当然テストすべき

ものでしかない。

実はこのことは3つのことを意味している。

一つは、何度も何度もネット上で話題(騒ぎ)になったことで、よく知られている脆弱性の要素であっても、いまだにちゃんとテストするに至らないサービス開発会社があるということ。しかも、そこそこの経験を積んでいながら、何も学習していないのだ。

もう一つは、在野のwebプログラマには常識となっている「はまちちゃん」をAmebaの技術者が知らないということ。もしかして名前くらいは知ってるのかも知れないが、どういった脆弱性をどう突くかという手口をまるで知らないという点で、webプログラマが

コボラー化

していると言えなくもないということだ。いやしくも「webプログラマ」だったら、それくらいのこと自習しとけやと。

そしてもう一つは、彼ののいつもの行動を「spam」と言ってしまうリテラシーの低さだ。これはちょっと前にあった

ハッカーにやられた

というのと同じ臭いを感じる。どれだけたいそうなことかと思ったら、普通のhttpでアクセス可能なところに顧客データを置いてたとか、そーゆー類と同じ臭いがする。自分達の間抜けを「ハッカー」のせいにしてしまうという思考停止だ。

という類のことをtwitterで言っていたら、

@ogochan そうは思わないなー。スキだらけだから後ろからカンチョウ食らわした人間は無実だ…と言ってる様にしか読み取れないなー。

とか言われたのだけど、これもおかど違いだ。と言うか、この穴を「カンチョウ」で済ませているところが、はまちちゃんのサジ加減なのだ。

「スキだらけの後ろ」があることは、彼にはわかっている。わかっていてそこを突かないのは一見親切で礼儀正しい態度に見える。でも、そういった非常に突きやすい、単純な穴があることは、わかる人にはわかってしまっていて、気がついてないのは運営者だけという状態になっているのが、「Amebaなう」だったわけだ。はまちちゃんのやったのは「カンチョウ」かも知れないけれど、やれることがわかっている悪意の者であれば、

後ろから刺す

ことだって出来るわけだ。「悪の組織」がはまちちゃんの彼女をどーこーしたら… とかだってないとは言えない。Amebaには首相官邸のブログだってあるわけで、ポストにちょっとした仕掛けを入れるだけで、

公式チャネルからデマを流す

ことだって可能になる。仕手筋とかなら5分デマが流れりゃ十分満足だろう。Amebaには日本の最終兵器とも言われるデスブログだってあるわけでｗ

だから、「カンチョウ」程度で済ませることには意味がある。ちょっとつついただけではスルーされるかも知れない、「カンチョウ」の痛さを感じればこそ、もっと大きな危険を予感することが出来る。

彼の作法が良いかどうかいう話なら、お行儀が良いとは言えない行為だろう。でも、今までのネットサービスにあった脆弱性やそれの突かれ方、またそれに関する事後処理を見る限りでは、

「カンチョウ」でもしないと気がつかない

と言ってもいい。メールで「ここに脆弱性がありますよ」と言ってもたいていスルーされるのは、そういった経験のある人にとっては、毎度のことだろう。

だから、彼の行為を「spam」と断じて、

悪いのははまちちゃん

みたいな話に持って行くことは、単なる責任回避であり思考停止に過ぎない。Amebaは、「こんにちはこんにちは！！」くらいで優しく警告してくれた、はまちちゃんの優しさに感謝するべきだ。

PS.

「言ってもたいていスルーされる」って書いてるんだが… たいていのウェブサービスでは、騒ぎにならない限りその手の警告は少数意見として無視されるんだよ。

PS2.

あちこちに頭悪い言及があるようだけど、別にここでは「はまちちゃんの善悪」については一切論じているつもりはない。仮にそう見えたとしても、そういう意図では書いてない。いや、むしろ「やっぱりやったか。初日からキッツイなぁ」とか思ったしｗ

ここで言っているのは、

はまちちゃんの行為を悪と断じて思考停止すること

の愚かさだ。「スキがあったらカンチョウ」について良いとか悪いとかという類の議論ではない。

PS3.

だから何度「カンチョウの是非を論じてない」と言わせるんだよ。てか、そーゆー「是非論」で問題を矮小化することこそが愚かしいんだと何度(ry

私はAmebaくらいの規模のサービスなら、「カンチョウ」だろうが「ドツキ」だろうが「ハリセン」だろうが、やれる人はやった方がいいと思っているくらいだ。自分達のサービスがダメな状態にあることを気づかせないといけない。

それくらい、脆弱性垂れ流しのサービスは有害で、「勝手に潰れる」に任せるくらいでは健全な淘汰はされない。街中にウンコ積み上げる奴はみんなが爪弾きにするだけじゃなくて、ウンコ片付けさせなきゃ迷惑なのだ。

なお、これは「はまちちゃんの優しさ」だと言っている根拠は、彼の過去記事、

• XSSはそのサイトを信頼している人が多いほど脅威になりうる
• セキュリティ過敏症
• 初心者はWebアプリを作るべきじゃないのか

あたりからだ。一見矛盾するかのようなこれらのエントリに共通するものを探してみたらいいと思うよ。

PS4.

ITmediaは「spam」と言ってない。こんな記事であれば、わざわざ私ごときがエントリ書くまでもなかった。

URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる

記事も妥当。最初に挙げた記事はITProのページなわけで、いわゆる「IT素人」ではないはずなんだが。

PS5.

やっぱりアメブロ本体にも脆弱性があると、はまちちゃんのおばぁちゃんが言ってるらしいｗ

あとついでに

でも、このように指摘されても騒ぎは起きてない。既に書いたように、これは非常にマズいことで、もっと騒がれても良いことだと思うのだが。結局、「カンチョウ」でもしないと気がつかないってことの傍証だ。