2014年8月18日月曜日

セキュリティの軽〜いお話

(U.S. FrontLine誌 2012年8月5日号 掲載分)
Facebookは、あくまでも各個人が、友達や知り合いとの輪を広げたり、家族や親戚との関係を繋いだりと、とにかくプライベートな交流を楽しみたい人が基本のユーザーベ ースとなっている、SNS(ソーシャルネットワーキングサービス)です。もちろん、それ以外の用途もたくさんあり、ビジネス目的でアカウントを開設する人もいますが、メインはあくまでもパーソナルユースといえます。
ところで、LinkedInというSNSをご存知でしょうか?主にビジネス上でのネットワーキングを目的としたビジネスユース専門のSNSで、Facebookのように色々と“遊ぶ” 要素は薄いのですが、誰がさらに誰につながっているのかが分かりやすく、ビジネスネットワークを広げるという行為を、あえて露骨に、しかも堂々とできるのが1つの特徴ともいえます。また参加したグループでの議論や質問をしたり、ニュースや専門的な最新情報を共有したりすることもできます。
ビジネスユースに特化したSNSでは、アメリカNo.1といえます。ただ今年の6月にハッキングに遭い、650万〜800万人分のパスワードが流出したと報じられました。暗号化された形だったので、すべてが解読されてしまったわけではないらしいのですが、もしLinkedInにアカウントをお持ちで、未だにパスワードを変更していなければ、すぐに変更すべきです。

パスワードは何のためのもの?

今回の騒動で、自分のパスワードがリークしたのかを調べられるサイトが登場しました。面白かったのが、あまりにもお粗末なパスワードが多いという事実でした。
パスワード管理アプリを開発するSplashData社が以前に発表した、2011年の最悪のパスワードのワースト25に挙げられていた、「password」、「123456」といったものは すべて入っていた上、「i h a t e m y j o b」(仕事が嫌い)、「fuckmylife」(俺の人生最悪)、「iwantanewjob」(新しい仕事が欲しい)や「strongpassword」(強力なパスワード)なんてのもあったようです。これだと、データを暗号化してあっても、意味がないですね(笑)。
余談ですが、私なら先に挙げたようなサイトが出てきても、完璧に信頼できる会社のものでなければ、絶対に安易に利用はしません。むしろ藪蛇にならないように、騒動に乗じたフィッシングサイトでは? と疑ってかかります。そんな回りくどい心配をするよりも先に、真っ先にパスワードを完全に変更すべきなのです。

レイジーの先にあるものは?

しかし人は実にレイジー(怠慢)な生き物のようで、色んなサイトに同じパスワードを共通して使っているユーザーも結構いるようです。皆さんは人やモノを簡単に信じてしまう、“心優しい”人なのでしょうが、その純粋さはどうか、セキュリティとは無縁のものに向けてください。
完璧なセキュリティシステムなど物理的に存在しません。また本稿で以前に、「情報漏えいの7割は社内から」とお話したように、組織が大きくなるほど、ハードやソフトウェア以外のコントロール不能な危険も多く含まれてきます。
考えてもみてください。一般にどこかのサイトでアカウント登録する際に、ユーザー名の多くはEメールを利用します。そしてそのサイトの内部の何人かは、必要性も含め、登録されたEメールとパスワード情報にアクセスできます。勿論そのサイト内でそれを使って悪事を働くとは考え難いにしても、その情報が他のサイトでも使えたら、どうでしょうか? Eメールは一貫して同じ場合が多いので、なお更パスワードをサイト毎に変えなければ、わざわざ自分の大事な鍵の番号を、見ず知らずの他人に教えているようなものだと思いませんか?

ある絶句した問い合わせ

ウェブ制作を考えているという内容だったのですが、以前にもサイトやTwitterをもっていたが、PCをハッキングされたらしく、Eメールの内容など、本人以外知りえないことが、自身のTwitterに書き込みされるというのが続き、怖くなって止めた、というお話でした。
問題を解決するため、業者にも相談して、色々とスキャンやトレースもし、キーロガー(キーボートの入力を盗むスパイウェア)などの、セキュリティ対策もしてもらったけれど、状況は改善されなかったそうです。
更に聞いてみました。「今、その問題のPCは?」「まだ使っています」「えっそのままで?」「パスワードはコピペしてるから大丈夫ですよね?」「ちなみにPCの管理者ユーザーのパスワードは?」「設定していません。毎回入力するのが面倒で」「(沈黙…)まずはOSの再インストールをするかPCを買い替えるかして、パスワード設定されてからですね…」

2014年8月4日月曜日

Getty Imagesには要注意

(U.S. FrontLine誌 2012年7月20日号 掲載分)
ウェブサイトや紙面パンフレットを制作する際には、やはりビジュアル面で、良い写真などを使うと、印象が良くなります。どれだけ訴求力のあるテキストを用意したとしても、そこに写真があれば、真っ先に写真の方に目を奪われてしまうでしょう。

1ドルから画像が買えるダウンロードサイト

かなり前になりますが、本稿にてウェブ制作をする際の予備知識として、高品質の写真を安く買える、画像ダウンロード購入サイトがあると紹介しました。www.istockphoto. com やwww.fotolia.com なんかは、その中でも有名で、安いものは1枚1ドルからでも購入できます。
面白いのが、ローカルのフリー誌で、「ああ、これiStockphotoの写真をそのまま載せただけね」という広告が結構見つかります。
なお当時は少なくとも日系のホームページ制作業者さんでは、まだそういったサービスをご存知なかったみたいで、彼らのサイトを見ても、写真も少なかったのですが、今ではさすがに、どこの業者さんでも高品質の低価格な購入画像を、ふんだんに使われているのがわかります。
ところで、古くから、同様の画像ダウンロード購入サイトとして、www.gettyimages.com というものもありました。こちらはもっと有名で歴史もあり、本当に良い写真が揃っ ています。当時から日系業者さんでもよくご存知だったと思いますが、とにかく1枚の写真の料金が高く、気軽には利用できないという現実もありました。
何よりGettyの場合、ライセンス形態が非常に複雑で、1枚の写真に結構な費用を払ったとしても使用期限が設定されています。つまり、継続使用するには、追加で費用を払 う必要があり、神経を使わなければならないため、我が社では結局敬遠していたサービスです。事実、費用対効果的には合わないことの方が多いと思います。

あるクライアントが不測の事態に遭遇

先日のことです。我が社のある新しいクライアントさんから、ちょっと困ったことがあると相談を受けたのですが、何とこのGettyから、「写真のライセンス違反で罰金を払え」という主旨のメールが、彼らの弁護士経由で入ったというのです。よくよく聞いてみると、うちへ依頼される数年前に、日系の業者さんへホームページの制作を依頼され、開設されている現在のサイトに使われている画像に、Gettyのものがあり、ライセンス違反をしている、というのです。
クライアント曰く、当時も写真購入に、その日系業者を通じてかなりの費用を支払っていたらしいので、なおさら困惑しているとのことでした。私はまず「クレームされた画像を即時に削除した上で、当時の業者さんとの契約書で、こういった著作権違反などでの条項を確認してください」と伝えた後、すぐにスタッフにもGettyについて少し詳しく調べてもらいました。
そこですぐに判明した衝撃の事実として、
① Gettyはあくまでもエンドユーザーとのライセンス契約になっている
② 似たクレームがネット上で探しても山のようにある
③ 通常、示談に持ち込むしか手がなく、支払いを免れるのは極めて困難
ということでした。元々Getty自体、大人数の弁護士を抱えたデジタルライツ(電子著作権)マネージメントが本業なのです。残念ながら、画像を削除したからといって、簡 単に逃げられる相手ではないようです。
「エンドユーザーとのライセンス契約」というのも巧妙で、使用期限超過後でも確実にコンタクトしやすいのは勿論、制作会社よりはエンドユーザーであり、しかも今回のように何も知らないクライアントさんがエンドユーザーになっているケースが多々あるだろう、という恐ろしい話です。 結局このクライアントさんは、交渉して2枚の画像に1,000ドルを支払うはめになったそうですが、元の業者ともこの件を話ししたところ、同じデザイナーで、3,000ド ルくらい支払った別件もあったらしく“お互い様”的なことを言われたそうです(?!)。
私は片側だけの主張しか聞いていないので、公平に判断する立場ではありませんが、少なくとも、Gettyのライセンスもきちんと理解しないデザイナーを使っていたのは、プロとして論外です。ましてやそのリスクや賠償をクライアントに負わせていること自体、制作者サイドとして許容し難いです。本稿は同業者さんも結構見ているらしいので、もし異論でもあればメールしてください。なければ、プロの真似事は止めてください。
なお、似たクレームに遭遇された方は、通達があってから即時に画像を削除しないと、悪意があると見なされ、さらに悪い立場になるのでご注意を。