結論から言うとパスワードは漏れてないけれどUNIQLO HAPPY LINEがユーザビリティを優先してセキュリティ軽視しすぎだった。10万近く集めてtwitterのトレンドに載るなどキャンペーンとしては成功だがセキュリティ上大きな問題があり早期改修orプレスリリースで謝罪などに至ると予想。とりあえず現状即被害があるものではないが念のためtwitterのパスワードを変えておくと安心でしょう。
今回のキャンペーンの問題をまとめると以下の通り。
2010.05.27 10:100S2ファクトリーから、ホスティングしているだけで制作会社は別である旨アナウンスがありました。
http://blog.s2factory.co.jp/kuriyama/2010/05/uniqlo-lucky-line.html
UNIQLO LUCKY LINE に関して
今回の UNIQLO さんの LUCKY LINE サイトについて、弊社として言えるのは
1. 制作物には一切関わっていない
2. サーバ自体の管理は弊社が行っている
という点です。コンテンツの中身に関してはこちらも推測しかできない部分が多いのでなんとも言えませんが、結果として弊社コーポレートドメインでの運用となってしまったために、多くの方にご心配をかけたことは大変申し訳なく思っています。
Twitterでの初期のtweetには事実しか語っていないものも多かったのですが、時間が経過するにつれ推測されたものが投稿され、またその推測が事実と取られかねない表現で RT されていき、それがものすごい勢いで伝播していきました。このようなことを身近なこととして目の当たりにし、すごく恐ろしく、悲しい思いをしました。
(以下略)
▲5.26 19:00現在、参加フォームの下部に「TwitterのパスワードはTwitterとの通信のためだけに利用しており、当コンテンツでの保持や目的外使用等は一切行っておりません」の文言が追加された。(この文言は元々「免責事項」をクリックしないと表示されなかった)
1.UNIQLO HAPPY LINEでtwitterのパスワードを入力させる問題
twitterのID、パスワードを入力させるが、そのアカウントの取り扱いについてどこにも説明がない。→説明がないということはユニクロがアカウントを保存していたり、ある日突然ユニクロにアカウントを乗っ取られる可能性がある。もちろん意図的にそういうことはしないだろうが大企業なら「パスワードは保存しません」「HappyLineキャンペーン以外には利用しません」の断り書きが会ってしかるべき。そもそもOAuth使おうよ、という話。
追記:エントリー画面右下の「免責事項」に目的外利用しないこととパスワード保存していない旨記述あるとの情報いただきました。Thanks!!
でも他社パスワード入力みたいな重大な処理の場合は表に書くべきじゃないかと個人的には思う。後で「書いてある」で済ませていい話ではなくて賃貸とかでも重要事項は説明しなきゃいけないことになってるように。
2.UNIQLO HAPPY LINEがtwitterのパスワードを暗号化せず、しかも外部のサーバに送っている問題
制作会社と思われるhttp://uniqlo-happy-line.s2factory.co.jp/へデータを送っているがユーザはユニクロだから信用してパスワードを入力しているわけで、データ管理上の問題がある。しかも通信がSSL化されていないので通信経路で漏れたり、偽のサーバに送られてもユーザにはわからない。他のサイトでもパスワード入れる画面を暗号化するのは常識ですよね?
3.UNIQLO HAPPY LINEに参加したtwitterのIDが流出している問題
上記のhttp://uniqlo-happy-line.s2factory.co.jp/でtwitterのID一覧がアクセス制限されておらず閲覧できる。パスワードは含まれていないので安心だが、今後スパムマーケティングに悪用される可能性がある。1番2番と合わせパスワード管理がどうなっているか不安視されても仕方ないだろう。
/
16:35追記。セキュリティ専門家の高木浩光さん参戦。結局そういうこと。ユニクロさんは自分のサイトではSSLで暗号化してるのに他社のアカウントを入力させるときはSSL掛けないでいいとはどういう判断なの?という。
Tweets by HiromitsuTakagi
追記終わり。
さかきさんさかきさんー
免責事項をクリックすると
・お並びいただいた方のTwitter IDやコメントは、後日紹介させて頂く可能性があります。
Twitterのシステム状況によっては、入力された言葉やアイコンが本サイトに反映されない場合があります。
・当社の個人情報の取り扱いについてはプライバシーポリシー(http://faqnavi12a.csview.jp/faq2/userqa.do?user=frgroup&faq=uniqloec&id=5139&parent=3866)をご参照ください。
・公序良俗、誹謗中傷、第三者の権利を侵害するような(略
・TwitterのパスワードはTwitterとの通信時のみ利用しており、当サイトでの保持や目的外使用等は一切行っておりません。
ってかいてあるよ!
あとあと
ID流出、というのだけれど
ついったにも書いたけれど
そしたら基本的についったで同じ言葉をつぶやかせるキャンペーンは全部
その言葉で検索できちゃうから
言えるのは
プロテクトの人もリストにしちゃうよ!
ってことくらいじゃないでしょうか(確認してないけど)
プロテクトアカウント以外のIDは公開情報だからセキュリティ的には問題ないんですが、全体的に合わせ技一本というか日本、いや世界を代表する一連のソーシャルメディアキャンペーンをやっているユニクロさんがこういう脇が甘いことやっちゃうのはどうかなー、という。個人的にはそういう印象ですね。今回の制作会社さんの実装具合を見ていると「結果的に公開情報だった」だけなんじゃないのという可能性が拭えない。
※ユニクロは確か最近、継続して優秀なキャンペーンを行っている企業として賞を取ったはずです。
ユニクロ関係の資料
http://www.uniqlo.com/jp/corp/pressrelease/2008/06/062313_uniqlock.html
「ユニクロが2007年6月より、グローバル・プロモーションの一環として展開している『UNIQLOCK』が、世界三大広告賞の一つである“カンヌ国際広告祭(International Advertising Festival)”のチタニウム部門とサイバー部門でグランプリを獲得しました。この受賞により、“CLIO AWARDS”のインタラクティブ部門と“One Show”のインタラク ティブ部門でのグランプリ獲得を合わせて、世界三大広告賞におけるグランプリの受賞を達成しました。」
http://www.fashionsnap.com/news/2010/05/uniqlo-one-show.html
「 「One Show」のクライアント・オブ・ザ・イヤーは、「秀逸なクリエイティブを一貫して発表し続け、インタラクティブ分野における可能性に挑戦している」企業にのみ贈られ、該当企業がある年に限り授与される栄誉ある賞。ユニクロは、過去5年間で3回受賞している。」