大学のシステムにアクセスして講義情報などを取得するスマホアプリに対し大学側が抗議 17
ストーリー by hylom
どこまでが正しい利用か 部門より
どこまでが正しい利用か 部門より
自動的に時間割を作成したり、休講などの講義に関する情報を通知できる機能を持つ大学生向けのスマートフォンアプリ「Orario」について、各大学が学生に対し利用自粛などを求めているという(ITmedia)。
このアプリは大学が学生に対して発行したID/パスワードなどのアカウント情報を使用して大学のシステムにアクセスし情報を取得するという。こういったアカウント情報をサードパーティが利用することに対し、一部の大学が個人情報流出といった問題が発生する可能性があるとして注意や利用停止を求める注意喚起を行っている(J-CASTニュース)。
いっぽう同アプリの提供元であるOrario社は、アクセスに使用するアカウント情報はスマートフォン側にしか保存されず、Orarioのサーバーには記録されないと説明している(同社のプレスリリース)。こういったアプリは大学が提供するシステムよりも便利な機能を提供しているとして利用を擁護する声もあるが、一方で京都大学の安岡孝一教授は『「Orarioガラミで取得した単位は取り消す場合がある」』としている。同アプリによる京都大学のシステムへのアクセスパターンなどを見る限り同アプリは信用できないと見ているようだ。また、第三者へのデータ提供についても懸念を示している。
テストはどうやったんだろう (スコア:2)
テスト以前に開発が (スコア:3)
大学の修学システムって、アクセスがその構成員でほぼ完全に閉じてる上に、
同じベンダーでも微妙にカスタマイズが入ってて細かい点が異なってるので、
大学毎に学生を開発要員としてバイトに雇うか、
IDとパスワードの借り上げをしないと開発もままならないはずなんだよ。
前者は、まぁバイトで自分たちが幸せになれるよう
金もらってハックしてるって感覚だろうからまだ分かるとしても、
後者は、感覚的には銀行口座の貸し借りや売買してるくらいには
ヤバ感じがすると思うんだ。
成績やら住所、顔写真、銀行口座等々、個人情報てんこもりだからね。
そうなると消去法で前者なんだけど、
それにしては、対応大学 [orario.jp]が全国に広がってて、
本当、どうしてんだ!?って感じ。
同じベンダーの製品採用している大学に偏ってるとしても、凄く謎。
トラブル時の対応とかまで考えると、
「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません [orario.jp]」って説明は、常識的に考えて相当ハードルが高いとしか言いようがない。
まぁ、プライバシーポリシー [orario.jp]読む限り、バグ報告すると、スクレイピング結果を解析する事に同意したみなされて、自分のアカウント使って、いろいろ突つかれる事になるんだと思う。
提供された「ユーザー名、パスワード」は「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に使うって明記してある。
あれ?
Orarioサーバーには、ユーザー名、パスワードは行かないんじゃなかったの?
それともアプリ側でスクレイピングした結果をサーバーに送るのか?
もう支離滅裂だよ。
uxi
Re: (スコア:0)
クレジットカード情報をなぜ取得してるのかと思ったら
「本アプリ上での講義ノートの共有・売買サービスの適法かつ円滑な提供、維持および改善のため」ってあるけど、これってどうなん?
あと、安全性で
「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり」
といっているのに
「基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名
端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴」はどうやって取得すんの?って事
サーバの役目も図ではスクリプトの取得のみと書いてあるようだし。
Re:テスト以前に開発が (スコア:1)
> 「本アプリ上での講義ノートの共有・売買サービスの適法かつ円滑な提供、維持および改善のため」ってあるけど、これってどうなん?
これはまずそう(論理的に)ですなぁ…
法律的には…どうなんだろう
annonynrm (47995) (スコア:2, 興味深い)
annonynrm (47995) https://srad.jp/~annonynrm [srad.jp]
この人物が Orario の中の人だということ、そして立場を隠して文句を言う企業体質だということはよくわかりました。
Re: (スコア:0)
さぁ、愉快なことになってきました。
どこへどういった形で着地するのか非常に楽しみですね。
Re: (スコア:0)
便利か便利で無いかって、別に許諾の条件では無いよね。 (スコア:1)
それ言っちゃうと、セキュリティ対策なんぞほとんどが無効ですよね。
ほとんど全てが、「利便とバーターで安全を得る」って物なのだから。
ユーザー側のモチベーションとしては判るが、それとこれは別の話と言うか。
IEとかChromeとかFirefoxとかSafariとか (スコア:0)
安全と安全じゃないの基準が不明。
ブラウザはすべて禁止しないとね。
Re: (スコア:0)
へ理屈はやめろ
想定しているものとそうじゃないものだ
Re: (スコア:0)
大学公認の専用アプリ方式に移行すべきという主張でしょうか?
Re: (スコア:0)
懐かしいな
その昔W3Mでアクセスしたら
不正アクセスとか騒いでたところがあったな
Re: (スコア:0)
いや、最悪それもOK。
サービサーの規定でホワイトリストにしようがブラックリストに使用がクライアント固定にしようか、それは自由だろ。
って事で、素直に大学はOrario禁止って規定してしまえば良いだけだと思うよ。
日記にコメントつけてる人 (スコア:0)
「大学へのクレームを含め然るべき対応を取らせて頂きます。」
ってのは中の人以外ではどういう立場でクレームつけるの?って話な気がする
わざわざアカウント作ってから本人に議論ふっかけるなら
会社名とか代表名で堂々とやろうよ!と匿名で書き込んでみる
会社側が大学と交渉してAPIとかを共同で作ってクリアな状態にするべきだよね (スコア:0)
ベンチャー企業的な考えから見たら、始めはしょうがないけど、交渉してクリアにするべき
長くこれやってたらセキュリティ的にも大学側からもいい目で見られなくなる
マネーフォワードの銀行口座の取引を自動登録するためにセキュリティカードの乱数表を登録しろっていう(検索したら今もやってた!)のと同じになる
アカウント情報はスマホにしか保存しない (スコア:0)
「今」はまだ使用に問題ないだろうね。
でもいつのまにかアプデ入って送信してもおかしくないんだよな
とりあえず (スコア:0)
本当に止めたいなら対策は難しくもないし。