All About Google!　Googleだけで効率１０倍。

フレーミング（炎上）とスパムへの対処

Blog/SNSに限らないが、ネットコミュニティにおけるリスク管理について考えてみたい。

◆フレーミング（炎上）

「炎上」＝ブログにコメントが殺到する状態
http://ja.wikipedia.org/wiki/%E7%82%8E%E4%B8%8A

たとえば、こんなケースがある。

mixiの問題人物Kusakabe氏、強制退会に？
http://d.hatena.ne.jp/mixi_love/20050811/p1

そして、この事件に対する、「ある種の」意見。

インフラ化するmixiと、中立不偏性について
http://www.amanogawa.to/mt/archives/000349.html

mixiがインフラであろうとし、かつ一方的な（説明義務を果たさないままでの）ユーザ排除などを実行し続けるのであれば、いつかはインフラとしての中立性に明確な疑念が呈される事態になる可能性を否定しません。

現在、mixiには招待ブラックリストシステムが実装されています。このブラックリストシステムには、 mixiへの招待を受けるべく2ch等の招待スレに晒されたメールアドレスや、その他退会処分になった人のメールアドレスが登録されている模様です。

こういうスタンスは、一見口当たりがいいが、問題の本質を捉えているとは思えない。
mixiがインフラ化する、つまり誰もが使うようになる、という話と、だからといって中立性を担保されるべきか？というと、私企業が（利用規約の合意をとって）提供する（ほとんど無料の）サービスについて、そこまで期待するべきかどうか？という疑念がある。そもそも誰の目からみても「中立」であることはありえないし、「炎上」をみたくない、不快だという一般的なユーザーの心理をコミュニティの管理者がどう判断するか？ということだ。

ネット・トレンド<４> 「炎上」の加速化
http://computers.chips.jp/2006/09/post_16.html

昔のパソコン通信や、初期のインターネット掲示板で、散々「ネット・コミュニティ」の酸いも甘いも経験した人間からすると、こうした現象は驚くべきことではない。しかし、SNSのようにある程度の「非」匿名性（プライバシーの臨界点）が前提になってくると、「炎上」が起きた場合の影響度を軽視するわけにはいかない。

リスク管理の観点からも個人としての言動を慎む、という当たり前のことが、ネット社会の基本的マナーとして今まで以上に問われる時代になったということだろう。

つまり、個人（プライバシー）をある程度さらけ出すことが前提となるBlog/SNSにおいては、従来の「ネット・コミュニティ」以上に「炎上」の火の粉をリアルに受けるリスクがある。それを避けるためには、以下の選択肢しかない。

・Blog/SNSでは発言（コメント）しない。
・個人（プライバシー）情報を露出した言動を慎み、匿名性の中で生きる
・コミュニテの管理者（運営主体）を信用し、自分＆周りの行動に対する判断も管理者の裁量に委ねる。
・トラブル等のリスクも許容し、覚悟を決めて生きる。

この四段階の中間くらいが、Blog/SNSを楽しむためのコツなのだろう。ある程度わかる人にはわかる名前（ニックネーム）で個人ブランド化し発言に対する色づけをしつつも、プライバシー情報の露出は極力控える。
そうした情報リテラシーがネット社会の基本的マナーとして必要になるといえるだろう。

◆スパム

Blogにおけるスパムとは、TB（トラックバック）スパムが最もわかりやすい例だろう。
せっかく、Blogならではの醍醐味であるTBも、スパムの洗礼を受けて設定OFFにしてしまった人が大勢いると思う。（私もあるBlogサイトで、TB設定を断念したことがある。）
さて、SNSはクローズドなので一般的にはTBスパムを受ける確率は低い。（ゼロではない）
しかし、一方でCSRF攻撃と呼ばれるスパムのような攻撃が事件となっている。

「ぼくはまちちゃん」 ――知られざるCSRF攻撃
http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html

CSRF
http://d.hatena.ne.jp/keyword/CSRF

Cross-Site Request Forgeriesの略。Webアプリケーションの「投稿」や「削除」、「購入」、「退会」「メッセージ送信」など、永続的な影響を与えるコマンドを実行する URL へ誘導し、意図しないコマンドを実行させる攻撃。

開発者のための正しいCSRF対策
http://www.jumperz.net/texts/csrf.htm

[mixi] mixiにCSRF脆弱性「ぼくはまちちゃん！」トラップ
http://d.hatena.ne.jp/mohri/20050420#1113967566

mixiの「ぼくはまちちゃん！」で見えた脆弱性
http://webdog.be/archives/05420_130621.php

CSRFは正規ユーザーのログイン中に危険がありますので、サイトにログイン中はそのサイトから出ないようにし、サイトの利用が終わったら必ずログアウトすることで、少なくともあなたがCSRFの被害にあうことは防ぐことができます。複数のブラウザを使い分けるというのも有効です

また、こんな事件もある。

mixiの事件に見る運営ポリシーの重要さ
http://www.future-planning.net/x/modules/news/article.php?storyid=1407

・マイミク登録の人へ紹介文を書く
・マイミクの日記にコメントつける
・日記を書く
・日記へのコメントに返事する

人口無能や自動巡回ツールなどを知らない方は驚かれるだろうが、プログラムが勝手に日記を書いたり、友達の日記へコメントをしたりするのである。

「スパム」（CSRF）の予防法は、ユーザーの観点からみれば、いくつかの技術的措置（設定）と意識の問題でしかない。

・TBやコメントを管理し、スパム投稿は小まめに削除すること。
・Cookieの存在を意識してログイン＆ログオフすること。
・妙なURLリンクをクリックしないこと。
・（少し悲しいが）世の中は性善説ではなく『性悪説』で成り立っていると思うこと。

問題や事件の存在を知らないと予防することもできない。そういう意味では、ウィルスやスパイ（アド）ウェアだけでなく、こうした新手の迷惑行為についても十分なケーススタディと対策に関する情報を得ておくことが必要だ。これが、ネットコミュニティにおけるリスク管理であり、ネット社会を生きていくためのひとつの糧といえるだろう。

ココロ・プラネット SNS研究員 roomrag