半径300メートルのIT：盛り上がりつつある「Mastodon」、セキュリティは大丈夫？ (1/2)

Twitterのような使い勝手のSNSとして、ここ数日で急速に注目が集まっている「Mastodon（マストドン）」。早くもそのセキュリティを心配する声が上がっていますが、その心配は正しいとも過剰だとも言えます。

　「Mastodon」（マストドン）というWebサービスが、ここ数日で大きな注目を集めています。

　見た目がTwitterそのものですが、オープンソースと分散型によるシステムが特徴で、サーバを立ち上げれば誰でも（スキルがあれば）、誰からも干渉されないマイクロブログが作れるという、ドイツに住むEugen Rochkoさんが作ったSNSシステムです。

　日本では、ASCII.jpの記事「Twitterのライバル？　実は、新しい「マストドン」（Mastodon）とは！」をきっかけに知れ渡り、ITmediaでも解説記事や連載「マストドンつまみ食い日記」が掲載されています。

　そして大学院生である、ぬるかる（nullkal）さんが個人で立てた「mstdn.jp」は、今や世界最大ユーザー数を誇るサーバとなりました。ここまでわずか7日間。インターネットの世界は本当に進化が早いです。

世界最大のユーザーを有するサーバ「mstdn.jp」のトップページ

パスワードが抜かれるから危険？　「使い回し」はもっと危険！

　ところでこの話、進化が早いという点で気になったことがありました。

　通常、こうしたITサービスは、機能や規模が広く、大きくなったあとに、やっと「ところでそれって安全？」という話が出てきます。Twitterも、アプリ認証やスパムが話題になり、「皆さん気を付けましょう」と言われ始めたのは、サービスが始まってから相当たってからでした。

　ところが、マストドンでは早速「見知らぬ個人のサーバに登録すると、メールアドレスとパスワードがバレてしまう！」という投稿が散見されます。セキュリティに注目する動きは大変ありがたいのですが、残念ながら、それはマストドン特有の話ではありません。

　オープンソースのサービスは、公開されたソースコードを元にして、技術があれば、誰でもサービスを展開できることが特徴です。その際に「悪意ある管理者」がソースを改変すれば、確かに登録したメールアドレスとパスワードを盗むことは可能でしょう。

　しかし、これはどんなサービスでも、個人、法人問わずに行われる可能性があります。むしろ、オープンソースの世界では、多くの開発者の目が光っています。内部構造を誰もが確認でき、修正も可能です。そのため、誤ったパスワードの実装は改善されるはずで、逆に「安全」とも言えるくらいです。

　そもそも、このパスワードが抜かれるから“危険”だという考え方自体が、パスワードの使い回しを想定した話です。もし、あなたが「どこの誰とも知らないサービスにパスワードを盗まれたら困る」と思うなら、「バレても影響がないパスワードを使えばよい」と考える方が、リスクはより少なくなるでしょう。