こんにちは。itsuです。
本日、Twitterで以下のようなツイートが流れてきました。
果たしてこれは事実なのか、そして本当に流出しうるのかについて検証&考察していきたいと思います。
問題の概要
問題のサービスを提供しているサイトがこちら。https://www.musicfm.jp/
このサイトが提供するサービスとアプリケーションが使っているAPIにアクセスることで、個人情報が流出してしまうのではないか、という指摘です。
APIとは
https://ja.wikipedia.org/wiki/アプリケーションプログラミングインタフェース
アプリケーションプログラミングインタフェース(API、英: Application Programming Interface)とは、ソフトウェアコンポーネントが互いにやりとりするのに使用するインタフェースの仕様である。
ざっくりいうと「アプリがサービスを提供するサーバーとやり取りするための仕組み」です。
実際に流出しているのか
私はある方法を用いてサービスを解析し、実際にAPIを見つけ、アクセスを試みました。以下に取得できた情報の一例を紹介します。
なお、実際に行った手法についての説明は控えさせていただきます。
メールアドレスやユーザーID(MusicFMのものかは不明)、ユーザー名、使っている端末の種類と思われるデータが確認できます。
アイコンと思われる”avatar_url”はおそらく連携しているサービスのアイコンと思われます。
ただし、住所と思われる”address”、性別と思われる”gender”、誕生日と思われる”birthday”はそれぞれ固定された値のようです。(”birthday”の数値は1990年1月1日を表します。)
MusicFMはSNS(Google、Twitter、Facebook)と連携しない限り、メールアドレスを取得する手段がないと思われるので、SNS連携をすると登録されているメールアドレスが取得される仕様のようです。
また、MusicFMの類似アプリケーションと思われるものがストアにいくつか上がっているため、同様の手順で試しました。
するとそのほとんどが同一のAPIに接続していることが判明しました。
この結果を踏まえての予想ですが、類似のアプリケーションも名前を変えた同一のデベロッパー(MusicFMの開発者)によるものだと思われます。
考察
- SNS連携をした場合にメールアドレスとユーザ名、アイコンが流出してしまう可能性がある。
- SNS連携をしなくても何かのユーザーIDと使用している端末が流出する可能性がある。
- MusicFMに似たようなアプリケーションも同様にMusicFMから出されている可能性が高い。
結論
MusicFMを使うことで何らかのユーザーIDと使用している端末が流出し、SNS連携を行うとそのメールアドレス、ユーザ名、アイコンが流出してしまう可能性があります。
またこのAPIは、アドレスさえ知っていればだれでも見ることのできるようになっています。
従って、個人情報が流出しているといっても過言ではないでしょう。
MusicFMには個人情報が流出しないようにシステムを変更することはもとより、サービス自体の停止を求めたいものです。
2019/6/6 追記
MusicFMに関する調査を一通り終えました。
正確に、かつ全ユーザーとは言い切れませんが、ほぼすべてのユーザーのデータをダンプ(取得)することが可能な模様でした。
また、アカウントを削除する方法が見つからないことから、SNS連携を解除してもMusicFMに登録されたメールアドレス等は削除されないものとみられます。(あくまでも予測にすぎません。)
MusicFMは著作権を侵すだけでなく、各ユーザーの個人情報でさえも侵す可能性のあるツールです。
ただちに使用をやめることがアーティストたちを守ることにつながり、自分の身を守ることにつながります。
無料ほど恐ろしいものはありません。
音楽は正しく、楽しく、気持ちよく聞きたいものです。
それでは。
![[Nukkit] サーバー内でMIDIを再生してみた](https://blog.itsu.dev/wp-content/themes/realistic/images/nothumb-rc_related.jpg)
危険だと解らずに利用している方も大勢居る筈でしょうから一度システムの見直しとアナウンスを流して欲しいですね。安全第一だったらAmazon MUSICなどを利用した方が良いですが。