LinkedIn の新しい Intro テクノロジーにより、電子メールが LinkedIn のサーバーを通過すると、さまざまな問題が発生する可能性があると考える人もいます。
同社は今週初め、iPhoneのネイティブメールアプリ用プラグイン「LinkedIn Intro」をリリースした。これは、ユーザーのLinkedInプロフィール情報をメールに添付するものだ。このサービスはメールに専門的な文脈を加えることを目的としているが、一部のセキュリティ専門家は、ユーザーの個人情報を犠牲にしていると指摘している。
セキュリティコンサルティング会社ビショップ・フォックスはスタッフブログ投稿で、送受信したメールをLinkedInのサーバー経由で送信し、サーバー側でメールからデータを収集・分析するこのサービスは、本質的には「中間者攻撃」に相当すると述べている。
「電子メールのようなセキュリティ上の問題が蔓延している媒体に新たなデータソースを導入することは、攻撃者にとって夢のようだ」とフォックス・ビショップ氏は記し、誰かがこのサービスを利用してフィッシング攻撃を仕掛けるのは時間の問題だと指摘した。
ターゲット広告、クッキー、位置情報データ、そして国家安全保障局(NSA)の時代において、オンラインで監視されるという概念は目新しいものではない。しかし、LinkedInのプロフィール情報をユーザーのメールに埋め込もうとする行為は、同社があまりにも多くの情報を見ていると、ビショップ・フォックスのマネージング・セキュリティー・アソシエイト、カール・リヴィット氏は指摘する。「まるで巨大なハンマーで卵を割ったかのようだ」とリヴィット氏は語った。
同氏は、オンライン攻撃者にとって、Intro は LinkedIn を魅力的なターゲットにしていると語った。
ユーザーの安心感
LinkedInはサービスのプライバシーポリシーを定めており、各データはユーザーとそのデバイスに固有の鍵で暗号化されると明記されています。「サーバー自体は24時間365日体制でセキュリティ保護され、監視されており、不正アクセスを防止しています」と明記されています。
LinkedIn は、メールをサーバー上で解読し、変更を加えたり、ユーザーのプロフィール情報を添付したりしているとは言っていないが、実際にそれが行われている、とリヴィット氏は語った。
しかし、他の観察者の中には、Intro によって新たなセキュリティ上の問題が発生することはないと考える人もいます。
セキュリティ専門家で作家のブルース・シュナイアー氏は、「Google、Yahoo、AOLなど、他の多くのクラウドサービスプロバイダーも同じ状況です」と述べ、「彼らを信頼するしかありません」と続けた。
「ただの金儲けの会社だ」と彼は言った。「以前は1000社を信頼しなければならなかったが、今は1001社だ」
LinkedInはデータセキュリティに関して、既に危うい状況にあるかもしれない。昨年、同社はパスワードデータベースへの大規模な侵入を受け、数百万件ものハッシュ化されたパスワードがロシアのオンラインフォーラムに流出した。
LinkedInの広報担当者は声明の中で、同社は会員のデータのプライバシーとセキュリティを真剣に受け止めており、「LinkedIn Intro製品に適切なセキュリティ対策を講じるために、慎重なアプローチをとってきた」と述べた。
セキュリティリスクが現実のものならば、Introが提供するサービスは価値があるのだろうか?それは個人の選択の問題だとビショップ・フォックスのリヴィット氏は言うが、彼にとっての答えは「ノー」だ。
「私はどの顧客にもIntroを勧めません」と彼は言った。
