パスワードを忘れた? アカウント作成

大学のシステムにアクセスして講義情報などを取得するスマホアプリに対し大学側が抗議」記事へのコメント

  • 学生のIDとパスワードを借りてテストしたのかなあ.
    • by uxi (5376) on 2017年04月20日 18時45分 (#3197183)

      大学の修学システムって、アクセスがその構成員でほぼ完全に閉じてる上に、
      同じベンダーでも微妙にカスタマイズが入ってて細かい点が異なってるので、
      大学毎に学生を開発要員としてバイトに雇うか、
      IDとパスワードの借り上げをしないと開発もままならないはずなんだよ。

      前者は、まぁバイトで自分たちが幸せになれるよう
      金もらってハックしてるって感覚だろうからまだ分かるとしても、
      後者は、感覚的には銀行口座の貸し借りや売買してるくらいには
      ヤバ感じがすると思うんだ。
      成績やら住所、顔写真、銀行口座等々、個人情報てんこもりだからね。
      そうなると消去法で前者なんだけど、
      それにしては、対応大学 [orario.jp]が全国に広がってて、
      本当、どうしてんだ!?って感じ。

      同じベンダーの製品採用している大学に偏ってるとしても、凄く謎。

      トラブル時の対応とかまで考えると、
      弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません [orario.jp]」って説明は、常識的に考えて相当ハードルが高いとしか言いようがない。

      まぁ、プライバシーポリシー [orario.jp]読む限り、バグ報告すると、スクレイピング結果を解析する事に同意したみなされて、自分のアカウント使って、いろいろ突つかれる事になるんだと思う。
      提供された「ユーザー名、パスワード」は「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に使うって明記してある。

      あれ?
      Orarioサーバーには、ユーザー名、パスワードは行かないんじゃなかったの?
      それともアプリ側でスクレイピングした結果をサーバーに送るのか?
      もう支離滅裂だよ。

      --
      uxi
      • Re:テスト以前に開発が (スコア:5, すばらしい洞察)

        by uxi (5376) on 2017年04月20日 21時10分 (#3197297)

        会社概要 [orario.jp]見ると、
        本社が大阪で従業員8名(バイト含む)
        対して、現在、対応してる大学が、18大学なので、
        やっぱり学生のIDとパスワード借り上げないと開発は無理な気がする。

        あと、採用情報 [orario.jp]見ると、
        「立命館大学では全校生徒の約70%にあたる24,000人、同志社大学では全校生徒の約60%にあたる17,000人が利用するサービスとなりました。」
        とか書いてあるんだけど、
        現時点では iOS 版の存在は確認出来ないにも関わらず、
        Orario for 立命館 [google.com]が、インストール数 5,000-10,000、
        Orario for 同志社 [google.com]が、インストール数 1,000-5,000
        という状況。
        カウントに遅延があるとしても若干盛ってる感がある。

        因みに、現時点で確認出来る Android 版のインストール数とバージョンの状況が以下。

        大学 インストール バージョン
        関学 100 - 500 1.0.1
        九大 100 - 500 1.0.1
        慶応 50 - 100 1.0.1
        神大 50 - 100 1.0.1
        東大 100 - 500 1.0.1
        阪大 500 - 1000 1.0.2
        早稲田 100 - 500 1.0.1
        上智 10 - 50 1.0.1
        関大 50 - 100 1.0.2
        京大 100 - 500 1.0.2
        近大 100 - 500 1.0.1
        横国 100 - 500 1.0.2
        中央 100 - 500 1.0.2
        立教 100 - 500 1.0.2
        青学 50 - 100 1.0.2
        明治 100 - 500 1.0.6
        同支社 1000 - 5000 1.1.0
        立命館 5000 - 10000 1.6.1

        時間割アプリの「Orario」の特性と安全性について [orario.jp]
        で、「弊社メンバーが大学在学中に開発したアプリが「Orario」」って書いてあるので、利用者数とバージョンの進行から考えて、多分、立命館発祥のアプリで間違いなさそう。

        その線で調べたら以下の記事が見つかった。
        立命館大学発ベンチャーOrario、ベクトルから2,000万円を資金調達...芳本氏と井口氏が語る、履修情報管理アプリ『Orario』の立上げ秘話 [thepedia.co]
        当たりだ。

        しかし、いくら震源に近いとは言え、立命館と同志社の利用者数が特筆して多く、彼らの情報リテラシーとセキュリティ意識の低さには目を被いたくなる。
        立命館も立命館で、教授陣は自分とこの学生のサークル活動で作ってビジネスにしようかってのに、老婆心ながらアドバイスの1つもしようって先生が1人もいなかったって事か?
        まぁ、そんなだから、こんだけ大量の学生が利用しちゃったんだろうけど。
        数字が公式発表程ではないのがせめてもの救いだろうか?

        あと、ベクトル。
        お前ら、金出すなら、きちんと技術面、特にセキュリティ面のアドバイザーくらい付けてやれよ。
        相手の出自は経済学部だぞと言いたくなる。
        よくよく調べてみれば、ビジネスプランで経済産業大臣賞受賞も取っているらしいし、こういうつまらない事でキャリアに味噌を付けるとか本当可哀想。

        今回の件、おそらく、事前調整なしに、各大学用のアプリをリリースしてるんじゃないかと思う。
        少なくとも大学で情報関連の統括部署がこの仕組みを知ってれば、確実に事前のダメ出しするだろうからね。
        それを、彼ら顔の見えない運営者がいきなり奇襲をかけた形になれば、
        そりゃ胡散臭さを倍増するし、過剰に拒否反応が起きても仕方ない。

        そもそも Orario の公式ページにはこれまでの経歴とか、
        紹介記事とか全然リンクしてないし、
        使えるリソースを全く有効活用してない。
        顔の見えなさが半端ない。
        かと言って、顔出し NG のシャイボーイかと言えば、違うんだよね。
        過去の活動では、かなり露出してるし、箔をつけるような記事も結構書いてもらってるもん。
        これは広報的な視点でも完全に失敗だと思う。

        あと、スクレイピングとか、
        どこぞの図書館の例 [google.com]もあるわけだから、
        企業の営利活動の一貫として大々的にやろうってんであれば、もう少し慎重に、
        大学当局、特に情報系の統括部署にお伺いを立てて、相互に調整しながらやるのが筋ってもんだろう。
        ビジネスは、筋通さないとね。そりゃトラブる。
        まぁ、それをやっても印象を悪くしている最大の原因である仕組みが悪さは帳消しにはならないけど、
        大学側に手出しがないなら、生温かいアドバイスくらいはもらえたはず。
        学認とかね。
        普通の経済学部生が知るわけないよ Sibboleth なんて。
        知ってて、OAuth か OpenID がせいぜいだろう。それは仕方ない。

        何にしても、現状のブラックボックスに平文でアカウント所持してスクレイピングで拾った情報が
        どこにどう流れるか Orario 以外に確かめようのない状態では、
        セキュリティ意識の高い部署に理解を求めることは困難と言わざるを得ない。
        数字盛ったり、安全性の議論を煙に巻く前に、ちゃんとエビデンス示すべき。

        かなりセンシティブな情報を取り扱っているという事をもう少し自覚しないとね。

        まず、自分が何者であるかとか、
        どういう思想でやっているかとかも、
        公式ページできちんと表明すべきだし、
        そういうこと含めて、透明性や社会的信用を確立して行かないとね。
        それでも、たかだか資本金2千万ちょいで従業員8名のスタートアップが作ったアプリを
        代表的なブラウザと同じレベルの信頼感で見てもらうなんて困難を極めるよ。
        それを非公式から奇襲的にやるならそりゃこじれるわ。

        --
        uxi
        • おっしゃることはごもっともですが、
          若者の感覚からいうと大学の事務と折衝とかかったるくてやってらんないんじゃないですかね
          なんせ若いんですから

          大人に怒られて失敗すれば出直せばいいんじゃないでしょうか

          • by Anonymous Coward

            怒ってくれる大人とか、何十年前の話だよ。
            彼らの周りにいるのは、怒って貰えないまま大人になれちゃった人たちだぞ。

          • by Anonymous Coward

            相手は会社作って事業としてやってるんだ。
            学内サークルで便利アプリ作ってみたんで配布しますね、ってレベルとはわけが違う。失敗=最悪の場合倒産、ということになる。
            そうならないために普通はかったるい折衝でもやるもんだ。

        • by Anonymous Coward

          こういうのって怒られた場合でもその後の対応ですよね
          説明しなければいけないのは使うユーザーではなく、大学の管理者だし
          そういう人にああいう図でアバウトに説明しただけだとそりゃ納得できないだろうし抉れるよ

          秘密保持契約結んで頂ければソース開示しますとか
          フェーズ事にこの情報を取得し~等の説明するとか
          そういうのが出来ないって事は、なんかあるんじゃないか?ってなるのは仕方がない事かと

        • by Anonymous Coward

          どこぞの図書館の時は擁護派が多かった気がするが、
          何が違うのかな

          • Re:テスト以前に開発が (スコア:4, すばらしい洞察)

            by uxi (5376) on 2017年04月20日 22時36分 (#3197366)

            あれは、個人情報からんでないし、
            使いにくいシステムを自分の力で自分のために使いやすくしただけ。
            至極まっとうな自動化の事案であり、あれこそ情報教育の目指すところ。
            情報リテラシー教育の結晶。

            対して今回のは、一営利企業が個人情報の操作を代行してる上に、
            その個人情報がブラックボックスの内外でどこにどう流れているかも分からず、
            さらにそれを行うためには平文でIDとパスワードをよこせと来たもんだ。
            しかも、後から出てきた安全ですよーって説明が、明らかにおかしい。
            これは情報教育で近づくなって教えないといけない奴。
            情報セキュリティー教育の敗北。

            そりゃ、安岡先生に使ったら単位没収て言われるだろうし、
            フレンズからは、やめるのだフェネック!IDとパスワードを無闇に入力してはいけないのだ!社会的信用が確立している企業ですらためらわれるのに、説明責任すら果たせていないスタートアップとか論外なのだ!って言われる。

            --
            uxi
            • by Anonymous Coward

              実は進んだ図書館だと会員IDの他にパスワードを発行していたりする。さらに住所や郵便番号、メールアドレス、でんわ番号などの個人情報も収集している。素晴らしい所だと利用者がが借りた本のリストまで用意してくれる。
              図書館のシステムは使いにくいが個人情報万歳だったりするのだ。お前俺がロリータをこっそり読んだことがバレたら大変なことだぞ?
              因みに近所の図書館のシステムは使いやすいです。GUIがダサいだけ。

              • by uxi (5376) on 2017年04月21日 11時10分 (#3197559)

                まぁ、今時、他の利用者の貸出履歴を統計処理してリコメンドしてくれても驚きはしないけど、
                どこぞの図書館の例 [google.com]って、自分の理解では、
                会員個別の識別情報、属性情報は一切含んでなくて、
                純粋に、蔵書検索のデータベースを外部に作り直しただけって理解なんだけど違ったっけ?

                他者の個人情報と書いた方がよかったかな?

                --
                uxi
          • by Anonymous Coward

            図書館の蔵書の情報を集めただけだから。
            元から公開情報。

            今回のは、大勢の個人のID/パスワードが絡んでる。

        • by Anonymous Coward

          なんだかんだ言って優しいな

          妙に具体的で、このアドバイス通り仕切り直せばまだリカバリが効くのではなかろうか
          まだできたての会社みたいだし、今ならまだ、学生がヤンチャしてましたが真面目になりました、で許してもらえるかも

      • by Anonymous Coward on 2017年04月20日 18時55分 (#3197191)

        クレジットカード情報をなぜ取得してるのかと思ったら
        「本アプリ上での講義ノートの共有・売買サービスの適法かつ円滑な提供、維持および改善のため」ってあるけど、これってどうなん?

        あと、安全性で
        「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり」
        といっているのに
        「基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名
        端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴」はどうやって取得すんの?って事

        サーバの役目も図ではスクリプトの取得のみと書いてあるようだし。

        • > 「本アプリ上での講義ノートの共有・売買サービスの適法かつ円滑な提供、維持および改善のため」ってあるけど、これってどうなん?
          これはまずそう(論理的に)ですなぁ…
          法律的には…どうなんだろう

          • 内々にやるにはいいけど、せめて飯おごったりとかのお礼で留めたい。
            それをクレカ決済サービスとなると、別の商売が容易に派生させられますね。

            他所では売られない売られていない「色んな物」を売り買いする絵が浮かんでしまう。

          • by Anonymous Coward

            先輩から過去問回ってくる時代はもう遠くなったか(小遣い稼ぎをしてた人もいたけど)

            • by Anonymous Coward

              いや、そうやってコソコソと先輩とのつながりで回していくのがある意味正しい姿だと思いますよ。
              それを企業のプライバシーポリシーとかに堂々と書くとは……。

            • by Anonymous Coward
              過去問は余りないけど、テスト対策の資料作りなんかは割と制度化されてましたね。
              結構質が良くて、おそらく成績も上がっていたのでしょう。教授が学生の質が良くなったとでも勘違いして問題も難しくなってました。
              講義の全録音データやプリント資料を限定公開でアップロードしていた人もいましたね。
              単純に技術的に言えば、学校教育の遠隔化なんてのは普通にできるもんだと思いましたよ。
        • ※最初半分はエイプリルフール
          途中からこの講義ノートがらみの規約の該当部分
          https://prtimes.jp/main/html/rd/p/000000002.000023326.html [prtimes.jp]
          以下引用

          近日講義まとめノート売買機能が追加

          単位は売買できないけれど、同じ授業を取っている優秀な学生のノートがみたい。
          そんな要望を受けて4月中にノート共有機能追加します。
          出品者は、まとめ授業ノートを撮影し、必要項目(日付・講義数・教科書情報等)とと

          • ちょっと利用規約を読みに行ったら結構大変なことになっていました。

            利用規約 [orario.jp]には割合や寄付については記載ありませんねぇ。
            一方、第三者に再許諾する権利も含め、ほぼすべての権利をOrarioに与えることとなっており、それは退会しても消滅せず与えたままです。恐ろしい。。。

            2. 会員が作成した講義ノートに関し発生する著作権は、原則として、会員に帰属するものとし当社がかかる権利を取得することはありません。ただし、会員は、当社に対し、会員コンテンツを本規約の範囲内で当社サービスに関して利用する権利【複製、上演、演奏、上映、公衆送信、公衆伝達、口述、展示、頒布、譲渡、貸与、翻訳、翻案(当社が事業目的上必要とみなす範囲で改変する権利を含みます)、またこれらの権利を第三者に再許諾する権利を含みます。ただし、本条各項において禁止されている利用行為は除きます。】を非独占的かつ退会後も無期限に地域の限定なく許諾するものとし、当社はかかる利用権を取得します。

            --
            The 'Through'-Force is with you, young srader, but you are not a Hacker yet.
      • by Anonymous Coward

        今朝の読売新聞がOrario代表取締役のコメント取ってきてる
        http://www.yomiuri.co.jp/national/20170428-OYT1T50006.html [yomiuri.co.jp]
        >だが、開発は、大学側の承諾を得ておらず、同社は、各大学の在学生の協力でシステム内の掲示を閲覧しているという。
        >また学生がアプリを利用する場合は、大学名や卒業予定年度、時間割の内容などの「利用者情報」が同社に送られる。
        >代表取締役の立命館大4年、芳本大樹さん(25)は
        >「開発段階では時間割の表示に必要な情報しか見ていない。アプリの安全性を事前に大学側に説明すべきだった」と話す。

        「在学生の協力」ってユーザ名とパスワード借りてるってことだな

        • 関係者や有識者からコメントを取り、危険性や問題点についてもきちんと指摘されていますし、
          Orario の弁明 [orario.jp]には無かった、アプリ→Orario の向きの矢印もちゃんと入っていて、
          今回の問題を中立的な立場からコンパクトにまとめた良い記事だと思いました。

          「在学生の協力」は具体的に方法という点ではちょっと微妙過ぎる表現ですね。
          依然として、憶測を交えるしかありませんが
          少なくとも最低ラインの説明責任は果したかなという気はします。
          協力についての募集要項のような物が示せるならなお良いですが、
          「実際に採用したかどうかまで検証しないと」等と言い出せば切りがないので
          自分はそこまでは言おうとは思いません。

          あと、記事中に

          「開発段階では時間割の表示に必要な情報しか見ていない。アプリの安全性を事前に大学側に説明すべきだった」と話す。今後は機能の追加や課金を計画しているという。

          とあったのですが、
          若干残念に思われた点として、以下の3点を挙げておきます。

          ・1点目として、Orario に求められるのは、単に(Orario の主観に基づく一方的な)安全性の説明ではなく、大学との対話であり、きちんと大学の理解を得る事であること。しかしこのコメントだと、その認識を認める事が困難であること。
          ・2点目として、今後の計画で言う課金には、ノート売買の仲介手数料業務 [srad.jp]も含まれており、モラル及び著作権 [srad.jp]等の観点で再度問題が再燃する可能性がくすぶっている事。記者の方は一言触れてくれると良かったのかなと。
          ・3点目として、Orario の広報 [orario.jp]が相変わらず仕事しておらず、この報道資料を有効活用してないこと。もう少し積極的に客観的な資料に基づく説明責任を行った方が良いでしょう。

          --
          uxi

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...