[艦これ]「提督業も忙しい!」(KanColleViewer)の脆弱性が指摘されたようです。
2016/02/09
TVアニメの終了で艦これ人気も一段落かという感がありますがまだまだ新規プレイヤーの人は、多いようです。
その艦これも2年ほど前からWebブラウザでのプレイは、やりづらいと考える人が多くいるようで艦これ専用ブラウザなる物が出現しました。
元々は、ただ、艦これの画面をウィンドウ化しただけのような物が多かったのですが段々と高機能になって行き建造時間や遠征時間の自動取得装備、アイテム搭載時の効果計算等かなりの高機能化が進みました。
基本的に運営のスタンスとしては、標準では、無いプレイの仕方(BOTやスクリプト等特殊プログラムの使用)は、NGという事が艦これ公式Twitterに掲示された影響から一般的なWebブラウザ以外からのプレイは、 「規約違反か?OKか?」という論争が一部で起きたようです。
実際は、「厳密には、違反かも・・・」的な内容がTwitterに掲載されたのですが結局のところこの運営の言う「厳密には」で配布停止になった艦これ専用ブラウザは、あったのでしょうか?
運営からの指摘で配布中止になった有名な艦これ専用ブラウザと言えば「艦ぶら」 があります。
しかし、「艦ぶら」 は、単純に「著作権違反」という内容なので運営の言う「規約違反」では、無いです。
それ以外に当方は、配布中止になったという艦これ専用ブラウザを知らないのですが存在するのでしょうか?
まぁ、今回は、規約やら違法やらの話では、無いので話を戻します。 2015年5月26日に JVN(Japan Vulnerability Notes)というサイトでなんと艦これ専用ブラウザの「提督業も忙しい!」にセキュリティ的な脆弱性があるという指摘が掲載されました。
参照:
JVNVU#98282440 「提督業も忙しい!」(KanColleViewer) がオープンプロキシとして動作する問題
JVNは、一般人にも知られている業務内容としてソフトウェア著作権関連で有名なIPAも関わっているのです。
そんなサイトに個人で勝手に作成した野良ソフトが掲載されてしまった事の方が個人的には、驚きだったのですが。
まぁ、200万回もダウンロードされているソフトだし脆弱性の中身がリスクとして大きいという事もあったのでしょうけど。
その脆弱性の内容としては、艦これのサーバーと授受しているデータを拾うのにFiddlerCoreというプロキシのようなソフトを使用しているのですがそのプロキシ部分にアクセスできる人をローカル限定にし忘れていたという事です。
すでにその脆弱性を突こうとしているような動きが幾つか見つかっているとか。
この 「提督業も忙しい!」の作者は、サイトにMVP(Microsoft MostValuable Professional)というバナーを掲載しているのでソフトウェア開発関連従事者としては、かなりの知見があるのかと思って以前にその手の内容を当ブログでも記述したような気がしますがどうやら猿が木から落ちてしまったようです。
セキュリティ問題は、高度な知見を持つ人が開発してもイタチごっこなところは、あるので仕方ないのでしょうけど。実際WindowsやLinux等名だたるOSが毎日のように修正パッチを用意している位ですしね。
まぁ、Googleみたいに穴が見つかっても知らんぷり決め込むか最新のandroidで「修正されている」=「最新のスマホに買い換えろ!」というスタンスならバレても平気なんでしょうけど。
実際先日android4.3以前の端末は、見捨てられたのが記憶に新しいところです。
それに比べたら「提督業も忙しい!」の作者さんは、まだ、 前向きです。
だって、指摘の当日には、修正版を出してますから。
とりあえず古い「提督業も忙しい!」 を使用中の人は、最新の物に更新した方が良さそうです。
当方は、demadoに乗り換えてるので全然全くどうでも良い話でしたけど。