「掲示板」タグアーカイブ

ゼロ幅文字にエンコードした隠し情報で、文書をリークしたメンバーを特定

とある会員制掲示板からの文書の流出に困った運営者が、ユニコードの見えない文字「ゼロ幅文字(Zero-Width characters)」を使って流出させたユーザーを特定した、という話が出ていました。

数年前の話、Tom さんが所属していた競技ビデオゲームのチームでは、ログインが必要なプライベートの掲示板を使って連絡していました。その掲示板に書かれた秘密情報や戦術に関する重大アナウンスなどがしばしば掲示板外のウェブにコピペされ、チームにとって大きな問題となっていたそうです。

外部ユーザーの攻撃で中身が漏れたというよりは、メンバーの誰かがコピーしているのでは、と考えた Tom さんは、当時気になっていたユニコードのゼロ幅文字を使ったトリックを仕掛けたそうです。

ユーザーを特定する情報を、見えない文字に変換して埋め込む

ログイン中のログインユーザーのユーザーIDを、一定のルールによってゼロ幅文字の並びに変換します。そして、この文字列が、掲示板のコメントを表示する際に文章の間に埋め込まれるようにします。

コピー&ペーストされた外部の掲示板等を見ると、目には見えませんがそちらにもこのゼロ幅文字を組み合わせた文字列が含まれているので、そこから逆への変換を適用することで、コピーをしたユーザーのIDがわかる、というわけです。

GitHub 上で公開されたデモコードがこちら。動くデモがこちらです。

1 で入れたユーザー名が入っていないように見える2 のテキストをコピーすると、コピー先の 3 から、元のユーザー名が取り出せていますね。

データ列をASCII文字64個でエンコードすれば Base64 ですが、このデモでは 4種類のゼロ幅文字を使った ZeroWidth4 とでもいうべきエンコーディングですね。

元ブログ記事では、この手法を掲示板に組み込んで新しい情報を流したところ、数時間でコピーされた文章からユーザー名を回復し、流出者を特定できた、と語っています。

この場合はうまくいきましたが、この仕掛けを知った上で無実の他人のユーザーIDに書き換える、といった反撃も考えられるので、ユーザー名をそのまま組み込むとかではなく、改竄があればわかるような形にするのがより良いだろう、とも述べられていました。

自衛ツールの登場など

この記事が広く読まれたので、Chrome拡張が早速登場。ゼロ幅文字を絵文字に変換して表示する拡張で、こういうのを入れておくと何かが埋め込まれているな、というのを見つけられますね。急いで作られたせいか、ユーザーが能動的にクリックしないと絵文字表示されないなど、実用するには今一つですが。

それと、英語のテキストでやってる分には問題ないですが、そもそも役割があって文章中にゼロ幅文字が含まれている言語もあるので、一律に除去したり警告したりするようなツールでは不十分だと言えそうですね。

情報を守る立場からすれば、このような追跡手法をいくつも持って仕掛けておくことは有用でしょう。

逆に、内部告発など悪事を暴く活動として秘密情報をコピーする立場から見れば、このような仕掛けがないかを確認したり、同定されないよう過剰と思われる情報を切り落とすツール等を使うなど、ある程度のリテラシーが必要となってきそうですね。

via reddit

関連

忍者猫(Ninja Cat)絵文字がWindows 10に登場 – 合字用Zero Width文字

Unicodeの空白文字を使ってクリックトラッキング – URLに同様の文字を入れ込む

市販のプリンターは印刷時に追跡用の隠しコードを描き込んでいるものがある

[追記 2018-04-11] 隠し情報をゼロ幅文字エンコードする仕組み – Qiita – Ruby で試してみた方

あえてレトロな機械式掲示板 Vestaboard

空港にある、というか最近の空港はもうどこも電子掲示板になっているように思うので空港に「あった」と言うべきでしょうか、あの板がカタカタと回って表示が変わるサインボードを再現したガジェット Vestaboard が登場しました。

94 cm x 53 cm の黒板のようなボードに、23 x 7 個のデバイスが並べられています。となると一度に表示できるのは 161 文字でしょうか。

インターネットと連動していて、Android/iOSアプリから操作し、ツイッターのつぶやきやSMSのメッセージなどを表示させられるそうです。Google HomeやAlexa などと繋げて、今日の予定を表示させたりも。

こちらは表示板一個分のデバイスがCESで実際に展示されていたところ。動作がわかりやすいように、アルファベットではなく模様のついたカードを使っていますね。

View this post on Instagram

Vestaboard is now showing at #ces

A post shared by Vestaboard (@vestaboard) on

アルファベットを入れて動かしてる動画はこちら

ノスタルジックな外見に、ネット接続の便利さ。構造上、自由な文章を表示するには英語など文字の数が少ない言語でないと使えないですけど。インテリアとしてそれなりに売れるかもなと思いますね。

via Product Hunt

グーグル検索に見つかったら、ただちに自身を削除する自動消滅掲示板

Matthew Rothenbergさん(@mroth)によってGithub上に公開されているUnindexed (=インデックスされない)は、markdown形式などで書き込めるシンプルなウェブ掲示板のスクリプトですが、ページがグーグルの検索結果に登場したことを検知したとたんに自分自身を削除してしまいます。

unindex

グーグル検索が気づいた瞬間に「この掲示板は自動的に消滅する」ように作られていて、このスクリプトのデモとして実際に公開されていた掲示板は、公開後22日で検索結果に現れるようになり、デモサイトも410エラーで終了となっています。

掲示板にコメントした利用者は、積極的にそれをシェアすることを勧められますが、シェアすることによってグーグルのインデックスに載りやすくもなり、最終的にはサービスごと、すべてのコメントが消えてしまいます。

そもそもグーグルに「インデックスしないでくれ」と指定することは可能なので、本当にそれが目的であればこんな作り方をする必要は無いのですが、ご本人によるプロジェクトの解説によれば、「ウェブの持つ儚さとしつこさという性質の実験」ということだそうです。

via Waxy via Boing Boing

4chan創業者、日本のおもちゃ屋の50,000ドルでの買収話を蹴っていた

日本の匿名掲示板文化をアメリカに移植し、先日設立10周年を迎えた、巨大匿名画像掲示板4chan。今では、先祖である2chan/2ch同様に、様々なネットの流行(ミーム)の一つの発生源となっています。

4ch-10th-birthday

その4ちゃんを創業したChris Poole(moot)氏がTumblrで明かしたところによると、2005年の秋に、日本のとある玩具店から、50000ドル(560万2910円)でのサイト買収オファーを受けていたということです。

その時の断りの返事の一部が公開されています。

Sorry for the delay. As crazy as it may seem, even an offer of that magnitude would not change my mind. The amount of time and money I and others have invested in 4chan makes it very hard to put a price on, and, not only that, but the site continues to grow in popularity immensely each day, month, etc.

遅れてすいません。正気じゃないと思われるかもしれませんが、そのような大金を提示されても気持ちは変わりませんでした。僕と仲間たちが4chanに投入した時間とお金を考えると、それに値段を付けるというのは非常に難しいのです。さらに、それに加えて、サイトは毎月、そして毎日、ものすごく人気を高め続けているものですから。

この時moot氏はなんと17歳です(彼は15歳で4chanを始めています)。サイトを500万円(4万4500ドル)で買い取りたいと言われて、どれだけの高校生がきっぱりと断れるものでしょうね。

moot氏はこのおもちゃショップの名前を明かしていませんが、既にその会社は存在していないということです。

2年目の段階で4chanの成長に気づいて日本から買い付けを試みたというその会社も結構すごいと思うのですが。どこなんでしょうね? そして、もし買収が起こってたら、その後の4chanはどうなっていたんでしょう。Anonymousグループもその抗議活動も生まれてなかった?

I could not be more thankful that I made the right decision. While 4chan hasn’t made me rich, it has become my life’s work and provided me with countless friendships and a decade of entertainment.

And that’s something you can’t put a price on.

その時正しい判断をしたことは、どれだけ感謝してもしきれません。4chanは私をお金持ちにはしませんでしたが、それはライフワークとなり、数え切れない友情と10年間にわたる楽しみを与えてくれました。

それこそが値札をつけられない何かなんです。

10周年関連のイベントで公開されたアニメ動画は、DAICON 4 FILMのパロディです。(9:11頃から)

4chan-twilight-1

4chanは日本のウェブ文化が大きくアメリカへ流れ込んでいるポイントの一つでしょうね。

via 4chan creator Chris Poole turned down a $50,000(560万2910円) acquisition offer from a Japanese toy company in 2005 – The Next Web