in between days

表参道で働くシニアのブログ

Google+は非公開設定でも直リンで誰でも写真が見れる上に、削除してもすぐに写真は消えないようです。

【追記】Google+そのものが終わってしまったので画像を外すなど少し編集しました(2019年8月)

AKB48で盛り上がるGoogle+ですが、Google+に上げた写真は、非公開でも直リンで誰でも見れますし、削除してもすぐには消えません。画像ファイルではログイン情報を見てない会社も多いみたいですが、これはこれでいいんじゃないかと思いました。

おわり。ということでアルファブロガー「村上福之の誠にデジタルな話」さんをパクってしまいました。元ネタはこちらです

Facebookに上げた写真は、非公開でも直リンで誰でも見れますし、削除しても永遠に消えません。一昔前は画像ファイルもログイン情報を見ていたのですが、最近は見てない会社もあるみたいです。最初、驚いたのですが、個人的には、これはこれでいいんじゃないかと思いました。おわり。

Facebookは非公開設定でも直リンで誰でも写真が見れる上に、削除しても永遠に写真は消えないようです。

それで、Facebookはダメダメじゃん、ということで話題になっているようです。

でも僕は「これはこれでいいんじゃないか」と思っているので、それはどうしてか? ということをこれから書きます。

ちなみにFacebookだけじゃなくGoogle+でも非公開写真が見えるのは本当です。この写真がそれです。

※Google+が終了したためここに貼っていた画像は見えなくなりました

それだけじゃなくTwitterでも鍵付きアカウントでも直リンで誰でも写真が見られますし、はてなフォトライフでも誰でも写真が見られますし、flickrでも誰でも写真が見られますし、GREEでも誰でも写真が見られます。時限URLを採用しているmixiはちょっと安全です。

※執筆当時(2011年12月)の情報です。今では画像を時限アクセスキー付きURLで貼ってるサイトも増えたようにおもいます。

非公開写真の直リンはどうやって入手するのか問題

上で書いたようにいろいろなソーシャルメディアで直リンを参照すれば写真が丸見えなのは自分も確かめてみましたが、そもそも写真が見れるか見れないか♪の前のとても大切な段階の話を忘れてはいけません。

一般には非公開になっている(友達限定で見れる)写真の、直リンのURLは、誰がどうやって入手するのか?

僕が実験したときは、自分のアカウントに上げた写真を右クリックしてURLリンクをコピーして、別のブラウザに持っていってペーストして、確認しました。これは自分のアカウントだから写真の直リンがわかるので、通りすがりのひとが非公開写真の直リンを知ることはかなり難しいと思われます。というかまあふつうはできません。

もし、自分の写真の直リンのURLがどっかに貼ってあったとしたら、それはその写真を見ることができる人の仕業です。もっとハッキリ言うなら犯人は友達です。

「あなたの友達が、あなたの非公開写真の直リンのURLをバラしている」という問題が起きているとき、これをどう対策すればよいのでしょう?

  1. 直リンを貼られても見れないようシステムに対策を施す
  2. 「直リンをバラさないで!」と友達におねがいする
  3. 絶交する

21世紀少年 下 (2) (ビッグコミックス)

まあ確かにシステムで対策を施せるにこしたことはないのですが、なにせ友達が犯人ですから、システムに取れる対策は限られています。確信犯でやってるならきっとURLをコピペしてるだけじゃなくて写真そのものをローカル保存してるでしょう。システムが直リン対策したなら、保存した写真をどっかにアップロードするかもしれません。

ですから、こういう問題がおきたときには、非公開設定の写真の直リンを公開して誰でも見れるようにした友達をなんとかしない限り、根源的に問題は解決しないと考えてもよいでしょう。

けっして、システムが安全だというわけではありませんが、その抜け穴を利用できる機会が限定されている場合、どこで対策を取るのが効果的なのか、あるいはリスクはどこにあるのか、という判断をどうするかという問題です。

どうしてシステムで対応してくれないのかという話

そもそも論を言うなら、写真であってもHTMLやテキストと同じようにログイン情報を見て認証をかけるのが正しいのかもしれませんし、それは技術的に不可能なことではないわけです。

しかし多くのシステム、しかも世界的に大規模なサービスが、画像については認証をかけていない。これは画像ファイルが一般にテキストより大きく、システムへの負荷がより大きいところに起因するのでしょう。システムはできるだけ手間をかけないで画像を配信したい、できれば専用サーバやキャッシュやCDN(コンテンツ配信ネットワーク)を利用して少しでも効率的に配信したい*1

そういうSNS側の制約条件と、そもそも友達が犯人なら根本的には防げないという人間側の制約が相まって、現段階で一般的な解決策は、友達以外には直リンのURLがわからないようにすることです。つまり

  1. 内部犯はあきらめる
  2. 外部犯にはわからないようにする

というのが今のFacebookやGoogle+などで採用されている戦略です。

SNSの写真の直リンを見るとだいたいURLにランダムな文字列が入っていて、ちょっとやそっとでは類推できないようになっています。シンプルな割にはそれなりの効果が期待できる落とし所だとおもいます。ただし、なかには撮影時間を写真のIDとして保存しているサービスもあります。そういったところにはプライベートな写真はできるだけ置かないほうが無難だろうとおもいます。

ともあれ、敵を知り己を知れば人生万事塞翁が丙午とも申します。いまのインターネットはそういうやり方が一般的なのだ、ということを頭の片隅にでも置いておくとよいのではないでしょうか。

それから村上さんのブログの「削除しても永遠に消えません」というのは、ちょっと言い過ぎです。村上さん自身の追記に記された方がツイートされた下記リンクを読む限り、消えないのはCDNのキャッシュであって、そのうちいつかは消えるみたいですよ。

"Deleted" Facebook photos still not deleted: a followup - ars technica

Facebookはあまりにキャッシュを長く保持し続けるというのが問題になっていて、できるだけ短期間に消すように努力するから、みたいな話になっているようです。Google+もやはりすぐには消えてくれなかったので同じ要因なんじゃないかとおもいます。

でもやっぱりシステムで対応してほしいよねー

そうは言ってもシステム側で対応がされていれば、より安全であることは間違いありません。システムの効率よりもユーザーの安心・安全を心がけている素晴らしいサービスをいくつか紹介してこのエントリを終わりましょう

30days Album(サーティーデイズアルバム)
いつもユーザー目線でサービスをつくるpaperboy&co.さんが提供するオンラインアルバムです。写真の直リンに認証がかかっているだけでなく、そもそも30日経つと写真が勝手に消えてくれるという究極の安心システム。今だけ写真を友達に見せたいというときに便利でしょう。
フォト蔵
ウノウさん(現ジンガジャパン)が運営する日本の元祖的な存在の写真共有サイトです。ログイン認証されない直リンははじかれるようです。
mixi
FacebookやGoogle+のような黒船がお好きな方は御存知ないかもしれませんが、我が国にもちゃんとSNSがあります。mixiでは写真を直リンされても大丈夫にしろという利用者の無茶振り要望に応え、時限URLを導入するという解決策を見出しました。ユーザーの安心・安全を考える素晴らしいSNSだとおもいます*2

※執筆当時(2011年12月)の情報です。今ではそもそもファイルへの直リンを許さないクラウドストレージも多いようにおもいます。

また、どのSNSでも、友達をさらに限定して公開できる友達リスト機能を用意しているはずです。上記のように安心・安全な写真共有システムを利用できず、FacebookやGoogle+のようにアメリカナイズされたドライで割り切った関係のSNSを利用せざるを得ないときには、ほんとうに大切な写真は、ほんとうに信用のおける人だけを選んだ、親友リストでのみ公開するよう心がけましょう。

あとFacebookのタグ付は事前認証を取るようにしとくのがよいです

以上です。どうぞご利用ください。

20世紀少年の脇役 ウジコウジオ作品集 (ビッグコミックススペシャル)

*1:ぼくはエンジニアじゃなくてこのあたり門外漢、というか聞きかじりなので、ちゃんとインフラの知識がある方のまとまった解説とかあれば教えてくださいです

*2:多くのSNSがこの問題を無視するなか、唯一対応しているmixiが二言目には「ユーザーのことを考えない」とか「プライバシーに問題がある」という批判をされているのを見かけるのは不憫でなりません。もっともシステム側が担保すべきリスクはそこなのかどうかの見極めはそれでいいのだろうか的なところで疑問がないわけではありませんが