欧州議会、モバイル用のOutlookアプリをブロック 31
ストーリー by headless
禁止 部門より
禁止 部門より
MicrosoftはAndroid版およびiOS版のOutlookアプリを1月末にリリースしたが、重大なセキュリティー上の問題があるとして欧州議会が電子メールアカウントへのアクセスをブロックし、使用しないよう議員に呼びかけているそうだ(ITworldの記事、
TechWeek Europeの記事、
WinBetaの記事、
本家/.)。
Outlookアプリは各種メールサービスやクラウドストレージサービスに対応し、メールやカレンダー、連絡先などの情報を取得して表示するものだが、取得したデータの一部がデバイスだけでなくクラウド上にも一時的に保持されることがあるという。また、OAuthに対応しないMicrosoft Exchangeなどのサービスを利用する場合、パスワードを含むアカウント情報もクラウドに保持されるようだ。実際にiOS版のOutlookアプリで通知を有効にした場合、デバイスを機内モードに設定していてもメールサーバーへのアクセスが行われることが確認されている。
ユーザーのデータやアカウント情報は暗号化されるものの、欧州議会の管理下にないサードパーティーのサーバーにデータが保持される点や、無断でパスワード情報をMicrosoftに送信している点が問題視されているものとみられる。欧州議会では、既にアプリを使用して欧州議会のメールアカウントにアクセスしてしまった場合は、アプリを削除してパスワードを変更するように通知しているとのことだ。
Outlookアプリのブロックは欧州議会以外の組織でも行われている。米ウィスコンシン大学マディソン校ではExchangeサーバーの管理者にOutlookアプリをブロックするように要請し、学内のOffice 365サービスへのアプリからのアクセスを9日からブロックしているという。また、オランダのデルフト工科大学でもアプリのブロックを開始したと報じられている。
このアプリはMicrosoftが昨年12月に買収したAcompliが開発していたが、買収に伴ってブランドを変更してリリースされたものだ。Office 365ユーザー専用の「Outlook Web App(OWA)」とは別のアプリとなる。
Outlookアプリは各種メールサービスやクラウドストレージサービスに対応し、メールやカレンダー、連絡先などの情報を取得して表示するものだが、取得したデータの一部がデバイスだけでなくクラウド上にも一時的に保持されることがあるという。また、OAuthに対応しないMicrosoft Exchangeなどのサービスを利用する場合、パスワードを含むアカウント情報もクラウドに保持されるようだ。実際にiOS版のOutlookアプリで通知を有効にした場合、デバイスを機内モードに設定していてもメールサーバーへのアクセスが行われることが確認されている。
ユーザーのデータやアカウント情報は暗号化されるものの、欧州議会の管理下にないサードパーティーのサーバーにデータが保持される点や、無断でパスワード情報をMicrosoftに送信している点が問題視されているものとみられる。欧州議会では、既にアプリを使用して欧州議会のメールアカウントにアクセスしてしまった場合は、アプリを削除してパスワードを変更するように通知しているとのことだ。
Outlookアプリのブロックは欧州議会以外の組織でも行われている。米ウィスコンシン大学マディソン校ではExchangeサーバーの管理者にOutlookアプリをブロックするように要請し、学内のOffice 365サービスへのアプリからのアクセスを9日からブロックしているという。また、オランダのデルフト工科大学でもアプリのブロックを開始したと報じられている。
このアプリはMicrosoftが昨年12月に買収したAcompliが開発していたが、買収に伴ってブランドを変更してリリースされたものだ。Office 365ユーザー専用の「Outlook Web App(OWA)」とは別のアプリとなる。
利用感想 (スコア:2)
Yahoo!のメールアカウント登録でそうだろうなっていう挙動してた所があったので、まあそうだろうなと。
ただ、その旨を明記してだったら利用していい気がするので、ちょっと過敏な反応という気もする。
# まあ、先に言ったほうがよかったとは思う。> サーバに一部情報保存ありとか
うーん、同じではないが似たような考えかたで動く(動かさざるをえない)アプリってそれなりにありそうだけど、影響出るかな...
M-FalconSky (暑いか寒い)
すべてのキディにハッキングを提供するOutlookのソリューション (スコア:1)
『ハッキングをスクリプトキディにもできるように簡単に』するのはOutlookブランドがリリース当初から提供し続けている基本機能です。
冗談はともかく。
MSはもうちょっと慎重になれば良いと思いますが、欧州とケンカが成立するというのもMSのすごいところではあります。
(参考)Acompliのプライバシーポリシー (スコア:1)
Outlookアプリのプライバシーポリシーは見つけることができなかったので、参考に元アプリのAcompliの方を見てみた。
#すでに変更された後かもしれませんが。
(参考)Acompliのプライバシーポリシー [acompli.com]には、アプリの他に「the service」がメールサーバーに取りに行く旨を書いているような気がするので無断ではないが、モバイルにインストールするときにはちゃんとは読んではいないだろうな。
We provide a service that indexes and accelerates delivery of your email to your device. That means that our service retrieves your incoming and outgoing email messages and securely pushes them to the app on your device. Similarly, the service retrieves the calendar data and address book contacts associated with your email account and securely pushes those to the app on your device. Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device. If your emails have attachments and you request to open them in our app, the service retrieves them from the mail server, securely stores them temporarily on our servers, and delivers them to the app
欧州やりたい放題 (スコア:0)
もう難癖付けているだけにか見えない
無鉛ハンダとかも日本とかに対する嫌がらせとしか思い得ないし。
Re: (スコア:0)
それに嫌気がさして出ていった奴らが作ったのが、アメリカなのさ。
Re: (スコア:0)
gmailも似たようなものでしょ。
おたがに、自分の支配圏をひろげたいだけ。
おかげで、どれも使う気が無くなったけれど。
Re: (スコア:0)
欧州クラブで自分の事を決めていきたいし、よそ者にかき回されるのはイヤなんでしょう。
素晴らし姿勢ですね(反語)。
Re: (スコア:0)
今まで疑問だったんだよね
なんで今現在のGoogleに対して欧州委員会はぬるいのか
結局は個人的感情というか嫌いだから排斥っていう単純で幼稚な動機かよ
Re: (スコア:0)
FIA「呼んだ?」
オリンピック委員会「呼んだ?」
行儀の悪いアプリってのは (スコア:0)
まさしくこう言うのを言うんだよな。
ユーザーに無断でパスワードをあちこちにばらまくとか、正直あり得ない。
しかもMSと言えば、以前Windows Storeが侵入された時に、パスワードが平文で保存されているのが発覚したしなあ...
Re: (スコア:0)
あちこち?
Re: (スコア:0)
タレこみ本文に「ユーザーのデータやアカウント情報は暗号化される」と書いてありますよ。
Re: (スコア:0)
無断で送信したパスワードも暗号化されるとは書いてないですけどね。
Re: (スコア:0)
「アカウント情報」ってパスワードも含む物だと思ってたけど、そうとは限らないのですね。勉強になります。
Re: (スコア:0)
勉強出来て良かったね。
>ユーザーのデータやアカウント情報は暗号化されるものの、欧州議会の管理下にないサードパーティーのサーバーにデータが保持される点や、無断でパスワード情報をMicrosoftに送信している点が問題視されているものとみられる。
さすがにこの文章で「無断でMSに送ったパスワード」まで「暗号化される情報に含まれる」と受け止めるのは楽観的過ぎるからなあ。
むしろアカウント情報が本当に暗号化されてるのかから疑うべきネタだからねぇ。
同様のことは金融系アグリエーションアプリにも (スコア:0)
日本製のアプリもいくつかあるけど、銀行やクレジットカードのサイトから履歴を集めて資産管理してくれるアプリがある。
レビュー見る限り、ユーザーは「めっちゃ便利」っていうんで使ってるんだけど、その中で、アプリに入力したIDやパスワードをあっち側のサーバーに送って、サーバーが銀行などから情報を集めてる、っていうのを理解してる人がどれだけいるんだろう。
まぁあの層は「無料で便利」が何よりも優先されるから、セキュリティなんか知ったこっちゃないんだろうけど。
ついでに、集めたユーザーの履歴情報をビッグデータとして使ってるんだよね。
すべてローカルのアプリで完結してくれる(アプリがサーバーに直接取りに行く)なら自分も使うんだけどなぁ。
s/アグリエーション/アグリゲーション/ (スコア:1)
語句誤り指摘のみオフトピ。
Re:Android「えっ?」 (スコア:3, 参考になる)
違う違う。
> デバイスを機内モードに設定していてもメールサーバーへのアクセスが行われる
ってのは、Outlookアプリを入れたデバイスを使っていなくても、マイクロソフトのクラウドサーバーからメールサーバーへログインしている事実を確認したってこと。
つまり、Outlookアプリはマイクロソフトのクラウドサーバーにアカウント+パスワードをユーザーに無断で送信し、クラウドサーバーはそれを勝手に使って、ユーザーのアクションとは無関係にメールサーバーへログインするんです。
Re:Android「えっ?」 (スコア:1)
Windows8の標準メーラー(ストアアプリ)もそんな感じだったなあ。アカウントに全部吸い上げる。Microsoftのメールソフトの流れかね。
Re: (スコア:0)
outlook.comに、他のプロバイダのメールをインポートする機能があるけど、あんな感じ?
それとも、買収したメールアプリをそのままリブランディングしたのがまずかった?
Re:Android「えっ?」 (スコア:2)
話聞く限りそんな感じでしょうね。
アプリ名がOutlookでなく、OneMailみたいな名前なら大丈夫だったんじゃないかな。
Outlookなら普通はExchangeと直接やり取りすると思ってしまうので、クラウドが間に入るのは気持ち悪いですから。
Re: (スコア:0)
あまり反論になっていない気がする。
いや少しは反論になっていますが。
個人情報をサーバーに送って管理するのは、Androidを含めどこでもやっている。というかそれがクラウド。
メールのパスワードだけ特に特別扱いをする必要があるかということ。
利便性を考えれば、メールのパスワードだけ特別に許可しても許されるくらいだろうと思う。
まあ、そう思わずに、メールのパスワードだけは気持ち悪いと思う人がいるから騒いでいるんでしょうが。
あまり論理的ではないようには思える。
Re:Android「えっ?」 (スコア:1)
んだよね。Outlook.comの例も上に出てたけど、「データの流れとか処理とか何かよくわかんないけど便利に使えるね!」がクラウド、よく見えない雲が提供するものですよね。さすがに法的なところは「よくわかんない」じゃまずいのでTOSで明示されるわけだけど。
だから最初から「やだ。使いたくない」ってのはわかるんだけど。そのクラウドの核心であるところを「誤っている」的に言われてもちょっとなって思います。
Re: (スコア:0)
「gmailは業務で使えない」って人達がExchangeなら安全と思って使ってたら、こっちも同じでしたってことでしょ。
Re:Android「えっ?」 (スコア:1)
どうせ記事読まずにAndroidをあげつらう人はいると思った
Re: (スコア:0)
最近のMS信者のGoogle叩きは質が悪すぎて突っ込む気にすらなれません。
それが戦略なんじゃないかと思うぐらいです。
Re: (スコア:0)
Outlookアプリが議会のサーバーにつないで得られたデータを、暗号化するとはいえ勝手に他所のサーバーにアップロードする(キャッシュする)という話のようです
Re: (スコア:0)
普通にこれは気持ち悪いと思う。
Re: (スコア:0)
docomo「呼んだ?」
Googleさんのお腹かdocomoさんのお腹かって違いだけど。
どちらも自社サービスの為に自社サーバ使ってるだけだし、
メールはそもそも、まずそのサーバに届くものだし。
今回のはユーザの管理しないマシンが勝手にアクセス権を取得した事に問題ある。
作った側は「そもそもそういうアプリだから」って思ってたんだろうけど、
それを明示しないまま、アクセス権を取得したマシンが自社サーバになっちゃったのが追い討ちかけてる。