最近身近で起こったセキュリティ問題について、他の場所でも今後多く発生しそうでしたので、文章にまとめておこうと思います。

「情報のクロスドメイン問題」（cross : 交差すること、domain : 範囲, 領域）とでも言うべき内容です。

---

　以下、発生した現象です。

【発生した現象】

・mixi日記で、マイミク限定で日記を書いた。

・その日記のレスを、マイミクの人が「twitter」で書いた。

・「twitter」の投稿には、「@〜」と個人宛のタグを付けたので、その人宛のレスだと考えていた。

・そのレスに、非公開であるべき情報（個人情報など）が含まれていた。

　この行為のどこが問題なのか、以下書いていきます。

---

● 「twitter」の「@〜」で書く、個人宛の発言は公開情報

　まず、「twitter」で「@ユーザー名 本文」と書く、個人宛の発言は、一対一のメッセージではありません。公開情報です。他の人も見ることができます。

　これは、「フォロワーの人が見ることができる」というだけのことではなく、Googleのクローラーが即時にインデックスに加えることを意味しています。

　また、「twitter」には、多くのボットが存在します。それらのボットは、キーワードや発言相手などの様々な方法で、自動で情報を収集してWebページを作り続けています。

　そのため、本人が「個人宛に書いた」と思っていても、その発言は全世界に向けて発信されて、無数のコピーが作られます。

　また、それらの発言は「フォロワー」が読むことができるだけでなく、検索エンジンの検索結果や、他の文脈の「まとめページ」などに転載されて、本人の意図とは別に一人歩きします。

　最初の時点（今回の件ではmixi日記）で、「クローズドな場所での非公開情報」として発信された情報は、瞬く間に「公開情報」に早代わりします。

---

● 問題が発生した背景「mixiボイス」の「twitter」連携

　こういった問題が発生した背景には、「mixiボイス」の「twitter」連携があります。

　mixiは、建前として、クローズドなコミュニケーションの場として発達してきました。また、そのメイン機能である日記は、公開範囲を指定することができました。

　mixiではまた、「mixiボイス」という「twitter」風の機能も利用できます。そしてmixiは最近、この機能をプッシュしています。

　この「mixiボイス」も、どちらかというと、「内輪で会話しあうためのツール」として利用されてきました（「mixiボイス」も、公開範囲を指定することができます）。

　しかし、「twitter」は、「マイクロブログ」とも呼ばれているように、外部向けのオープンなツールです。

「twitter」と「mixiボイス」は、利用のされ方も、対象読者も大きく異なります。

　この2つの「似て非なるツール」の連動が、最近mixiによって発表されました。「twitter」で呟いた内容が、そのまま「mixiボイス」に反映されるという連動機能です。

　「twitter」よりも前に「mixiボイス」を使っていた人は、「噂の『twitter』で呟けば、『twitter』も使えて、これまでの『mixiボイス』も使える」と思い、連動機能を使うようになりました。

　しかし、「twitter」の発言は、完全に外向けの発言です。そこに気付いていない人は多いです。

　そのため、そういった人は、「mixiボイス」の感覚で、mixi内で扱っていた情報を「twitter」で書きます。そして、非公開情報を、公開情報として呟きます。

---

　今回の件は、「twitter」と「mixiボイス」の連動について、「正しく把握していない」という点で、「twitter」へ投稿した人は、意図した成果を得ていません。

「mixiボイス」では、「twitter」で「@」つきで発言した内容は、「mixiボイス」内で転載されません。

　また、今回のケースは、たとえ「mixiボイス」で直接発言したとしても、以下のセキュリティ問題を発生させています。

---

● 情報のクロスドメイン問題

　個人が情報を取り扱う際には、守るべきルールがいくつかあります。そのルールの1つは、「同一媒体返信」のルールです。

　mixiの日記へのレスは、その日記のレス欄で返す。メーリングリストへのレスは、同じメーリングリスト内で返す。社内掲示板へのレスは、社内掲示板で返す……。

　そういった、「ある媒体で発信された情報には、同一媒体を使って返信を書く」というのが「同一媒体返信」のルールです。

　それ以外の方法で返信をしたい際は、メールなどの、個人を特定したクローズドなメディアを利用する必要があります。

---

　これは、ブラウザのクロスドメインのセキュリティの問題に似ています。

　以下、クロスドメインのセキュリティについて、解説したページへのリンクです。

□ITPro - セキュリティ用語辞典 - クロスドメインのセキュリティ・モデル
http://itpro.nikkeibp.co.jp/word/page/10005788/

　クロスドメインのセキュリティ問題とは、あるWebサイトでの情報を、他のwebサイトに持ち越すことができてしまう、セキュリティホールなどの問題です。

　この問題が発生すると、住所やクレジットカードなどの個人情報が、意図せず他のサイトに流出する危険があります。

---

　これは、ブラウザのセキュリティホールだけが原因で起こる問題ではありません。

　公開範囲の異なるメディアを跨いで情報を転載したり、レスをしたりすれば、意図せず個人情報などを流出させる危険があります。

　たとえば、mixiの「マイミク限定の日記」と、「twitter」は公開範囲が違います（前者はクローズドな友人、後者は全世界）。

　そのため、mixiの「マイミク限定の日記」の内容を、「twitter」で語ることは、情報のクロスドメイン問題を発生させます。

　同じ理由で、mixiの「マイミク限定の日記」を、「他の日記」で話題にすることや、「mixiボイス」で言及することも同様に、情報のクロスドメイン問題を発生させる危険があります。

---

● 対策

　発言者は、情報のクロスドメイン問題が発生する危険性をいつも考えておく必要があります。

（私の場合、転載されて本当に困る内容は、公開範囲を限定していても書かないようにしています）

　また、日記などの内容に対してレスを書く人は、「同一媒体返信」のルールでレスを書くか、メールなどのクローズドなメディアで返信を書く必要があります。

（メールも流出の可能性はあるので注意が必要です。これは別の問題ですので、ここでは書きません）

---

● 起こり得る事例

　社内で得た情報を元に、同じ社員に質問をしようと思い、自宅からtwitterで「@」付きで発言する。

「@douryou 明日、訪問予定の○○会社だけど、担当の△△には□□の件は伝えるの？」

---

　というわけで、「twitter」と「mixiボイス」の連携を契機に、今後似たようなケースで情報流出が起こりそうな予感がしましたので、警告の意味を込めて、文章にまとめておきました。

　参考にしていただければと思います。