今回は珍しくブログっぽい記事を。

Mastodon(マストドン)は、Twitterに替わるかもしれないSNSだと
記事作成時点(2017年4月15日)で話題を集めて3日くらいの、最近始まったばかりの新しいサービスです。

と、早速勘違いしてしまいそうな言い回しをしてしまいました。
SNSとは「ソーシャル・ネットワーキング・サービス」を指しますが、Mastodonは既存のSNSでイメージする「サービス」とは異なる性質を持っています。
SNSは特定の団体(会社)が運営する場合がほとんどで、規模によっては個人が運営する場合もありますが、ひとつの名称で運営者が特定できます。

しかし、Mastodonは「オープンソースSNS」です。つまり……と言っても分からない方がいると思いますので、まずはその立ち位置を解説します。


先に、最も似ているであろう存在を例に出してみます。

「WordPress」

おそらく知名度が最も高い「オープンソースブログシステム」です。

ブログも、ほとんどの場合は会社が運営しているブログサービスに登録して、会社の管理しているサーバ(記事のテキストや画像などのデータが入っているコンピュータ)の一部だけ間借りして利用しています。

少しややこしくなりますが、レンタルサーバというのも一部だけ間借りするスタイルで、間借りした契約者が「置かせてもらっているデータについては全て責任を負うよ。その代わり自由にプログラム(PHPとかCGIとか)も動作させられるような状態で使わせてね。もしそのプログラムに問題があった場合でも責任を負うよ」ってなるのが基本です。
対してブログサービスは、契約者が「ブログの仕組みだけ使わせてもらうからプログラムとかは任せたよ。文書と画像くらいしかこっちからは載せないよ」ってなってます。
中には個人でサーバ(物理)を自分で管理している猛者もいますが、その人達は機器や通信なども含めて責任を負ってやってます。機器トラブルや通信トラブルも自己責任で、プログラムを動かす仕組みも熟知し、問題が発生した場合の対処も行わなくてはなりません。

プログラムには「バグ」があります。動作が止まってしまったり、意図しない結果を生む「病気」です。
インターネット上で、その「バグ」は「脆弱性」や「セキュリティホール」と呼ばれる存在になることもあります。セキュリティホールは悪意のある管理者がわざと作っていることもあるようですがそれはさておいて、意図しない形でそこを外部から突かれると、サーバ内に蓄積されたデータから色々と漏れ出ちゃいます。それが個人情報だったりすることもよくあります。



なんとなく怖いなー、と思えてきたところで、今回のお題目である「Mastodon」と、例に挙げた「WordPress」が似ている点を解説してみます。

先ほど「サーバ上でプログラムを使う」と話しましたが、この2種類はその「プログラム」に当たります。
プログラム、とひとことで言ってもその性質は多岐に渡りますが、上記2種は「サーバ内の専用処理環境」と「インターネットブラウザ」が両立した時だけ動くタイプのものです。
つまり、デスクトップ上でダブルクリックすると起動して動作するソフトウェアや、スマートフォンのアプリとは立ち位置が異なる存在です。「インターネットブラウザ」という「インターネット上のコンテンツを扱うためのソフト」を介して、別のプログラムが動いていることを意識しないで使える存在ですね。
専門用語だとSaaSだとか言いますが、その手の話はこのお題目からは大きく脱線するのでそこは掘り下げません。

「Mastodon」と「WordPress」を運営するには、どちらも「プログラムを動かせる状態のサーバを所有またはレンタルしている」ことが前提となっている、とだけ知っておいてもらえればいいでしょう。

運営。
利用ではなく運営です。
利用=SNSでおしゃべりするなら、サーバがどうとか関係ありません。既にMastodon登録して使ってみたことのある方なら、そんなこと意識したこともない人も多いのではないでしょうか。
「WordPress」は表立って「これはWordPressです」と出て来る場合は少ないです。あくまで裏で動いているブログのシステムであって、表向きにはブログのタイトルが出ているだけで、会社が運営しているブログサービスとの見分けが付かないぐらいの状態でしょう。

その点が少しMastodonの存在をややこしくしている気がします。
Mastodonは固有のサービスではなく、インスタンスというサーバ管理者が個々に運営している固有ブログのSNS特化版みたいな存在なのです。
例えばTwitterには特定のアドレス(ドメイン)「twitter.com」があり、Facebookには「facebook.com」があり、そのアドレス内で全ての情報が集約されています。
Mastodonは現在のところログイン画面はほとんど同じデザインですが、インスタンスごとにアドレス(ドメイン)がバラバラです。並行して数多くのMastodonが存在しています。
そのアドレス(ドメイン)を管理している≒サーバの所有者が個々に管理・運営しているMastodonサービスとなります。
(ドメインとサーバの所有者は必ずしも一致すると限りませんがほとんどの場合は一緒です)



なんだかんだ必要のない情報も注ぎ込んで錯綜している気がしないでもないですが、要点は
既存のSNSと同じ感覚で登録して使っていると、ちょっと危険かも。
ってことです。
Mastodonを管理しているのは、既存SNSサービスの会社ほどの規模でないとしても、しっかりとした企業理念と社会通念とプライバシーポリシーを遵守する事を固く誓い、安心して受け入れられる内容の規約を提示する会社もあることでしょうが、そうでない怪しげな団体や、管理能力やキャパに欠ける会社や個人が運営している場合も多いと思われます。
そこに、個人情報を預ける理由を考え、どのようなリスクが発生する可能性があるのか想定を巡らせてから、ほどよい関係で付き合う必要があるのではないでしょうか。

登録された個人情報を悪用するのは言語道断としても、セキュリティホールから流れ出てしまう個人情報を止めることが出来ない管理能力であったり、脆弱性に対して対策を取ることができない体制であったりする可能性だってありえます。
良かれと思って立ち上げたMastodonのインスタンスから、登録してくれた人の個人情報を流出させてしまい、利用者以上に管理者が心を痛めるようなこともあるかもしれません。
そうなったらとても悲しいですね。
オープンソースの特性上、有志が脆弱性は随時補正してくれるでしょうが、どのタイミングで脆弱性が表れるかわかりません。良かれと思って追加した機能に脆弱性が発生してしまうことがあるのです。
それこそ、ちょっと前にWordPress(バージョン4.7.0から4.7.2まで)で発生して運営者たちが騒いでたばかりですし。



そこで、提案したいMastodonの利用と付き合い方。

  • 信頼のおける運営者のインスタンスにだけ登録する。
    ≫管理者が知人であるとなお良し。
  • インスタンスが独自に規約を出しているインスタンスにする。
    ≫当然その規約に同意できる場合に限る。
  • 仲間内だけで使うのに限定して、サーバの管理ができる人にインスタンスの設立と管理をお願いする。
    ≫問題が発生した場合の責任の所在は仲間内で決める。
  • 素性が知れない第三者が運営するインスタンスに登録する場合は、個人情報は「捨てても構わない内容」にする。
    ≫メールアドレスはまだしも、パスワードは絶対に他の重要なサービスで使っている物と同じにしないように。
  • 平和を祈る。
こんなところでしょうか。




それとは別に、ちょっと不安に思ってるのことがあります。それは、既存のSNSで常識になっていることがこのMastodonでは通用しない点。
ひとつが「アカウント乗っ取り」についてです。

例えばTwitterでアカウント乗っ取りとされるのは、ログイン情報が漏れたり連想されたりして使われちゃったりする場合と、外部サービスと連携して投稿権限を渡してしまう場合ぐらいですが、それとはちょっと違うパターンが想定されます。
実際にはアカウント乗っ取りではないのですが、他のSNSと同じように「Mastodonはひとつのサービス」と理解している人にとってはアカウント乗っ取りと同様に捉えてしまう危険がある状況についてです。
アカウント情報は、インスタンスごとに登録・保持されます。アカウントIDは、インスタンス単位で存在するため、全く同じアカウントが別のインスタンスで別の人が使っている可能性が有り得ます。
はい、アカウント乗っ取りではなく「なりすまし」の危険ですねこれは。

会社のオフィシャルアカウントや有名人、そしてアルファブロガーなどネット上の有名人たちは「なりすまし」の被害を防ぐ方法として、アカウントIDの同一性で公式であると判断されようとします。
しかし、同時並行で同じアカウントIDが存在してはこうもいかないでしょう。
これらの方々がMastodonを利用するとしたら、独自インスタンスでの活動が必要となるかもしれません。自身の管理下に置かれている場合でしか、本人である確証が利用者に訴えられない可能性が高いためです。
このようなシステムが一般的になったら、SNSで活動する有名人は全員がサーバ管理の知識を必要とするようになるかもしれませんね。
まあそれは冗談として。
これから星の数ほど増えるかもしれないインスタンスの全ての同一IDを自身のものとすべく登録を繰り返すのは現実的ではないですし、登録自体がリスキーなサーバもあるでしょうからそのような節操なくアカウントを登録していく行為はやめておくのが懸命でしょう。
利用する側が、MastodonにおいてはIDの一致だけでは公式/本人だと断定できないと理解できるよう周知されることも必要になってくるかもしれません。この点は既存SNSの常識に囚われないようにするってことですね。

あと忘れてしまいそうなのは、個人情報が漏れることはなかったとしても、突如全てが消えてしまう可能性があるということ。
これはSNS全般に言えることではありますが、大企業のサービスだとよっぽどのことが無い限りは冗長性のあるサーバを利用していて、止まることはあっても消えることがないようになってますし、告知もなくいきなりサービスを閉じることもないでしょう。
しかし、Mastodonの運営者は規模や資金、さらにはポリシーもまちまちでしょうから、手に負えなくなったら唐突に消してしまう可能性だってあります。夜逃げ状態だって無いとも限りません。
滅多にないとは思いますが、大企業のサービスと比べると危険性ははるかに高いと思っていたほうがいいでしょう。つまり、利用者がこまめにバックアップを取って(自分のPC等にログを保存して)おいたほうがいいですよってことですね。



まだ立ち上がったばかりのシステムなので、上で書いてきた内容は杞憂になるかもしれませんし、私が想定できていないインテリジェンスな仕組みによって対策が取られているかもしれません。いずれにしても、有用なシステムとして発展していくことを願います。