Yet another my Posterous blog

「高い」よりは「高そうに見える」の方がより実態に近い表現であったかもしれないですね。

引っかかった層全体に占める割合としては、仰るとおり「リテラシーが高そうだけど実はそうでない方」がずっと多いのかもしれません。
その一方で、リテラシーは高い人はずだけど相当に油断していたと思しき人も確かにいました。

油断の度合いが激しいと「リテラシーが低い」と判断されても仕方がないのかもしれません。

どんな人も常に油断は出来ないですね。

英語が得意でないと自認されているにも関わらず、英語が得意な人と同じ判断ができるという論理が判りません。
TwitterのFollowerにDMを送るという点に問題は有るにしても、例のサービス自体にどういう問題が有るのでしょうか。

例のサービスには「TwitterのFollowerにDMを送るという点に問題」があるのです。それがすべて。そしてそれは私一人が迷惑と感じているわけでなく、複数の人が迷惑と感じていると表明しています。

同情していただけるならぜひとも論理的整合性のある意見をお聞かせ願えませんでしょうか。

＞TwitterのFollowerにDMを送るという点に問題は有るにしても、例のサービス自体にどういう問題が有るのでしょうか。

私がすでについったーでもコメントしていますが、単に DM を勝手に打つのが問題なだけではありません。

MobsterWorld のゲームをプレーすると、そのログを異常なペースで TL に、勿論@もDを付けずに、吐き出すことがもっと迷惑なんですよ。

どんなログがどんな勢いで吐かれるかはこちらを見てくださいね
http://twitter.com/#search?q=MobsterWorld%20in

どうでしょう？
これは充分に迷惑だとは思いませんか？

これが「例のサービス自体にどういう問題が有るのでしょうか。」に対する私からの答えです。

まだ応酬というほどのやりとりがが存在していませんが・・・

それはともかく、
「前提としてそのリテラシーとやらが高い低いの定義」は確かに細かく定義していませんが、
一般的な「インターネットリテラシー」を指す、と文脈的に把握出来る方がほとんどでしょうから、拙ブログではそこに文字数を割くことはしませんでした。

ただし、インターネットリテラシーとは別に、
「ソーシャルハックやソーシャルエンジニアリングについての理解」
という側面から考察するともっとよいかなとは、後から思いました。

う～ん…。FollowerにDMを送る事にしてもログを吐き出す事にしても、やはりそれらは(実体験か伝聞に関わらず)実際に利用してみないと判らない事ですよね。またログを吐き出す事は迷惑であったとしても、例えば詐欺のような違法性を問えるような問題性とは異質のものです。

私が知りたいのは、MobsterWorldは利用してはならない、あるいは利用するに値しないと事前に判断できる情報が提供されていたのかどうかという事でして。
私が知る限り、MobsterWorldを利用する前の画面でそれらが判断できるような説明は見当たらないのですが、判りやすい場所でそれらが説明されていないのならば、仮にMobsterWorldが日本語で運営されていても今回と同様の問題になると思うのです。

という事は、Hit Okanoさんが仰る「英語が得意ではなく、英語を見慣れていて得意な気になっている」という英語の習熟度は、MobsterWorldが引き起こした問題の原因としては論理性に欠けると考えています。
むしろ「英語=怪しい」と短絡的に考えられる人ほど、MobsterWorldに対してOAuthのAcceptをしないと思いますので、kira88さんの仰る「例のイケナイURLを踏んでしまった知り合いはみんな英語が得意だという共通性」の方が、よく現象を捉えているように思います。

今回の問題は英語の習熟度より、kira88さんの言うとおり「ソーシャルハックやソーシャルエンジニアリングについての理解」という側面が大きいと思います。

MobsterWorldが明らかに違法なサービスとは判断できない事、そしてOAuthによるTwitterアカウントの成り済ましが可能という事と「信頼できる人からのメッセージ」である、という事の組み合わせで、広まってしまったという事ではないでしょうか。

＞MobsterWorldを利用する前の画面でそれらが判断できるような説明は見当たらない

その通りですね。
本件のMobsterWorldは違法性の有無に関わらず、迷惑なtwitterの使い方であり、行き過ぎた広告方法ですね。
そもそも、メールでもついったーでも同じことですが、迷惑hogehogeを撒き散らすものがSPAMというものでしょう(なお、言い訳がましく見えるかもしれませんが、私もHit Okanoさんも違法性については言及していません)。

なんにせよ、明らかに怪しげな雰囲気の感じ取れる一方で、サービスの内容が明記されていないDMでしたので、
それでもMobsterWorldに興味を持ったのならば、DMの内容だけで判断せずに、OAuthの認証をAcceptする前に、相手がどんなサービスなのかをしっかりと調べるべきであったのは間違いないでしょう。

OAuthで外部のサービスに自分のアカウントの利用を許すと言うのは、便利である反面、それだけ危険性を孕んでいるということですから(当たり前過ぎる纏めですが)。

＞OAuthによるTwitterアカウントの成り済ましが可能

これはちょっと違う気がします。
OAuthでAcceptすること＝MobsterWorldにtwitterのアカウント利用を許可すること、なので、成りすましとは違うものかなと。

＞「信頼できる人からのメッセージ」

これを理由に「疑いを持たずAcceptした」という人が、私の周りでは多かったですね。
この辺りが、インターネットリテラシーとは関係なく、ソーシャルハック的なものへの耐性が弱いことの現われだと感じます。

まぁ今回の件で、結果的にSPAMの踏み台となってしまった方は、いろいろ学んだでしょうし、ここでコメントしあっている私たちもいろいろと考えさせられました。

OAuthのみならず、制度・運営上の不備もまだあるでしょうし、
今後も同様の企みをする不届き者が出るでしょうが、
充分に注意し、何かが起きた際には周囲にも注意を喚起していきたいですね。

MobsterWorldの行為が迷惑で行き過ぎた方法という事は全く同感です。
今回の件では、私も多いに勉強になりました。(-_-;

> OAuthでAcceptすること＝MobsterWorldにtwitterのアカウント利用を許可すること、なので、成りすましとは違うものかなと。

いやいや、確かに「OAuthでAcceptすること＝MobsterWorldにtwitterのアカウント利用を許可すること」とも言えますが、例のDMを発信したのはMobsterWorldのシステムなのですから、発信元としてTwitterアカウントを名乗るのは成りすまし以外の何物でも有りません。

OpenIDにしてもOAuthにしても、厳密に言えば「認証」というより「識別」と言う種類のものです。つまりTwitter側から言えば、MobsterWorldからアクセスするユーザがどのTwitterアカウントに相当するのか「識別」するもので、例の認証画面はMobsterWorldというユーザI/Fを介してTwitterにアクセスするための認証画面と言って良いと思います。

ユーザがMobsterWorldを利用する事でTwitterにログを残すというのは、そういったユーザの識別と認証という意味では問題が無いと思うのですが、識別されたTwitterアカウントの名でFollowerに対してDMを送るというのは、その行為をMobsterWorldがする事をユーザが認証していないのならば、セキュリティ上の問題と言って良いと思います。