パスワードを忘れた? アカウント作成
13248434 story
教育

大学のシステムにアクセスして講義情報などを取得するスマホアプリに対し大学側が抗議 232

ストーリー by hylom
どこまでが正しい利用か 部門より

自動的に時間割を作成したり、休講などの講義に関する情報を通知できる機能を持つ大学生向けのスマートフォンアプリ「Orario」について、各大学が学生に対し利用自粛などを求めているという(ITmedia)。

このアプリは大学が学生に対して発行したID/パスワードなどのアカウント情報を使用して大学のシステムにアクセスし情報を取得するという。こういったアカウント情報をサードパーティが利用することに対し、一部の大学が個人情報流出といった問題が発生する可能性があるとして注意や利用停止を求める注意喚起を行っている(J-CASTニュース)。

いっぽう同アプリの提供元であるOrario社は、アクセスに使用するアカウント情報はスマートフォン側にしか保存されず、Orarioのサーバーには記録されないと説明している(同社のプレスリリース)。こういったアプリは大学が提供するシステムよりも便利な機能を提供しているとして利用を擁護する声もあるが、一方で京都大学の安岡孝一教授は『「Orarioガラミで取得した単位は取り消す場合がある」』としている。同アプリによる京都大学のシステムへのアクセスパターンなどを見る限り同アプリは信用できないと見ているようだ。また、第三者へのデータ提供についても懸念を示している

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • annonynrm (47995) (スコア:5, 興味深い)

    by Anonymous Coward on 2017年04月20日 18時35分 (#3197175)

    annonynrm (47995) https://srad.jp/~annonynrm [srad.jp]
    この人物が Orario の中の人だということ、そして立場を隠して文句を言う企業体質だということはよくわかりました。

    • by Anonymous Coward on 2017年04月20日 19時28分 (#3197211)
      そんなこそこそした人にアカウントとパスワードを渡すなんて、怖くてできないねぇ。
      親コメント
    • by Anonymous Coward on 2017年04月20日 20時03分 (#3197237)
      根拠は?
      ユーザーなら使っているアプリが不当に攻撃されていたら抗議して当然だと思うけど。第三者でもね。
      なんで中の人だと思ったの?
      親コメント
      • Re:annonynrm (47995) (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2017年04月20日 21時12分 (#3197299)

        例えば俺がユーザーなら(学生時代の俺だったら)、文句を言うにしても、
        「大学のサイトが不便なのが悪いんだ」とか「そんなに言うならお前がOrario超えする公式アプリ作ってくれよ」とかそういう、やや逆ギレ角度で文句言ったと思う。
        アプリ開発元への営業妨害だ、なんて角度でのクレーム、思いつきもしなかっただろうね。
        ってか、リアル学生なら、教授に「またどこかで」と言われたら「じゃあ今週の講義のときでどうですか?」って返しになるんじゃないかな。俺ならそうする。
        大学にクレームを入れることを「しかるべき対応」と呼ぶなんてもう想像の埒外。

        そうならない不自然さが、中の人っぽく見える理由。

        親コメント
        • by Anonymous Coward on 2017年04月20日 22時14分 (#3197347)

          ついでだから、第三者っぽく見えない理由も示しておこう。
          annonynrm氏はyasuoka氏に、「発言の根拠を示す」「発言の撤回」「会って話す(そしてその内容はannonynrm氏が公開する)」の3つを選択肢として提示した。
          つまり、その3つはannonynrm氏にとって等価交換が成立するというわけだ。いずれかが得られればよいのだから。
          annonynrm氏が単なる第三者だとして、前2つの選択肢と最後の選択肢が釣り合うと考えるのは不自然だ。割に合わない。
          これが割に合うということは、Orarioと利害関係があるのではないかと考えられる。

          ユーザーに見えないし、第三者にも見えない。これが、中の人っぽく見える理由だ。

          親コメント
    • by Anonymous Coward on 2017年04月22日 17時33分 (#3198472)

      annoynrm2 (48002) https://srad.jp/~annoynrm2 [srad.jp]
      annonynrm3 (48004) https://srad.jp/~annonynrm3 [srad.jp]
      マイナスモデ食らって当然の暴言を吐き、カルマ下がると次の捨て垢
      驚異的なまでに悪質なユーザやね

      親コメント
      • by Super KUMASAN (34209) on 2017年04月23日 8時33分 (#3198713)

        マイナスモデ食らって当然の暴言を吐き、カルマ下がると次の捨て垢
        驚異的なまでに悪質なユーザやね

        「マイナスモデ食らって当然の暴言」って具体的にどこを指していっているんでしょうね?
        私はこの程度でマイナスモデするモデレータの方がおかしいと思います。

        マイナスモデとは言論弾圧であることを自覚して抑制的に行うべきものなのに、
        ここ最近のマイナスモデを安易に乱発する風潮はまずいと思います。
        煽るだけで他に何の情報もないコメントとか、そういったものを排除する程度に留めるべきでしょう。

        マイナスモデについてはモデレータのIDが参照できるようにしても良いと思います。
        マイナスモデするモデレータは、それだけの責任感を持って欲しいですね。

        親コメント
  • 学生のIDとパスワードを借りてテストしたのかなあ.
    • by uxi (5376) on 2017年04月20日 18時45分 (#3197183)

      大学の修学システムって、アクセスがその構成員でほぼ完全に閉じてる上に、
      同じベンダーでも微妙にカスタマイズが入ってて細かい点が異なってるので、
      大学毎に学生を開発要員としてバイトに雇うか、
      IDとパスワードの借り上げをしないと開発もままならないはずなんだよ。

      前者は、まぁバイトで自分たちが幸せになれるよう
      金もらってハックしてるって感覚だろうからまだ分かるとしても、
      後者は、感覚的には銀行口座の貸し借りや売買してるくらいには
      ヤバ感じがすると思うんだ。
      成績やら住所、顔写真、銀行口座等々、個人情報てんこもりだからね。
      そうなると消去法で前者なんだけど、
      それにしては、対応大学 [orario.jp]が全国に広がってて、
      本当、どうしてんだ!?って感じ。

      同じベンダーの製品採用している大学に偏ってるとしても、凄く謎。

      トラブル時の対応とかまで考えると、
      弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません [orario.jp]」って説明は、常識的に考えて相当ハードルが高いとしか言いようがない。

      まぁ、プライバシーポリシー [orario.jp]読む限り、バグ報告すると、スクレイピング結果を解析する事に同意したみなされて、自分のアカウント使って、いろいろ突つかれる事になるんだと思う。
      提供された「ユーザー名、パスワード」は「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に使うって明記してある。

      あれ?
      Orarioサーバーには、ユーザー名、パスワードは行かないんじゃなかったの?
      それともアプリ側でスクレイピングした結果をサーバーに送るのか?
      もう支離滅裂だよ。

      --
      uxi
      親コメント
      • Re:テスト以前に開発が (スコア:5, すばらしい洞察)

        by uxi (5376) on 2017年04月20日 21時10分 (#3197297)

        会社概要 [orario.jp]見ると、
        本社が大阪で従業員8名(バイト含む)
        対して、現在、対応してる大学が、18大学なので、
        やっぱり学生のIDとパスワード借り上げないと開発は無理な気がする。

        あと、採用情報 [orario.jp]見ると、
        「立命館大学では全校生徒の約70%にあたる24,000人、同志社大学では全校生徒の約60%にあたる17,000人が利用するサービスとなりました。」
        とか書いてあるんだけど、
        現時点では iOS 版の存在は確認出来ないにも関わらず、
        Orario for 立命館 [google.com]が、インストール数 5,000-10,000、
        Orario for 同志社 [google.com]が、インストール数 1,000-5,000
        という状況。
        カウントに遅延があるとしても若干盛ってる感がある。

        因みに、現時点で確認出来る Android 版のインストール数とバージョンの状況が以下。

        大学 インストール バージョン
        関学 100 - 500 1.0.1
        九大 100 - 500 1.0.1
        慶応 50 - 100 1.0.1
        神大 50 - 100 1.0.1
        東大 100 - 500 1.0.1
        阪大 500 - 1000 1.0.2
        早稲田 100 - 500 1.0.1
        上智 10 - 50 1.0.1
        関大 50 - 100 1.0.2
        京大 100 - 500 1.0.2
        近大 100 - 500 1.0.1
        横国 100 - 500 1.0.2
        中央 100 - 500 1.0.2
        立教 100 - 500 1.0.2
        青学 50 - 100 1.0.2
        明治 100 - 500 1.0.6
        同支社 1000 - 5000 1.1.0
        立命館 5000 - 10000 1.6.1

        時間割アプリの「Orario」の特性と安全性について [orario.jp]
        で、「弊社メンバーが大学在学中に開発したアプリが「Orario」」って書いてあるので、利用者数とバージョンの進行から考えて、多分、立命館発祥のアプリで間違いなさそう。

        その線で調べたら以下の記事が見つかった。
        立命館大学発ベンチャーOrario、ベクトルから2,000万円を資金調達...芳本氏と井口氏が語る、履修情報管理アプリ『Orario』の立上げ秘話 [thepedia.co]
        当たりだ。

        しかし、いくら震源に近いとは言え、立命館と同志社の利用者数が特筆して多く、彼らの情報リテラシーとセキュリティ意識の低さには目を被いたくなる。
        立命館も立命館で、教授陣は自分とこの学生のサークル活動で作ってビジネスにしようかってのに、老婆心ながらアドバイスの1つもしようって先生が1人もいなかったって事か?
        まぁ、そんなだから、こんだけ大量の学生が利用しちゃったんだろうけど。
        数字が公式発表程ではないのがせめてもの救いだろうか?

        あと、ベクトル。
        お前ら、金出すなら、きちんと技術面、特にセキュリティ面のアドバイザーくらい付けてやれよ。
        相手の出自は経済学部だぞと言いたくなる。
        よくよく調べてみれば、ビジネスプランで経済産業大臣賞受賞も取っているらしいし、こういうつまらない事でキャリアに味噌を付けるとか本当可哀想。

        今回の件、おそらく、事前調整なしに、各大学用のアプリをリリースしてるんじゃないかと思う。
        少なくとも大学で情報関連の統括部署がこの仕組みを知ってれば、確実に事前のダメ出しするだろうからね。
        それを、彼ら顔の見えない運営者がいきなり奇襲をかけた形になれば、
        そりゃ胡散臭さを倍増するし、過剰に拒否反応が起きても仕方ない。

        そもそも Orario の公式ページにはこれまでの経歴とか、
        紹介記事とか全然リンクしてないし、
        使えるリソースを全く有効活用してない。
        顔の見えなさが半端ない。
        かと言って、顔出し NG のシャイボーイかと言えば、違うんだよね。
        過去の活動では、かなり露出してるし、箔をつけるような記事も結構書いてもらってるもん。
        これは広報的な視点でも完全に失敗だと思う。

        あと、スクレイピングとか、
        どこぞの図書館の例 [google.com]もあるわけだから、
        企業の営利活動の一貫として大々的にやろうってんであれば、もう少し慎重に、
        大学当局、特に情報系の統括部署にお伺いを立てて、相互に調整しながらやるのが筋ってもんだろう。
        ビジネスは、筋通さないとね。そりゃトラブる。
        まぁ、それをやっても印象を悪くしている最大の原因である仕組みが悪さは帳消しにはならないけど、
        大学側に手出しがないなら、生温かいアドバイスくらいはもらえたはず。
        学認とかね。
        普通の経済学部生が知るわけないよ Sibboleth なんて。
        知ってて、OAuth か OpenID がせいぜいだろう。それは仕方ない。

        何にしても、現状のブラックボックスに平文でアカウント所持してスクレイピングで拾った情報が
        どこにどう流れるか Orario 以外に確かめようのない状態では、
        セキュリティ意識の高い部署に理解を求めることは困難と言わざるを得ない。
        数字盛ったり、安全性の議論を煙に巻く前に、ちゃんとエビデンス示すべき。

        かなりセンシティブな情報を取り扱っているという事をもう少し自覚しないとね。

        まず、自分が何者であるかとか、
        どういう思想でやっているかとかも、
        公式ページできちんと表明すべきだし、
        そういうこと含めて、透明性や社会的信用を確立して行かないとね。
        それでも、たかだか資本金2千万ちょいで従業員8名のスタートアップが作ったアプリを
        代表的なブラウザと同じレベルの信頼感で見てもらうなんて困難を極めるよ。
        それを非公式から奇襲的にやるならそりゃこじれるわ。

        --
        uxi
        親コメント
        • おっしゃることはごもっともですが、
          若者の感覚からいうと大学の事務と折衝とかかったるくてやってらんないんじゃないですかね
          なんせ若いんですから

          大人に怒られて失敗すれば出直せばいいんじゃないでしょうか

          親コメント
      • by Anonymous Coward on 2017年04月20日 18時55分 (#3197191)

        クレジットカード情報をなぜ取得してるのかと思ったら
        「本アプリ上での講義ノートの共有・売買サービスの適法かつ円滑な提供、維持および改善のため」ってあるけど、これってどうなん?

        あと、安全性で
        「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり」
        といっているのに
        「基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名
        端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴」はどうやって取得すんの?って事

        サーバの役目も図ではスクリプトの取得のみと書いてあるようだし。

        親コメント
        • > 「本アプリ上での講義ノートの共有・売買サービスの適法かつ円滑な提供、維持および改善のため」ってあるけど、これってどうなん?
          これはまずそう(論理的に)ですなぁ…
          法律的には…どうなんだろう

          親コメント
          • 内々にやるにはいいけど、せめて飯おごったりとかのお礼で留めたい。
            それをクレカ決済サービスとなると、別の商売が容易に派生させられますね。

            他所では売られない売られていない「色んな物」を売り買いする絵が浮かんでしまう。

            親コメント
    • by Anonymous Coward on 2017年04月20日 22時14分 (#3197348)

      学生の間ではWebやスマホアプリの開発が流行っている.
      それをメインとした営利目的の学生団体が作られるほどだ.
      そういうところにお金払ってやらせれば,アカウントを借りる必要は無い.

      親コメント
  • ベンチャー企業的な考えから見たら、始めはしょうがないけど、交渉してクリアにするべき
    長くこれやってたらセキュリティ的にも大学側からもいい目で見られなくなる
    マネーフォワードの銀行口座の取引を自動登録するためにセキュリティカードの乱数表を登録しろっていう(検索したら今もやってた!)のと同じになる

  • 大学成績センター
    http://dscenter.co.jp/index.html [dscenter.co.jp]
    は,みんなからデータを集めて,科目の平均点などを計算しようとしています。
    企業の就職で実質強制すると問題からもしれません。

  • それ言っちゃうと、セキュリティ対策なんぞほとんどが無効ですよね。
    ほとんど全てが、「利便とバーターで安全を得る」って物なのだから。

    ユーザー側のモチベーションとしては判るが、それとこれは別の話と言うか。

  • by Anonymous Coward on 2017年04月20日 18時37分 (#3197178)

    「大学へのクレームを含め然るべき対応を取らせて頂きます。」
    ってのは中の人以外ではどういう立場でクレームつけるの?って話な気がする
    わざわざアカウント作ってから本人に議論ふっかけるなら
    会社名とか代表名で堂々とやろうよ!と匿名で書き込んでみる

    • by Anonymous Coward on 2017年04月20日 20時30分 (#3197261)

      公式の対応はこんなんですから知れてます。拡散希望ェ...
      大学・システム管理者側から攻めるのは無理と思ったのか、
      ユーザ側(ハイクラスな学生様)の拡散力で押し通したいようです。

      https://twitter.com/Orario_doshisha/status/853959038203080706 [twitter.com]
      https://twitter.com/orario_ritsumei/status/853960513016836096 [twitter.com]
      https://twitter.com/Orario_kyodai/status/853960426408648704 [twitter.com]
      https://twitter.com/Orario_handai/status/853960695041277952 [twitter.com]
      https://twitter.com/Orario_kyudai/status/853958911535095809 [twitter.com]
      ※全部内容は同じ

      やることなすことガキ臭いんだよなぁ

      親コメント
    • by Anonymous Coward on 2017年04月20日 19時51分 (#3197229)

      > 大学が提供する情報が散在していることによる情報の取りこぼしや、スマホ最適化が行われていないことによる不便さを解消すべく、誰もが使いやすいシームレスな大学情報と連動した仕組みを作ろうと弊社メンバーが大学在学中に開発したアプリが「Orario」です。

      大学在学中に用いた(であろう)アカウントを、現在も尚使用できるってのは如何なことなのか。

      > Orario アプリでは「Web オートメーション (Web スクレイピング) 」と呼ばれる技術を用いています。
      > この技術により、利用者様のスマートフォン(にインストールされているOrario アプリ)に学生アカウント(大学ID・パスワード)を入力すると、自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得し、Orario アプリの時間割テーブルに当該利用者様の時間割を生成・表示することができるという仕組みとなっています。

      > 以上の仕組みにおいては、利用者様が入力した学生アカウントは、利用者様のスマートフォン(にインストールされているOrario アプリ)と大学サーバー間でしかやり取りされず、学生アカウントに関する情報のやり取りに弊社サーバーを経由することはございません。また、弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません(学生アカウントは、利用者様のスマートフォンのみに保存されるため、弊社がこれを取得することはできません)。

      「自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得」するのに、「アカウントが保存されない」ってのはちょっと意味不明なんですが。

      親コメント
    • > 「大学へのクレームを含め然るべき対応を取らせて頂きます。」

      この手の台詞を吐いておいて、本当に実行する人ってまずいないですよね。ただの捨て台詞。
      #「そんな人見たことない」と書きたいとこですが、たまに某元武雄市長みたいなのが居るから…

      親コメント
  • by Anonymous Coward on 2017年04月20日 20時08分 (#3197238)

    ゼミで開発して大学間でコンテスト
    スポンサーは青田買い企業って感じで
    Win-Winな気がしますね

  • by Anonymous Coward on 2017年04月20日 22時13分 (#3197345)

    立命館には元々講義ノートの転売を企業としてやってる連中が居ました
    しかも恐ろしいことに学校公認のベンチャーだったはず

    違法なのか合法なのか判断はできないけど、その連中が関わってるように見える
    Aノートも著作権無視で当初揉めてたはず

  • by Anonymous Coward on 2017年04月21日 18時50分 (#3197952)

    いつから「スタートアップ」って

    どうせ大手は相手してくれないから連絡なんてしない
    ユーザ巻き込んで拡散希望すれば後から大手が折れるだろ
    相手に迷惑掛かってもイケイケドンドン

    のaliasになったの?

    https://srad.jp/comment/3197877 [srad.jp]

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...