WOT (Web of Trust) を使えば「安全」なのか

河本孝之(Takayuki Kawamoto)

Contact: https://plus.google.com/112326853631114362590/about

First appeared: 2011-07-24 11:46:03,
Modified: 2013-04-17 22:50,
Last modified: .

2013年4月17日の時点で当サイトの評価を確認すると、特にスコアでは問題ないようだが、DuckDuckGo のような検索サイトでは当サイトにオレンジのアイコンが表示されている。WOT 運営側に何らかの意図があるのかどうかは不明だとしても、WOT について否定的なコメントをブログに書くのは(SEO を重視しているなら)止めておく方がよいだろう。僕ですか? 知ったことか。

WOTという Firefox 用のアドオンを使っていた(人によっては “WoT” とも書く)。このアドオンは、これを使うユーザがウェブサイトを評価でき、評価の低いサイトへアクセスするときには警告を表示してくれる。しかし、このサービスの仕組みは本当に適正なのかという疑義が出ている。ポイントとしては、このサービスはプライバシー保護やセキュリティのためにあるのか、それともただの人気投票システムなのかということだ。

Firefoxのユーザであれば、既に使っている人もおられるだろう。この “Web of Trust” というアドオンは、2011年7月20日の時点で 2,250 万ダウンロード近くの数字を叩き出しており、FacebookDuckDuckGo では、リンク先に対するインジケータとして導入されるほどの評価を得ている。そして、Firefox をプライバシーやセキュリティに配慮して使う人へ薦めたいアドオンといった趣旨のブログ記事には、必ずと言ってよいほどエントリーされるようになり、GlobalSign 社に至ってはウェブサイトの「情報」を表示すると称して、WOT の評価に依存するウェブサイトの(事実上の)信頼性表示であるかのような「ウェブサイト・パスポート」というサービスまで始めている。

ところで、今日の話(2011年7月20日)だが、会社で Firefox のアドオンとしてお薦めできそうなものを選定しようと思って Firefox Add-ons のサイトを見ていたところ、WOT について低く評価している (downvote) レビューを見かけた。その理由の要は次の箇所にある。

A green site doesn’t always mean alot of people have rated it highly it could mean that a few high ranking WoT users have decided it worthy, or the same with Red sites. Which is why porn sites will be “safe” and some harmless sites are flagged red because a small group of have something against it.

安全色のサイトだからといって、常にたくさんの人たちがそのサイトを安全だと高く評価したわけではなく、そのサイトを良く見せようとしている少数の WoT ユーザが高い評価を与えただけかもしれない。同じことは危険色のサイトについても言える。だからこそ WoT がアダルトサイトを「安全だ」と表示するのだし、無害なサイトを危険だと警告するのは、或る小規模のグループがそのサイトに何らかの反感を持っているからなのだ。

Corruption @ WoT” by Jaz on July 14, 2011.

それからその後に別の人(アカウント)が書いた次のようなレビューもあった。

Free access and utility for Panda’s and other anti-phishing/malware databases were once superb features. But mob rule from the functionally illiterate, clueless yoot oob generation and unfortunate victims of outcome based public education now renders WOT as a teachable example of anarchy in the guise of “Democracy” and “security.”

自由なアクセスや、パンダセキュリティのユーティリティあるいは他のアンチフィッシング/マルウェアのデータベース、これらはかつてはひときわ優れていた。しかしそれらの役割について理解しなかった文盲とも言うべき連中や、無知なネットジャンキーのガキども、そして公教育の犠牲者たちからなる衆愚とも言うべき状態は、いまや WOT を見せかけの「デモクラシー」と「セキュリティ」から出来上がった混乱という、一つの教材として描き出している。

“Corruption @ WoT Part 2″ by Bob Smith on July 18, 2011.

このような批評があったのだが、実は僕がこの一件を取り上げようと思ったのは、上記の批評を読んだからというだけではなかった。いちばん強い理由は、一つめに引用したレビューが末尾で紹介していた、WOT に異議申し立てをするサイト(WordPress.comでホストされている)にアクセスしてみたところ、

このような評価になっていたのであった。これはおかしい。

なぜなら、このサイトは WOT について異議申し立てをしてはいるが、僕の調べたところでは WordPress.com でホストされている他のブログと比較しても、プライバシーに関してこのサイトだけが重大な脆弱性を抱えていると判断しうる根拠を見つけられなかったし、子供が閲覧するのに不適切かどうか (child safety) という点でも特に問題があるとは思えなかったし、個人のブログについてベンダーの評価点が低いというのも意味がはっきりしない(もともと “vendor reliability” とは EC サイトの運営会社に関する評価である。個人のブログについては運営者という意味に理解できるとしても、この評価の低さは「内容からサイト運営の方針を推定できる」という何らかの理屈がない限り、殆ど根拠がない)。

つまり、このサイトに対する評価のされ方そのものが、少数の暇人グループによる偏った評価だけで一般ユーザに先入観と同調圧力を与えかねないという意味で、上記の二人が書いていた批評を実証してしまっているのではないか。僕が頭にきたのは、これが理由である。そして、僕はこのサイトの評価ページに次のコメントを書いた。

I agree with most comments on here or other places that this site is highly controversial but your all ratings will ALSO be misleading to others very much. Besides “Trustworthiness”, the rest items for rating are nothing to do with its contents, but you all downvote for the reason of ** angry **, right? It’s absolutely unfair.

また、会社の情報セキュリティ事務局名義で運用している Twitter アカウントにも書いたとおり、

間違いであろうと、反論を抑えつけるために内容と無関係な全ての指標でダウンレートするなら、下向きの reputation なんてヘイトスピーチと何が違うんだよ。

というのが、そのときの率直な感想だった。

僕自身も WOT を自分自身のマシンのセキュリティ対策とは少し違う目的で使っていたのだが、その挙動を見ていればすぐに分かるように、WOT はブラウザのアドオン (Firefox) あるいはエクステンション (Chrome) としてインストールしている場合に、ユーザの評価が低かったり、一定の情報から問題があると評価されたサイトでのナビゲーションを事前にブロックするが(ユーザ評価と、いわゆる権威筋の評価では、前者の方が効力は強いらしい)、それでも本人が閲覧したいと思えば WOT のブロックを無視できる。

このように、サイトをブロックしたときの警告表示にある、「このサイトは安全だろう。何を言ってるんだお前たちは。どれ、俺が評価してやろう」的なボタンか、あるいは「ふざけんなよ。お前らの評価なんか知ったことか」的なボタンを押せば(笑)、ブロックされたサイトにもアクセスできる(当然、そのリスクはボタンを押した本人が負うべきものである)。したがって、WOT は OpenDNS のようにサイトへのアクセスを問答無用で遮断するものではなく、そのコンテンツをそのまま利用するかどうかの判断は、どれほど少数の暇人がレピュテーションをコントロールしていようと、個々の場面ではユーザ本人に委ねられている。

ちなみにどうして上記の文章で「ナビゲーションを」という文言を強調したのかというと、実際に WOT を使っているユーザはご承知のとおり、実はどのような評価になっていようと WOT はサイトへのアクセスを事前にブロックしているわけではないからだ。評価が低くても、いったんはそのサイトへアクセスしてしまい、そのページを覆うように(いわゆるライトボックスという UI パターンで)警告を表示する。したがって、危険なサイトへアクセスした際の「初手」で攻撃してくるコードは全く遮断できないので、WOT を使っていてもサイトへ行ってしまえば、攻撃されるときはされる。そして、最近では検索エンジンの結果画面にも WOT が採用されている事例もあるが、検索結果でリンク先のインジケータが赤くなっていても、実際にアクセスしてみれば警告が出ないページだったということもある。したがって、その逆もあるだろう。そもそも XSS なり Gumblar なりが多くの人々にマルウェアを仕込んだのは、多くの人がアクセスする「ごくふつうのサイト」が改竄されていたからなのである。いわゆる情報セキュリティの専門家と言われる人々の中で、WOT を必須のアドオンだと考えている人はほぼいないだろう。インターネット関連の情報ポータルサイトやブログで WOT を大々的に宣伝しているのは、たいていセキュリティの専門家でもなんでもない人たちなのである(ただし、そういう事情があっても WOT に一定のメリットがあることは認めたい)。

尤も、WOT はユーザのアクセス履歴を保存して「ユーザ評価(オーソリティ評価、あるいはそのユーザの影響力を見積もる評価)」に利用しているため、多くの人が低く評価しているサイトへ、いわば「空気を読まずに」アクセスしていると、その人の「ユーザ評価」が下がり、その人の評点は影響力がなくなるようである。そして WOT に批判的な人が指摘している論点の一つは、空気を読まなければ「よい WOT ユーザ」とはならず、サイトの評価に関して影響力をもてないという WOT の「ユーザ評価」の特性であり、ひいては、そもそもユーザを評価して特定の人物に権威を持たせて良いのかどうかということにもある。また、ユーザのアクセス履歴(評価の履歴ではなく)を保存しているという点で、逆に WOT こそがプライバシーを侵害しているのではないかと考える人もいる。

次に押さえておきたいのは、そもそも WOT にしても Firefox そのものにしても、所詮は自分がウェブを利用する目的に適していないと判断できれば、使わずに済ませられるものである。IE でしかまともに使えない屑のようなウェブサイトや、奇っ怪な Java アプレットがてんこ盛りの、ITゼネコン謹製の自治体・特殊法人向け「ITソリューション」は山ほどあるが、逆に Firefox や Safari でしか使えないサービスなど殆どないだろう。そして、WOT がなければ何か致命的な理由でウェブを利用できなくなるのかと言えば、そんなことは全然ない。

WOT がなければウェブサイトの閲覧において致命的な脆弱性を放置することになる、などと臆面も無く言ってのけるセキュリティの専門家やコンサルがいるなら、その人物は端的に言ってアホかイカサマ師であろう。目的がはっきりしていれば、そのために利用できる適正な他のアドオンはたくさん公開されている。ありていに言って、WOT を全く使わなくても、WOT を使っているだけのユーザよりも安全にサイトを閲覧しようと思えば、色々な仕方で可能である。WOT に惚れ込みすぎて舞い上がっている人々、あるいは「賢い奥様にお得なつまみ食いセキュリティ情報を伝授する」ブロガー様が何を吹聴していようと、ブラウザの拡張機能というものはその程度のもの(しかし、その開発と保守はそれぞれ「その程度においては」敬服に値する)であるということを弁える必要がある。

そして、Wikipedia には従来から指摘されてきた批評が幾つかまとめられており、それらを philsci 風の言い回しで列挙すると、以下のようになる。

  1. 個々の評価はリアルタイムで反映されるわけではないので、幾つかの有害なサイトに対するキャッチアップが遅く、とりわけ子供たちにとって有害なサイトが未評価のままになっていた。
  2. 評価されたサイトの運営者からのクレームを別にすると、WOT の評価システムは、然るべき情報源からのデータとユーザからの評点によって組み合わせられており、しかも「コミュニティからの評価が現在も主要な情報源である」。したがって、サイトの評価はユーザの意見がどれほど正確であるかに依存している。
  3. ユーザによって生成されるコンテンツの信頼性という点で、潜在的にシステムをユーザが操作できてしまうのではないかと信じられている。なぜなら WOT は、はじめにユーザ登録をしていなくても、アドオンに評点を登録するだけでサイトを評価できてしまうからである。
  4. WOT の「ユーザ評価(meritocracy = 能力主義)」がどんな仕組みなのかは公開されていないが、単純な利用頻度だけで測っているわけではなく、信頼度によっても測っているのだろう。信頼度は、信頼されている大勢のユーザの評価にどれほど近いかという統計モデルに基づいて評価される。すると批判的な視点からは、ここには群衆行動や集団心理がはたらくとされ、後から加わった新参者が信頼性を得たい(あるいはヒエラルキーの階層を登りつめてサル山の大将になりたい)と思えば、既存のサイト評価と同じ評価を与えるしかなくなる。
  5. ユーザが議論する MyWOT.com では、ユーザが嘘のコメントを投稿できるし、合理的な根拠もなく否定的な評価を下せるし、否定的なコメントの効力を弱めるために投稿された肯定的なコメントを削除できたりもする。
  6. フリーのホスティングサーバには、しばしばスパムやマルウェアの温床になっているサイトもあるので、ドメインごと低く評価されてしまい、場合によっては数百万のサイトが一斉に危険と評価されてしまう。

Wikipedia contributors, “MyWOT.com,” Wikipedia, The Free Encyclopedia, http://en.wikipedia.org/w/index.html?title=MyWOT.com&oldid=439739595 (accessed July 21, 2011).

どれほどよく考えられた「システム」や「設計」であろうと、それを実装したサイトやアプリケーションの運用が不適切であれば、オンラインサービスとしてのサイト(を一部とするビジネスメソッド)は一般的には成功しない。それは、苟も誰か他人の用に供するためにサービスサイトを構築して運営しようというならば、自分だけが納得すればよいわけではないからであるし、かといって設計や運営の方針を誰ともつかぬ特定の他人や単なる「統計」に委ねていてもいけないからである。「サービス」というものの実態は、恐らくはこうした目論見や妥協や意志や誠実さや狡猾さからなる複雑な駆け引きの総体なのであって、それは「ロハなら客が飛びつくだろう」とか、「我々ものづくりクリエイターが納得したサービスです」などと脳天気に語っている起業家や自称クリエイターたちの理解の域を超えた(時としてそれは属人的な能力で打ち立てられたり会得される)デザインとも言うべきものだ。

ここでは、WOT というサイトを運営してシステムを開発・運用している主体の、事業体としてのスキルについては問わずにおこう。それを求めて文句を言ったところで、所詮は置き換え可能な仕組みの母体がなくなろうとどうしようと、先に述べたとおり将来の我々のサイト閲覧に致命的な問題が起きるわけではないのである。フォーラムなりコミュニティの舵取りに失敗して、どれだけクールなシステムを開発していようと、サービスそのものが評判を落とすというのは、どこにでもある話だ。それは、WOT だけの問題ではなく、したがって運用上の問題には WOT を持ち出してしか語りえないポイントなど存在しないのである。

情報セキュリティの観点からは、上記で既に述べたように WOT や取り巻きのブロガーは「セキュリティ」という言葉を連呼してはいるが、WOT にウイルススキャンや XSS テストの機能はなく、WOT を使うから安全になるというわけではない。あなたが WOT をセキュリティソフトや JavaScript 無効アドオンの代わりにしようと考えているなら、ブラウザのアドオンとして使うのであれ、検索サイトの結果画面で参照するのであれ、無駄なことであり、危険でもある。したがって、WOT がどのような挙動をし、どのような仕組みでサイトの評価をしているシステムなのかを予め理解していれば(そしてその正確な説明を「セキュリティ」という言葉だけは大好きなバカどもがきちんと書いていれば)、XSS による情報詐取であるとか、ドライブ・バイ・ダウンロードによるマルウェアのインストールから自分の環境を守るという目的で WOT を導入したりはしない筈である。

もちろん、だからといって WOT を全くの無意味な「口先だけの」ツールだと断定するのは極論であって、それなりの目的で使えばそれなりの効果はあると思う。サイトに明示的に自分が情報を送信するに当たって、つまり何かを購入するとか、ユーザ登録するといった手続きを開始するにあたり、そのサイトの運営元が信用できるのかどうかを推し量る参考にはなるかもしれない。あるいは、僕のように「他人がどういうサイトに低い評価を与えるのか」という別の関心があって使っている場合には、寧ろ調査のツールとして導入してみるべきでもあると言いうる。WOT と Google(あるいは WOT を最初からインジケータとして表示できる DuckDuckGo のような検索サイト)を使って、どのようなキーワードなら「危険色のリンク先が出やすいか」を調べれば、逆にそういうキーワードを SEO のために使って良いかどうかを判断する材料にもなるだろう。

また、一定の偏りがあるのは事実かもしれないし、セキュリティとは何の関係もない理由でサイトが低く評価されたり高く評価される可能性もあるが、あからさまに怪しいサイトを検索結果のよく分からないリンクの羅列から避けるには、差し当たってよいガイドとなる。したがって、WOT は一部のおかしなサイトを避ける役には立つかもしれないし、「これを使わなければサイトの閲覧は危険である」などと言えるほどの厚顔無恥なアドオンではないと分かっていればよいことなのだ。WOT を使うことと JavaScript の動作を無効にすることを比較すれば、どれほど jQuery だの API だのと JavaScript の利用が安全になったかのような「空気」を作り出すブログ記事なりホラ話がたくさんあろうと、普通はどちらがまともな運用方針であるかは分かる筈である。

補足

上記の記事が公正であるためには WOT に対する肯定的な解説が必要だろうか。恐らく、この記事に関心を持っている方は WOT のユーザだと思うので、使っている以上は否定的な印象を持っているとは考えにくいから、改めて肯定的な解説を述べる必要はないだろう。WOT は、なるほどサイトを閲覧するときの参考にはなる。ただ、上記の記事で述べたような批評もあることを知って、WOT が万能でもなんでもないことを正しく理解していなければ、セキュリティソフトや HTTPS/SFTP/ssh 通信等に対する過度の期待や間違った信頼から重大な脆弱性を見過ごしてしまうという錯誤と同じように、宣伝文句をそのまま信じて「これを使っていれば安全だ」と思っていたら、そんなことはぜんぜんなかったということにもなろう。

では、何をどう理解したり検討した後に自分なりの見識をもっていたら、そもそも WOT のようなサービスを「使わなかった筈だ」と言えるのだろうか。そのような、我々が見落としやすくてしかも重要なポイントがあったのだろうか。

Wikipedia で紹介されていた批評を参照すると、「そもそもレピュテーションなど信用に値するのか。レピュテーションが信用に値しないと知っていたら WOT など使わない筈だ」と、後知恵であろうと何であろうと言いうる余地がある。もちろん当サイトで公開している、懐疑派じみた記事の数々がビジターに与える印象からすれば、僕もそう疑っているのだろうと推定する人も多いとは思う。もちろん疑問に思っているからこそ、こうして取り上げているのは確かであるが、為にする議論を展開しようという意図はない。一人で判断するよりも大勢で判断する方が望ましいと言える場合もあろう。一人が単独で判断して成功を収めたという事例はたくさんあるが、それらは「大勢で判断していたら成功はしなかった」という推定まで裏付けるわけではない。また逆に、大勢で検討したり修正を重ねた結果としてうまくいく事例もたくさんある(成功したオープンソースのプロジェクトを、ひとまずそうした事例として認めてもよいだろう)が、だからといって「それは一人では決して成し得なかった」とまで言える根拠などないのである。

WOT では、先の記事でも言及したように、既存の評価の蓄積にどのていどマッチしているかをレピュテーションの「統計モデル」とやらで測っているらしいが、この手の「数理モデルはイデオロギーとは関係がなく、純粋だ」などと考えているナイーブなメンタリティはどうすればよいのか。かような人々は、その統計モデルとやらを使ってユーザの「カルマ」を計算し利用すること自体が、WOT という限られたルールのコミュニティにおいては他に基準を相対化できない以上、それが至上の尺度となってしまい、ヘゲモニー争いを目指す暇人ユーザたちが「貢献」したことで積み上げられた「常識」からの同調圧力を後続するユーザに押し付けるという、小文字の政治を容易に引き起こしていることに気づかない。

レピュテーションであれデモクラシーであれ、「多数の人々による意思決定」というものについて誤解があるのは、責任という点において個々人の independency は評価されても、決定プロセスという点においては independency などただの独断や思い上がりであって、評価されないということだ。つまり、レピュテーションであれデモクラシーであれ、決定に至る過程においては公平さのような条件を担保するための仕組み(「熟議」などと言われているが、必ずしも「他人と喋る」ことでしか公平さが担保されないというものでもない)が必要であり、これら多数決による決定は個々人の身勝手な偏見や思惑の単なる合計であってはいけない筈だと考えられてきたのだ、ということである。

これは、社会の「リアリティ」を俺は知っていると豪語する経済評論家や金融アナリスト、あるいは経済学者たちであっても、その「リアリティ」を「それ以外には選択の余地がないし、そうすべきだ」と積極的に支持しているかどうかとは別の話であることからも分かる。現実には、昨今の大流行である行動経済学が示すとおりであり、多くの人は公正さなどに関心を払って投票したり意思決定してはいないとしても、それでいいのかどうかとは別だという話でもある。逆に言って、レピュテーションなりデモクラシーなりの趨勢がつまらない水準の統計モデルで解析可能な程度のものであって(つまりそれを支える庶民は本質的に単純なモデルで解析可能なほど愚かなのだという前提が通用し)、ただの計算屋が弄ぶモデルにもとづく政策を採用しておけばうまくいくというのであれば、社会科学は20世紀初頭の時点で学問としては止まってしまい、あとはただの「パズル解き」とも言うべきつまらない論文が大量に生産されるだけだったろう。

そうした、どれほど精緻ではあっても思想として基本的に偏った信念に基づくモデルを不問とするような人々は、情報の不均衡を所与あるいは不可避のものとして、貧乏人やバカには決して理解し得ない理念や経緯や文脈や情報があるのだから、そうしたものについてどれほどディスクローズしても公平になるわけがないという意見を表明しているのと同じである。科学哲学についても言えることだが、パズル解きていどの数学やモデリングを精緻化するくらいの動機付けや能力しかないなら、自分たちが或る与えられた枠組みの中でパズルを解いているだけだというくらいの自覚を謙虚にもつべきである。そのような、実は科学という学問においても必要な能力を欠いているからこそ、「モデル設計と計算、そしてそれを実行するだけで問題が解決するのに、どうしてこいつらは分からないのだ」という態度になって、科学コミュニケーションなどと言われる茶飲み話は、別に茶を飲むつもりもないような(ごく普通の)人々に対しては常に失敗してしまうのだ。

同じ趣旨で WOT に照らしてみると、WOT のフォーラムには日本人がほぼ参加していないし、コメントすら投稿してもいない。ということは、それぞれのユーザがバラバラに WOT を何らかの「警告表示ソフト」として使うか、あるいはサイトにそれぞれ個人的な理由や観点から(否定的なレートであれ公的的なレートであれ)「ポイントを与えている」だけで誰にもその理由を示していないということになる。これは「レピュテーション」ではあるかもしれないが、ただの統計であって、人を説得できるような意思を表してはいない。

もちろん先の記事で書いたとおり、WOT は、どういうサイトの作り方をすると「これは怪しげだ」と思われやすいかという参考にはなるが、それは制作プロダクションである我々の側には個々のユーザを説得したり啓蒙する責任もなければ意図もないので、「ユーザがそう受け取るならそうなのだ」という点だけを参考にすればよいからである。

しかし自分自身のサイト評価という判断においては、他人が何を考えていようと「みんなに合わせておけばタスクとしては終わる」というものではない。自分が間違っている可能性だけでなく、多数の他人が正しいとも限らないという前提で出発し、自分で考えて意思決定に至るからこそ本来のセキュリティ対策というものは自分で納得できるのである。そういうプロセスを、「リアルな現実」を表すものではなく規範的に提案することしかできないのであっても、人々に期待するにはどうすればよいかを考えるのが研究者の仕事の残り半分であろう。

補足(2015-09-02)

VirusTotalは現在Googleの傘下となっており、さまざまなサービスでセキュリティ調査に使われているため、ここでの悪評価がほかのサービスに影響する可能性は十分にある。このままでは他のサイトに対しても外部からスパム認定をさせることが可能になるということで、VirusTotal側でこのような恣意的な操作に対する対応をしてほしいところである。

不正サイト検出サービスで悪評価を付けることで、そのドメインをスパム認定させられる?」(2015年09月01日 18:16)

提供されているサービスがセキュリティという目的をうたってはいても、実際にはウェブサイト(ドメイン)を中身とは無関係に評価できてしまうという点で、本稿が取り上げた WOT と同じ問題があると思う。このような恣意的あるいはサービスの趣旨とは違う意図による投票なり登録を防ぐには、(1) 投稿されたドメインがなぜ評価されるべきなのかを投稿者に説明させて、サービス運営側が承認してから投票にかけるようなフローを採用するか、(2) 事後的にでもドメインの運用者からの反論を受け付けるかのどちらかしかないように思う。つまり、人力に頼るしかない。なぜなら、登録されたドメインの是非や、投票そのものの妥当性を判定できるアルゴリズムを作れるくらいなら、最初からドメインの判定を自動化できるはずだからである(笑)。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook