ニュース

MOOC大手の米Courseraに、受講者のプライバシーを漏えいさせる複数の脆弱性

 MOOC大手の米Courseraのシステムに、受講者のプライバシーを漏えいさせる脆弱性が複数存在することが明らかになった。

 これは、Courseraで授業を担当することになったスタンフォード大学ロースクール講師でコンピューターサイエンス博士課程に在籍中のJonathan Mayer氏が公表したものだ。同氏はテクノロジーセキュリティとプライバシーを研究分野としている。

 発見した脆弱性についてMayer氏はCourseraに通知し、Courseraもこれに応じて問題を修正したと公式ブログで発表した。しかし、Mayer氏はまだ脆弱性が残されていると指摘している。

 Mayer氏によると、この脆弱性により、1)Courseraの教師によるCoursera全受講者(約900万人)の氏名とメールアドレスの取得、2)Courseraアカウントログイン中であれば、訪問する任意のウェブサイトが受講している講義一覧を入手可能、3)Courseraがプライバシーを保護すると主張しているユーザーIDはほとんどその役に立っていない――とする3点を指摘している。

 Mayer氏は実際に脆弱性が悪用できることを実証し、一部をウェブサイトでテストできるようにしている。

 なお、3番目の脆弱性に関しては、Mayer氏自身も解決法は簡単だと指摘している。

 この情報を得て、Courseraはすべての脆弱性は解決したと発表。また、脆弱性が悪用されたこともなかったとし、関係者に謝罪している。

 しかし、Mayer氏は任意のウェブサイトが受講リストを閲覧できてしまう問題について、依然として解決されていないと指摘し続けている。

 この問題の重要性についてMayer氏は、Courseraの提供している講義には「アルツハイマー病や他の主要な神経認知障害を持つ年長者の介護」「AIDS」「子供の栄養と調理」「仏教の瞑想と現代世界」「魂への信条:その原因と結果」など、医療や信仰に関連する講義も含まれていることを挙げ、これらは個人の内面にかかわる極めてプライベートな内容と言えると指摘している。

 こうした情報の保護は、1974年以来40年以上に渡って「家族の教育的権利及びプライバシー法」が制限してきたとMayer氏は指摘する。しかし一方でCourseraとその提携機関は、Courseraがこの法律の対象外であり、ネット講義の受講者は「学生」ではなく「参加者」であるとの立場を取っていることも指摘している。

 それだけに今回のCourseraにおける脆弱性の発覚には重要な教訓が得られるとも考えられる。今後、同様のオンライン教育プラットフォームを提供する国内外企業や団体がどのように対処していくかが注目される。

(青木 大我 taiga@scientist.com)