セカンドライフのアバターはリンデンドル・リッチの夢を見るか？

セカンドライフ内の場所を示すＵＲＬを、一般のブラウザにも埋め込むことができ、そこをクリックすることで、セカンドライフにアクセスできるようになっている。

ところが、ここに大きな問題が潜んでいたことが分かった。

リンデンラボの公式ブログによると、

・『secondlife://』で始まるＵＲＬをクリックしないこと
・ビューワーのパスワード保存オプションを外しておくこと

という注意書きが書かれている。

リンデンラボ公式サイトの記事
Second Life URL Handler Exploit
http://blog.secondlife.com/2007/09/18/second-life-url-handler-exploit/

これだけじゃ、何を言いたいのかよく分からない。

どうやら、この『secondlife://』というＵＲＬを使うと、ユーザＩＤ、パスワードが盗みだせるらしいのだ。

まず、この『secondlife://』のＵＲＬの仕組みを見てみると、インターネットエクスプローラーで、Ｗｅｂサイトを見ていて、そこにこのＵＲＬで始まるセカンドライフ内の場所が記載されていると、それをクリックすることで、セカンドライフ・ビューワーが自動的に立ち上がり、セカンドライフにログインできる。



さて、ここで問題なのは、secondlife://というところに、あるオプションをつけることで、ビューワーが自動的にＩＤとパスワードを渡してしまうことだ。

セカンドライフ内の場所（ＳＩＭ、シム、島の名前）が正しく書いてあればいいのだが、怪しいＵＲＬにして、そのサーバへ接続して、ＩＤとパスワードが送られてしまうことが起きてしまう。

ユーザ側には、アクセスできなかったとしか見えず、自分のパスワードが間違ったのか、あるいは、そのＳＩＭのトラブルで入れないのかなといったようにしか見えないので氣がつかないのがやっかいである。

そうやって、ＩＤとパスワードを盗まれ、結果的に、そのアバターが持っているＬ＄（リンデンドル）を失ったり、プレミアム会員（クレジットカードを登録している会員）だったりすると、ドルからＬ＄に換金されてしまうこともありうる。

リンデンラボでは、ビューワーを改良し、この対策をすると発表しているが、それをいつリリースするかまでは、書いていない。
それまでは、うかつにＵＲＬをクリックしてＳＬの世界に入るのは、止めておいた方がいい。

ＳＬは、セキュリティという面では、他にも課題を抱えているのは事実であり、そういったことを踏まえた上でのビジネスを考えておかないと、手痛いことになってしまう。