ChatWorkのコピーサイトを調べてみました

Other 11月 10, 2013
(Last Updated On: )

ChatWorkをまるごとコピーしたコピーサイトが中国に登場で紹介したように、まるごとコピーしたサイトが現れました。こういうコピーサイトが現れると、内部のソースコードが漏洩したのでは?と不安になる方も居ると思います。調べてみたので参考にして下さい。

ChatWorkの画面
chatwork_capture

コピーサイトのWokingIMの画面
workingim

まず結論から書きます。サーバー側のソースコードは漏洩しておらず、HTML、CSS、イメージなど外部から取得した物、通信などからリバースエンジニアリングした物と思われます。

本家ChatWorkとコピーChatWorkとの違いを、アカウントを作成し外見から分かる範囲で調べてみました。

まずサーバーのIPアドレスとドメイン保持者ですが間違いなく中国です。

  • プロバイダ:China Telecom
  • ドメイン保持者:HICHINA ZHICHENG TECHNOLOGY LTD. (作成日:21-aug-2013)ホスティングプロバイダの会社名
  • Microsoftのプロバイダ情報


SSL証明書は中国系と思われる機関から発行されていました。

  • SSL証明書発行日:9月22日 (サイトが開いたのは恐らくこれ以降)


アカウントを作成し実際にログインしてみました。普通にログインでき、チャットルーム作成やメッセージ送信など普通に動作しました。ただのフィシングサイトなどではありませんでした。

ログインして画面、HTMLソースを見たところ、次のような事が分かりました。

  • HTMLソースコードはまるごとコピー。使っていない部分はコメントアウトされている
  • イメージも差分までは見ていませんが返って来たリソースを見るとまるごとコピー
  • そのままコピーしているわりには微妙に色合いを変えている
  • FacebookやTwitterなどは中国から使えないからコメントアウト
  • 私が登録したユーザIDが525なのでユーザーは多くても数百人
  • ファイルストレージ容量は本家より大きく1.4GBとなっている
  • 課金機能はない
  • 外見はほぼ忠実にコピーしているが通知音の音量設定デフォルトが最小の1になっている。つまりサーバー側で設定しているデフォルト値が異なる
  • CharWork Live(ビデオ通話・カンファレンス、画面共有ができる機能)はない
  • ChatWork Liveの代わりなのかMacアプリのコピー品らしき名前の画面共有アプリへのURLがある

サーバーとの通信やリソースの使い方を見てみると以下の事が分かりました。

  • Powered By PHP 5.3.6。5.3.6である理由は中国版Linuxディストリビューションを利用しているからか?
  • 本家はnginxですがTengine というnginx派生Webサーバーを利用
  • PHPのセッションIDが PHPSESSIDのまま(本家は別の名前)
  • 本家と違いGoogleへのアクセスなし
  • 本家と違いAmazonも使っていない
  • 本家にはないchatwork_sessionという名前のクッキーを作って、セッション情報、UA情報、IPアドレスなどを保存(理由は不明)
  • 本家と違い自動ログインのクッキーが無い(長いセッションID有効期限で代用?)
  • 記号ばかりのjquery.min.mapは使い方が分からなかったのか、リクエストは送信するが404で無い
  • 本家はGoogle Talk APIを利用しているが、チャットにWebSocketを利用している
  • 本家には設定されているセキュリティ対策用のHTTPヘッダ、X-Content-Type-Option, X-Frame-Optionsなどが設定されていない
  • 返ってくるJSONの形式は似ているが、アプリの基幹部分であるgateway.phpの使い方が違っている
  • JavaScriptもまるまるコピー。チャットの仕組みが違うので改造やコメントアウト。本家と違い、ミニファイはしていない

外見やチャット機能はほぼコピーしているのですが、基幹となるサーバー側が異なる事は明らかでした。クライアントからサーバー側への入出力を見比べてみると、内部の仕様はかなり異なる物であると推測できます。今回は複数アカウントを作成しなかったので断言できませんが、ハッシュ値やIDなどの多くはタダのダミーである可能性があると思われます。攻撃してみればもっと色々分かると思いますが、攻撃は違法となる可能性があるので行っていません。

外側からの観察で分かる事から、サーバー側のソースコードなどが流出したのではなく、サイトを外部から観察&リバースエンジニアリングしてコピーしたと考えるのが妥当でしょう。心配していたChatWorkユーザーの方、安心して下さい。

コピーとは言っても、結構手間暇かけて作ったようです。試しに使った程度ではエラーなどは発生しませんでした。ここまで頑張ってコピーするなら、デザインくらい変えれば良いのにと率直に感じました。もし試しにコピーサイトにアクセスしてみる方は自己責任でお願いします。私が見た時にはおかしなトラフィックなどは確認出来ませんでしたが、怪しいサイトであることには変わりありません。

ところで、コピーサイトを調べる為にGoogle翻訳が本当に役に立ちました。自動でページを翻訳してくれて助かりました。Google翻訳が無ければこんな簡単に調べる事は出来なかったと思います。本当に便利な世の中になりました。

投稿者: yohgaki