2010年9月28日火曜日

脆弱性 企業のトップと、スタッフは共にが運営しているという意識で有って欲しいものですが・・・IT時代には通用しない考え方なのでしょうか。

毎週火曜日に定着してしまったアメーバブログのメンテナンス。「アメーバブログは一ヶ月に、一、二回のメンテナンスを行います」と現在も注意書きが残っていると思いますが、それはアメブロスタッフの目標なのでしょうか? 「かなわない願い」でないことをお願いしたいものです。

そのメンテナンスが今夜も行われています。メンテナンスにかかる時間も1時間延長されました。毎朝9時半頃までにはブログアクセスの集計が成されて、また、アメーバなうを1日分まとめてブログ投稿の自動化を設定しているユーザーのための作業もあるかと思いますけれども、いつもの時間に行われるのかしら。1時間は遅れるかも知れませんね。夏に起こった、集計データの損失がなければいいのですけれども、振り返って思えば本当にデータ自体が損失していたのかしら。

アメーバピグのCMが放送されるようになって、さらにはNHKの趣味悠々では「中高年のためのらくらくパソコン塾」の中で、番組内の利用ブログとしてアメーバが登場。中高年でなくても初心者は、番組と同じようにと出演者と同じテンプレートテーマを使ってアメブロに登録したのではないでしょうか。

中高年者は、午前3時、4時には起きだしているものですし、こっそりと勉強をしようと思ってパソコンを起動させているかも知れません。何も知らないで「メンテナンス中です」と表示されてどう考えるのかしら。火曜日の午前3時から、という時間もアメーバサイドの勤務態勢など、ご都合で決まったことでなければいいのですけどね。

日本で1番参加者の多いブログサービスだからこそ、みんなが動向を注目しています。大きい事件、些細なトラブルが数々起こっています。その時の対処の様子からは、わたしはどうもサイバーエージェントとアメーバブログは問題点をお互い共に、ユーザーから観れば同じサービス提供者であると観られていることから目を背けようとしているのではないかと感じています。

 

NHKの番組でツイッターやブログが当たり前のように、取り上げられるようになってツイッターやアメーバブログへの参加者が増えたことは確かです。そのうちどれぐらいが、今年のお正月に起こった大事件を記憶しているでしょうか。まもなくハロウィンで、恐らくアメブロも何らかのイヴェントを起こすために今夜のメンテナンスに時間を割り振っていると思います。利用者にブロガーとしての自覚を促すだけでは大事になる時期にさしかかっているのではありませんか。

 

アメブロからのお年玉は、なんと芸能人のパスワード!

1年間で約50万人のアクティブユーザーを増やした日本一のアメーバブログ。そんな大人気アメーバブログの芸能人ブログから、お年玉がプレゼントされました!

アメブロ内の芸能人ブログから、新年早々投稿されたお年玉の画像をクリックすると、なんと芸能人ブログのログインパスワードや進捗状況、メールアドレス等が記載されたエクセルファイルがダウンロードできるようになっていました。


パスワード入りのエクセルファイルをお年玉でプレゼントしてどうなるのか、一体どういうことなのかわけがわかりません。

アメブロで公式ブログを更新しているかながわIQさんのブログにはこのように書かれていました。

あけましておめでとう … なわきゃね~~!!! 水樹奈々サマ 紅白出演と アニソン紅白見にいって ホロ酔いでチョー 高まってたのに 友人からの おけおめメールに 筆者のアメブロの パスワードが 書かれててビックリ!!! せっかく 高まってたのに 新年から パス変更作業とか… なんか悲しいぜ。 酔いが一気に ふっとんだ!!! しかもだぜ、 筆者のような 底辺のパス 漏れだけじゃなくて スゲー人たちのも 漏れてるんだって!!!

ガオー!!!アメブロパス流出|かながわIQオフィシャルブログ「ヨロシク☆IQ」powered by Ameba


今回の件はアメブロからのお年玉ではなく、アメブロのパスが流出してしまった事件のようです。アメブロスタッフは新年いきなりの事件ですが、しっかりと調査・対策しないと危ないですね。

新年早々、お年玉として芸能人のパスワード入りエクセルファイルがプレゼントされた「アメブロお年玉パスワード事件」。

アメブロお年玉パスワード事件とは

「アメブロお年玉パスワード事件」とは、一体どんな事件だったかというと、
1. 2010年になり、ミキティなどの芸能人ブログでお年玉画像入りの記事が投稿された。
2. お年玉画像をクリックすると、芸能人ブログのパスワード等が記載されたエクセルファイルがダウンロードできるようになっていた。
3. お年玉プレゼントだと思った一般ユーザーが芸能人ブログにログインし、不正アクセスしてしまった。
このような事件でした。

サイバーエージェントの対応

アメーバブログ運営元のサイバーエージェントは即日、「Ameba」オフィシャルブログ、不正アクセス被害についてというPDFで”不正アクセス被害”について報告しました。
株式会社サイバーエージェント(本社:東京都渋谷区、代表取締役社長CEO:藤田晋、東証マザーズ上場:証券コード4751)が運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。
また同時に、オフィシャルブログのID、パスワード約450件等を記述したエクセルファイルが外部に流出したことを確認しております。

プロの脆弱性対策」に書いた内容と同じように、
・できるかぎりスルーし、事実を表に出さない
・スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める
・被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める
いつもの対応をしています。

アメブロのトップページに被害状況は報告せず、サイバーエージェントのトップページで控えめにアナウンス。そして、”不正アクセス被害”として、被害面を強調しています。

PDFでは不正アクセス被害がメインで、パスワード流出がついでのように書かれています。ただ問題は、「パスワードが流出したから不正アクセスされた」ことではないかと思います。

芸能人ブログに不正アクセスされてしまった理由

なぜ不正アクセスされてしまったのか?
それはもちろん、2010年になって、「お年玉画像と芸能人ブログのパスワード入りエクセルファイルへのリンク」が含まれた記事が投稿されたことによります。
芸能人自らパスワードを公開するようなことは考えにくいので、お年玉記事を投稿したのは、芸能人ブログへログインできた人物になります。
芸能人ブログへログインし、お年玉記事を投稿した人を仮にHとします。

最初に芸能人ブログへログインしたHは誰か

最初に芸能人ブログへログインし、お年玉記事を投稿したHは一体誰なのか。
その鍵は、お年玉画像からリンクされていた、芸能人ブログのパスワード入りエクセルファイルをアップロードした場所にあります。
アメーバサーバー内から直接ファイルが流出したのであれば、アメーバ内のサーバーにエクセルファイルがあるはずです。
サーバー管理者が少しくらい設定を間違えたとしても、アメーバ内サーバへのリンクを張り間違えるくらいです。

ところが、Hがリンク先に選んだのは「外部アップローダー」。
まず初めに外部アップローダーにパスワード入りエクセルファイルがあり、そこへのリンクをお年玉画像とともに投稿しています。
ということは、外部アップローダーにあるパスワード入りエクセルファイルをダウンロードした人か、アップロードした本人がHです。
流出したエクセルファイルを使ってログインし、お年玉画像とともにそのファイルをさらに拡散させたように見えます。

その上、お年玉袋がAmebaに合わせた緑だったり、投稿したのが1月1日の1時頃だったりと、犯人が故意にやったように思える部分があります。

なぜ、パスワード入りエクセルファイルが漏れたのか?

今回の「不正アクセス被害」は、そもそもサイバーエージェントが芸能人ブログのパスワード入りエクセルファイルを流出させてしまったことが問題です。
重要ファイルであるパスワード入りのファイルを流出させたりしなければ、不正アクセスはされていません。
サイバーエージェントは不正アクセスの被害を強調していますが、簡単に芸能人のパスワード入りファイルを流出させてしまったことの方が問題です。
サイバーエージェントの重要なビジネスである芸能人ブログのパスワードがこんな簡単に漏れるようでは、普段の管理自体に問題があるとしか思えません。
パスワードが簡単に漏れるようでは、他に何が漏れてもおかしくない状況です。

パスワードの管理方法はこれで良かったのか

パスワード入りファイルを流出させてしまったことともう一つ重要な部分は、「パスワードの管理方法はこれで良かったのか?」ということです。
芸能人ブログのパスワードはこのように管理されていました。
1. エクセルファイルのシートに芸能人の名前と暗号化されていないパスワードの記載
2. パスワードは数字4桁や事務所名の後に数字連番など、強度の低いパスワード
3. エクセルファイル自体のパスワードロックは無し
エクセルファイルにパスワードが平文で記載されていたことは驚きです。
「ログインパスワードを生の状態でエクセルファイルに保存して管理」というやり方は、IT企業では一般的なのでしょうか。
このエクセルファイルを管理していた人を仮にN(追記:仮名をNに変更しました)とすると、ファイルが漏れた経緯は以下のようなパターン等が考えられます。
1. Nが自ら流出させた
2. Nがどこかで流出させてしまった
3. Nから盗んだ
4. そもそもサイバーエージェント内では誰でも触れることができた。そしてどこかから流出してしまった。
どのようなパターンにせよ、流出したことは事実です。
それにプラスして、ファイルさえ手に入ればパスワードが誰でも閲覧できてしまうことが今回の不正アクセス事件につながっています。
サイバーエージェントでは常にファイルの流出・不正アクセスの危険性があったことになります。

芸能人ブログにログインした人は不正アクセスで防止法違反で逮捕されるか

さて、お年玉プレゼントとして始まった今回の「アメブロお年玉パスワード事件」。
芸能人ブログに投稿されたお年玉画像のリンクからエクセルファイルをダウンロードし、芸能人ブログにログインしてしまった人は逮捕されるのでしょうか?
お年玉だと思ってダウンロードし、その中にパスワードが書かれていて、何かのプレゼント用の暗号だと思ってログインしてしまったとしても。

今日の産経新聞にはこのように書かれていました。

同様の現象はほかの複数の芸能人ブログでも確認され、そのIDとパスワードを用いて興味本位でログインを試みた人がいたとみられる。

不正アクセス防止法では他人のID、パスワードを無断で入力しログインする行為を禁じており、処罰の対象となる。サイバー社は流出したパスワードを同日正午までに変更、流出経路の特定を急いでいる。

「アメブロ」で芸能人パスワード大量流出 不正アクセスも - MSN産経ニュース

不正アクセス行為の禁止等に関する法律によって、どう判断されるのでしょうか。

流出経路や犯人Hの特定など、今後の報告を待ちたいところです。逮捕されるべきなのは、最初に芸能人ブログへログインし、お年玉画像を貼ったHです。ログインの情報から、犯人特定を急いでもらいたいですね。それとサイバーエージェントは、芸能人ブログのパスワードや電話番号などを流出させてしまっているので、一言詫びた方が良いように思います。

3月13日、ついに逮捕者が出ました。
記事によると、こういう流れのようです。
1. サイバーエージェントの社員が、誤ってホリプロの元契約社員に芸能人パスワード記載のファイルを添付してメールを送ってしまった。
2. そのパスワード入りのファイルを元ホリプロ社員が悪用。
3. 元ホリプロ社員がミキティのブログに不正アクセスし、個人情報リストを張り付けた。
4. 誰でも芸能人ブログのパスワードをダウンロードできる「アメブロお年玉パスワード事件」へ。
5. 流出による被害はなし。
ホリプロの元契約社員は、逮捕されてから解雇されたのか、逮捕される直前に解雇されたのか、たまたま契約期間が切れたのかは記載されていません。“元”契約社員と書いてあると、ホリプロに非はないように感じてしまいます。

それはさておき、このアメブロお年玉パスワード事件のポイントはどこでしょうか?

ミキティのブログに不正アクセスし、個人情報リストを張り付けた元ホリプロ社員は当然の悪です。
しかし、通常はこんなことをされないように、いくつものセキュリティをかけておくはずです。
IT企業なら当然、パスワードが漏れないように対策をしておきます。

アメブロお年玉パスワード事件についての時に書いた、サイバーエージェントのアメブロ芸能人パスワードの管理方法を再確認してみましょう。

1. エクセルファイルのシートに芸能人の名前と暗号化されていないパスワードの記載
2. パスワードは数字4桁や事務所名の後に数字連番など、強度の低いパスワード
3. エクセルファイル自体のパスワードロックは無し

芸能人のパスワードが暗号化もされずに平文で記載され、それをエクセルファイルで何百人分も管理していたら、いつパスワードが外部に漏れてもおかしくありません。
エクセルファイルを流出させてしまった瞬間に、記載されていた芸能人全員のパスワードが漏れます。

このエクセルファイルを管理していた人をNとした場合の、ファイルが漏れた経緯の予測を前回していました。

1. Nが自ら流出させた
2. Nがどこかで流出させてしまった
3. Nから盗んだ
4. そもそもサイバーエージェント内では誰でも触れることができた。そしてどこかから流出してしまった。
今回の報道によると、1と2の複合パターンでした。自ら外部企業の人間にパスワード入りファイルをメールで送りつけ、流出させてしまったようです。
もしこのとき誤メールしたことに気づいていたのであれば、アメブロ芸能人のパスワードを全員分変更しないといけないくらいの出来事です。

元々のパスワード管理方法がずさん、誤メールしても対策を取らない(あるいは誤メールに気づかなかったか)、誤メールを受け取った元ホリプロ社員が非常識、といろいろ原因が重なって今回の事件になったようです。

渋谷ではたらく社長の告白読みましたのときに書きましたが、藤田社長は「全ては、21世紀を代表する会社をつくるため」働いています。
違う意味で代表してしまわないように、もう少しセキュリティにも意識を持ってください。応援しています。

 

追記:「不正アクセス容疑:芸能人445人分のID“公開” 逮捕」の記事が公開されていました。ホリプロ元契約社員の岡田邦彦容疑者のコメントが載っています。

重要なデータの流出を誰かに伝えたかった。大みそかでみんなが休んでいる時に働き、疲れてむしゃくしゃしていた

Posted via email from amadeusrecord's note

0 コメント:

コメントを投稿

Text Widget

Text Widget