2010年01月02日

アメーバブログで芸能人パスワード流出

ノー・セキュリティ
ノー・セキュリティ


機密文章・顧客データ・個人情報など大事なデータを簡単操作で暗号化し、データ漏洩の危険から守るセキュリティー対策ソフトです。日本ソフト販売 Dr.Cypher P 【PC家電_111P2】

煽る形になったら何だったし、流石に祭ももう1日以上経過すれば一頻りだろうからエントリ起こす。



>『アメーバブログ』で前代未聞の情報漏えい! 芸能人ブログのパスワード流出で芸能人「ショック」と嘆く
http://getnews.jp/archives/42934

ガジェ通記事らしく相変わらず歪んだキテレツ解釈でイミフな文章だらけだが。

>芸能人数人のブログ画像がなぜかエクセルデータになっており


これただ単にサムネ表示される画像のアンカータグの先をアメーバの画像フォルダ内の画像自体じゃなくてファイルに書き換えただけだろ。

なのに

>その画像のみがエクセルデータを含んでいる


PCでの「ファイルを含んでる」の意味って解って使ってる?

>管理表には数百人の芸能人ブログのIDとパスワードが記載されており、ブログデザインの進行進捗なども同時に書かれている


2ちゃんのまとめだのからも伺えるが

多分、デザインの外注先のNって人がトロイか何かに感染して漏らしたか、
あるいはサイバーエージェントに恨みのある内部の人間が外に持ち出したんだろ。

http://niku.uwasa2ch.net/bbs/morningcoffee1262275791.html

この2ちゃんのスレもBBSだのでよくあるLINKトラップ観点でタイトルつけてしまってるけど、

要は芸能人側からの漏洩ではなく(だって芸能人やマネージャーだのが他人のリストなんて持ってっこ無いだろ)

で、そのファイルを入手したクラッカーが藤本美貴、ジャガー横田、つんくのBlogにアクセスして、ファイルをUP。画像からのアンカーのソースコードを書き換えて、踏み台にして撒いたって事だろ。


藤本美貴/アロハロ!


■送料120円■ジャガー横田&木下博勝 CD【愛のデュエット】07/10/17発売


即納!■送料無料■つんく♂ 4CD【ベスト作品集上「シャ乱Q〜モーニング娘。」〜つんく♂芸能生活15周年記念アルバム】07/9/26発売

>複数の芸能人のブログ画像がエクセルデータになっているため、『アメーバブログ』がシステムバグを発生させている可能性が高い。


システムとかバグの意味、理解してないのが良く伝わる文面だ。

問題なのは仕様や設定だろ。

>可能性は低いものの、芸能人たちのパソコンがウイルスに感染し、そのような現象を起こしている可能性もある。


ねーよ(WWW

先にも書いたが芸能人やマネージャーが他所の芸能人のPWDだの、ブログデザインの進行進捗なんか必要ないし、
その芸能人がハッカーかクラッカーじゃない限り、そんなファイルもってっこ無いだろ!

論理思考能力が低いと、かくも出鱈目な文面書くか。

で、問題なのはサイバーエージェントの対応。

芸能事務所へ正月の深夜に連絡もとれないだろうけど、
これPWDの変更呼びかけは少なくとも漏れたリストの人たち全員に必要になるし。

そのまえにアメブロ側からの漏洩を防ぐ意味合いからすれば、
穴をふさぐのはこれBlogのIDとPWDが解ってればエントリ内のソースコード書き換えるか、
もしくはそこまでしなくても、エントリや画像の削除ボタン押すだけで対応できただろうに

まあ。Webに漏れたExcelファイルなんか複製可能だから、本体側止めても、他所で流れまくるから、其処に掲載されてしまってる情報を無価値する意味でPWD変更を急ぐのが必須で事後報告でもいいからリストの全員分、PWD変更をするのが次の手だよね。

んで、念のため、Blogユーザー全員にPWD変更を呼びかけるのが普通の対応とみる。

今回のケースだとリストにあった芸能人以外の危険度は低いものの、
上場企業のコンプライアンスとして必須だろ。

なのに、何この対応。
http://www.cyberagent.co.jp/pdf/2010/0101.pdf
(PDFが開きます)

リリースとしてPDF1枚上げただけ。

芸能人だけ特別扱いだったらCGMやめちまえば?

しかもAmebaなうでやらかした直後だろ。

>URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
http://www.itmedia.co.jp/news/articles/0912/11/news033.html

挙句、負け惜しみに

http://www.itmedia.co.jp/news/articles/0912/22/news093.html

>なうは、CSRF(クロスサイトリクエストフォージェリ)脆弱性をついたいたずらにも悩まされた。長瀬さんによると、この脆弱性はあらかじめ把握していたという。「新サービスは常に外部のセキュリティ企業のチェックを受け、危険度が高い順に対応している。指摘されたCSRF脆弱性は危険度のレベルが最高より1段階低かったため、年明けごろ修正する予定だった」が、問題が起きた翌日には修正した。


知ってて放置?
翌日までに修正可能な程度のものを
リリースしちゃう前にふさがない意味がわからねえ。

んで、こんな宣言したばっかだよな。

>Amebaのセキュリティ対策について
http://ameblo.jp/staff/entry-10411733287.html

>弊社では新規サービスの開発時はリリース前に、
既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。

調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や
破壊につながる可能性がある部分については即時の対応を、
それ以外の部分については一定期間内での対応実施を徹底して参りました。


監査はザルで実質には機能してないってことだろ。

挙句、社長やスタッフのBlogは今回の情報漏洩をいまだにエントリなどで謝罪してない。

>年末年始のサポート休止期間について
http://ameblo.jp/staff/entry-10418259558.html

リリースをUPしたのはサイバーエージェントじゃなくて、
サイバーエージェントから出資を受けてるECナビ。

http://twitter.com/usapon/status/7267694028

>アメブロへの不正アクセスについてですがリリース出しました。真相究明に向けて警察ととも連携しながら対応進めていきます。


外部企業側がリリース出して本家は何もしてないとかどんだけ丸投げなんだよ(苦笑

しかも、そういう内部事情までTwitter側でみえちゃうのも、本来のコンプライアンス的にはどうかと。

Twitterの特徴の一つであるリアルタイムに逆行してる遅延対応で
挙句、Amebaなうが機能してないってことのみ伝わるね。

しかも、

http://twitter.com/usapon/status/7268254419
>ご指摘ありがとうございます。 RT @oranie: @usapon ごめんなさい。非常におせっかいな事なんですが、法律の参照にwikipediaよりIPAの文書にした方が良いかと。http://bit.ly/7zoZGl


文殊の知恵の例えもあるけど、
内部側には3人以上いるよね?
技術的にも法務的にも諸々不安なんですけど・・・

「謝罪なう」でなくて、不正アクセスに対してのリリースを優先したって態度からも

「Amebaユーザーはおざなり」

「芸能人Blog大切」

って内部のスタンスしか伝わらないんだよねー。

コンテクストやコミュニティー形勢の根幹的な所が欠落してる運営ですって自分達で表現しちゃってるし。

黒字で浮かれてる場合じゃねーだろ。


で、犯行側についての推理だけど、

1月1日1時1分1秒に更新て事からタイマーでの投稿は明らか

・年末年始休業
・ユーザーのアクセスやトラフィックが増えるであろう時間帯

これらを考慮した意図が読み取れる。

ただ8月11日以降に始めたブログは入ってないExcelファイルだそうなので、
単純なクラックなら入手直後にばら撒けば、夏厨ども巻き込んでの祭も想定できたのを、

・サイバーエージェントの引越

にあわせてる意図も感じられるんだよね。

内部事情に詳しい=内部か取引先関係者って線も。

愉快犯というより、内部の人的リソース被害の実害が最大限になるであろうを狙ってやってるので

内部怨恨とかが濃そうだよなー。

でも企業自体にダメージを与えるとすれば、
株主総会とかの時期前にやって風評から株価や資産に直接ダメージで影響出すとかの方が効果的だから

この事件で直接対応に当たる部署=システム関連、もしくはアメブロの運営に恨みを持つものの犯行

ってのはいつもの俺的に深読みしすぎ?

トロイでNさんのエクセル手に入れてお正月に撒いてみたって愉快犯の可能性もあるけどな。

「お年玉」って画像にLINK貼ってる行動からして。


和紙のぽち袋・お年玉袋「落水」(中・定番サイズ、5袋入)


和紙のぽち袋・金封「切り絵」(大・お札サイズ、5袋入)かわいいご祝儀袋・お年玉袋

ITアーキテクトのやってはいけない 設計、メソドロジ、実装・テスト、運用、セキュリティのアンチパターン (日経BPムック)
ITアーキテクトのやってはいけない 設計、メソドロジ、実装・テスト、運用、セキュリティのアンチパターン (日経BPムック)

posted by wolf_howling at 07:10 | TrackBack(0) | Blog | このブログの読者になる | 更新情報をチェックする

この記事へのトラックバック

最近の記事
(04/05)疾風!アイアンリーガー (全52話)バンダイチャンネル 期間限定 無料配信
(04/05)2020年04月04日の遠吼え
(04/04)赤い影法師(上)大活字本/ 柴田錬三郎
(04/04)小学館版学習まんが 少年少女日本の歴史7  鎌倉幕府の成立 ―鎌倉時代― あおむら純 期間限定・無料
(04/03)2020年04月02日の遠吼え
(04/02)カウボーイビバップ 全26話 バンダイチャンネル 期間限定 無料配信
(04/02)小学館版学習まんが 少年少女日本の歴史6  源平の戦い ―平安時代末期― あおむら純 期間限定・無料
(04/02)2020年04月01日の遠吼え
(04/01)小学館版学習まんが 少年少女日本の歴史5 貴族のさかえ  ―平安時代中期・後期― あおむら純 期間限定・無料
(04/01)2020年03月31日の遠吼え
(03/31)2020年03月30日の遠吼え
(03/30)小学館版学習まんが 少年少女日本の歴史4 平安京の人びと  ―平安時代前期― あおむら純 期間限定・無料
(03/30)2020年03月29日の遠吼え
(03/29)魔神英雄伝ワタル 全45話 バンダイチャンネル期間限定 無料配信
(03/29)小学館版学習まんが 少年少女日本の歴史3 奈良の都 ―奈良時代― あおむら純  期間限定・無料
(03/29)2020年03月28日の遠吼え
(03/28)小学館版学習まんが 少年少女日本の歴史21 現代の日本 あおむら純 期間限定・無料
(03/28)小学館版学習まんが 少年少女日本の歴史2 飛鳥の朝廷 ―古墳・飛鳥時代― あおむら純 期間限定・無料
(03/28)2020年03月27日の遠吼え
(03/27)小学館版学習まんが 少年少女日本の歴史1 日本の誕生 ―旧石器・縄文・弥生時代― あおむら純 期間限定・無料