新年,公開しまして,おめでとうございます.

システムトラブル サイバーエージェント

http://getnews.jp/archives/42934
http://getnews.jp/archives/42952
http://getnews.jp/archives/42975

「『アメーバブログ』で前代未聞の情報漏えい!」
アメブロ利用者のパスワード大公開の噂.これで関係者の休暇は返上かな.*1

アメーバブログ』で前代未聞の情報漏えいが発生した。『アメーバブログ』はタレントやモデルなどの芸能人ブログに力をそそいでおり、日本最大数の芸能人ブログをサービスとして公開しているのだが、その芸能人たちのIDとパスワードが記載されているエクセルデータがインターネット上に漏洩しているのである。しかも、複数の芸能人ブログから情報が流出している状態である。

生パスワードがExcel管理という当たりがお粗末過ぎ.*2この景気でこのタイミングだし,年末一杯で(不当)解雇された元関係者とかもありえるなー.犯人が特定できても訴えられなかったりして.

「ご迷惑をおかけしております。ただいま早急に対応中です。パスワードを変更していただければ問題ありません」と話していた。

正月早々,芸能人にパスワード変更をしろと?

マウスカーソルをその画像に合わせると、画像ファイルのはずなのになぜかエクセルデータの「xlsファイル」が表示される。そのエクセルデータをダウンロードして開いてみると、そこには『アメーバブログ』を利用している数百人の芸能人のIDとパスワードが記載されているのだ。

うーん,どうやったらこういう状態になるんだ?やっぱり内部の人間の犯行なのかな...

http://alfalfalfa.com/archives/379975.html

てかさー・・・情弱すぎだろwwwパス4桁の数字って何よ?馬鹿じゃねーの

...数字4桁?まさかと思いたい.

PASSが流出した人たち(携帯番号そのままの人も多数)

携帯番号も流出?こっちの方が実害は大きいかも.

番号変更して関係者に通知して...頭痛いわ.

「メディア企業として飛躍!サイバーエージェント 藤田晋社長」

http://www.nsjournal.jp/column/detail.php?id=191778&dt=2010-01-01

09年9月期第4・四半期にアメーバ事業が黒字化。これを契機にメディア企業として将来性を認識してもらえるようになってきたと感じている。09年はメディア企業としての足掛かりを得、メディア企業にぐっとシフトした記念すべき年」

黒字化の理由がコストダウン(≒ 人件費削減)だったりしないよね?*3

「ブログ事業に1つ付け加えるならば、われわれは運が良かった。ブログで頭一つ抜けていたライブドアのサービス進化が止まり、時間を稼げた。ライブドアがサービスの進化を続けていたら、ブログサービスで一番になるのは難しかったと思う」

話題性なら一番になったと言えよう.

http://alfalfalfa.com/archives/380011.html

「「Ameba」オフィシャルブログ、不正アクセス被害について 」

http://www.cyberagent.co.jp/pdf/2010/0101.pdf

公式発表.ただし,「不正アクセス被害について」であって「情報漏洩について」ではないのか.これはビックリ.

株式会社サイバーエージェント(本社:東京都渋谷区、代表取締役社長CEO:藤田晋東証マザーズ上場:証券コード4751)が運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。 また同時に、オフィシャルブログのID、パスワード約450 件等を記述したエクセルファイルが外部に流出したことを確認しております。
当社は、本不正アクセスに関して迅速に対応するため緊急対策チームを結成し、流出したパスワードを本日正午までに変更するなど、対応策を実施しております。また合わせて、渋谷警察署に被害状況の報告及び関連資料を提出しており、早急に流出経路含め、原因追究に努めてまいります。

Excelファイルはクラッカーにより盗み出されたもので,我々に落ち度はない」と言いたいのかな.

しかし状況を見る限りでは単純ミスの可能性の方が高そうだし,仮に十歩ひいてクラッカーの関与があったにせよ,内部の管理体制の不備を突かれたのは間違いなさそうなのだが.

すごくひっかかるのは

流出したパスワードを本日正午までに変更するなど、対応策を実施しております。

の部分.

なんで流出したパスワードを『全部』変更したって言い切れるんだろ.本当に不正アクセスがあって情報が盗み出されたのだとしたら、流通している例のExcelファイルは氷山の一角かもしれないよ.普通なら「念のためユーザーの皆様にはパスワードの変更をお願いいたしします.」の一言があってしかるべき.

それにコメントでもあったけど,ここで使っているパスワードを,他のサービスと共用している人もいるかもしれないんだ.そういう人はアメブロだけ変更しても問題は解決しない.*4そうでなくともパスワード変更は基本的にユーザーにお願いしなければできないのに,勝手に変更して対応完了はありえない.

  • id:ryuzi_kambe 順番的に言えば「エクセルファイルの外部流出」->「不正アクセスの誘発」じゃないのかなぁ。まあ、そこは正直に言わないだろうけど。
  • id:r-west パスワードほか重要情報をまとめてExcel管理してみごとに流出させておいて、侘びの一言も無く、まったくの被害者面w
http://b.hatena.ne.jp/entry/www.cyberagent.co.jp/pdf/2010/0101.pdf

http://www.cyzo.com/2010/01/post_3556.html

ブログの画像は削除されたが、エクセルデータには、IDとパスワードのほかに、サイバーエージェントの社員と推測されるメールアドレスのほか、芸能プロダクションにブログを書いてもらうための営業用の資料も掲載。「事務所ごと取りに行こう!」「事務所内もしょぼい」「バーター必須であれば」など、芸能プロダクションについての生々しい評判も掲載されている。

こっちの方がヤバイかも.

http://twitter.com/Hamachiya2/status/7293971868

CAの(一部の)人って仕事のファイルのやりとりに、普段から個人運営のアップローダー(www.dotup.org)使ってるって聞いたことあるんだけど本当なのかな

うーん,当初この可能性も考えなくはなかったが,一言でいうなら「まさか」.

そんな明らかに技術的にアウトなことをする技術者がいるなんて思えない.いや,正確には「思いたくない」だったのかな.

もしこれが本当なら,実は犯罪でもなんでもなく現場の極めて杜撰な情報管理が原因で起こった,ごく単純な情報漏洩なのかもしれない.

http://www.j-cast.com/2010/01/03057198.html

エクセルファイルから流出したのはIDとパスワードだけではない。エクセルの項目には、「ヘッダ適応」「写真リサイズ」「ブログ準備」「監視依頼」といったものが確認でき、新規ブログを開設する際の工程管理表としても機能していたことが伺える。

1月2日15時過ぎに「流出?」というタイトルでブログを更新し、
「気になって調べたら わたしの名前もあったけど 何にも連絡ないし 気のせいですよね」
と困惑気味だ。

http://japan.cnet.com/news/sec/story/0,2000056024,20406071,00.htm?ref=rss

サイバーエージェントによると、流出したオフィシャルブログのID、パスワードは約450件。このアカウントはExcelファイルにまとめられた状態で保存されており、このファイル自体が流出したという。Excelファイルは開発会社など社外に渡す文書ではないとのことで、同社内から流出した可能性が高い。ファイルにはパスワードがかけられていたというが、これが破られた状態で公開されてしまった。

流出経路については現在調査中とのことだ。現在アメブロでは約6000人のオフィシャルブロガーがおり、アカウントが流出したのはこのうちの7.5%にあたる。「同一事務所など特定のカテゴリに属する人、というわけではない」(広報)とのことだ。

流出経路については調査中なのに,流出したのが7.5%と具体的に分かってるのはなぜ?普通は「流出が確認されたのは7.5%」とか「少なくともXX人以上」とかになるんじゃないの?

サイバーエージェントの話を鵜呑みにすると,「流出がこのファイル一個限りで,それ以外には絶対に外部に出ているはずがない」と確信してるみたいに見えるんだよね.

http://slashdot.jp/~shibuya/journal/497572

アメブロメールマガジン、アメマガの2010年01月05日号では予想通り何も言及なし。
メールマガジン購読者に特別号配信もなかった。スルー力が高いぞ、CyA社。

http://ameblo.jp/staff/entry-10427977717.html

アメブロにてようやく公式発表.なんと「2010年01月06日 13時」.

2010年1月1日未明、『Ameba』オフィシャルブログへ不正アクセスの被害を確認いたしました。同時に、オフィシャルブログのID、パスワード約450件等を記述したエクセルファイルが外部に流出したことを確認しております。

不正アクセスに関して迅速に対応するため緊急対策チームを結成し、流出したパスワードを1日正午までに変更するなど、対応策を実施いたしました。また合わせて、渋谷警察署に被害状況の報告及び関連資料を提出し対応を進めております。尚、今回の件以外での不正アクセス・情報流出がないことを確認しております。

「今回の件以外での不正アクセス・情報流出がないことを確認しております。」ではなく,「不正アクセス・情報流出は確認されていません」では.

その他

技術者を「頭数」でしか評価できない企業の末路ということだろうか.

感想

断片的に出てくる情報を総合すると

顧客とのやりとりや担当者の電話番号,E-mailアドレス等の連絡先,ブログ管理に必要となる平文パスワードなどをすべて一つのExcelファイルでまとめて管理していた.これは暗号化もパスワードもなしに,誰でもアクセスできる状態で外部のサイトにアップロードするのが日常的に行われていた.

今回は担当者に「お年玉画像へリンクするURLはココ → http://〜/foo.xls」みたいな感じで連絡し,その連絡を受け取った担当者が,そのExcelファイルの中身に書かれたお年玉画像のURLと間違えて,このExcelファイルへのURLを直接リンク先になるように書き換えてしまった.

みたいな,ありえないほど単純なミスが重なった雰囲気もするなあ.


いや,これは流石にまさかとは思うんだけど,もし事実なら信用失墜は避けられないんじゃないかな.

後日談

http://slashdot.jp/security/article.pl?sid=10/03/17/0955208
http://sankei.jp.msn.com/affairs/crime/100317/crm1003170925007-n1.htm

とりあえず単独犯ということになったらしい.普通は共犯を疑うよね.

*1:やけに具体的な割には,公式発表はまだ?なんでだ.デマ?どうやら本当らしい.

*2:馬鹿馬鹿しい話だとは思うけど,結局はコストとのトレードオフだからなあ.不景気だし,セキュリティとか品質なんて目に見えない部分は真っ先にコスト削減対象にされるんだよね.

*3:この不景気で売上急上昇中の会社なんてあるとは思えないんだけどな.とすると黒字化→ コスト削減 → 人減らしというのは,わりとありがちなパターン.

*4:ゴーストライター用のパスワードで,本人や事務所は知らないというのなら話は別だが,その時は別のスキャンダルに発展する.