ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

「Ameba」オフィシャルブログ、不正アクセス被害

soaraによる 2010年01月02日 13時05分の掲載
DLしたものを使ってアクセスしちゃ駄目では…部門より
セキュリティ

あるAnonymous Coward 曰く、

サイバーエージェントが運営する「Ameba」オフィシャルブログにおいて、不正アクセスがあったとのニュースリリース(PDF)が出ている。

しかし、時系列を確認すると、そもそも、内部資料(ユーザーID・パスワードが書かれた Excel ファイル)がアップローダに登録され、「Ameba」オフィシャルブログからリンクが張られたのが発端らしい(ガジェット通信記事)。

そもそも流出させたのは自分のところの不手際だろうに、さも被害者面するというのは……。IR対策とかもあるんだろうけど、ちょっとひどすぎる気がします。

「Ameba」オフィシャルブログ、不正アクセス被害 | ログイン | 148コメント | コメント検索
表示オプション しきい値:
(1) | 2 (スラッシュドット・ジャパン システム負荷過大: コメント数制限中 50)

  • 『アメブロ』で芸能人パスワード大量流出 不正アクセスも [msn.com]」

    ネット上に書き込まれた情報によると1日午前1時ごろ、タレントの藤本美貴さん(24)のブログに
    「お年玉」と題された画像が現れ、それをクリックすると、エクセルファイルが見られる状態に
    なっていたという。

    これは流出とは言いませんわなぁ('A`)
    ユーザーの方には逃げた方がいいんではないかと強く提案したいです。
    新年早々どえらいことです

    • >その前にだれかが何らかの方法でIDやパスワード等を入手して、そのファイルを誰もが閲覧可能な所に置いたわけですよね。
      問題はそこでね、まだ公式には発表されてないと思います。
      内部的には「昨年度末でクビにしたあいつが怪しいんじゃね?」みたいなのはあるかもしれないけれど、
      それは現段階では発表できないでしょう。今後の捜査に支障が出るだけでなく、もし間違っていた場合は
      逆に名誉毀損で訴えられるかもしれないから。

      そしてアメブロの(というかサイバーエージェントの)プレスリリースだとその部分を曖昧なままにして、
      さも(外部の)悪質な犯罪者が盗み出したかのように誤解させる書き方になっているのです。

      そう言えばアメブロの方のプレスリリースや、各ユーザーへのE-mailでのお知らせはあったのかな?
      …… #1696867 を見る限りはなさそうですね。

      • 普通、ドキュメントルート以下にあるファイルはすべて「公開」してるものと見なされるから、
        設定ミスなんたらとかはどうでもよく、漏洩とは呼ばない、呼んではいけない、と思うけどね。
        ディレクトリトラバーサル脆弱性なんかで、非公開のものにアクセスできるってのは、怪しいところだけど。

        自分のアカウントのIDとPASSを書いたテキストファイルをドキュメントルートにおいといて、誰かがそれにアクセスしたら、「おまえ、不正アクセスだ!」っていうのはキチガイとしか思えない。
        それでもアウトなら、おそらくGoogleなどのロボットはかなり不正アクセスなファイルにアクセスしてることでしょう。
        • 自分は

          >幸いなことに(?)今回はExcelが公開サーバにアップロードされていたようなので、
          >『お年玉』を受け取った人が責任を問われることはないと思うけれど、アメブロ管理の
          >サーバー内にあった場合は『流出』したのは、お年玉画像をクリックしてダウンロード
          >した時点ということになる可能性もあったのでは。

          という親コメントの「アメブロ管理のサーバー内にあった場合」に対するコメントなんだが。

        • 自分のアカウントのIDとPASSを書いたテキストファイルをドキュメントルートにおいといて、誰かがそれにアクセスしたら、「おまえ、不正アクセスだ!」っていうのはキチガイとしか思えない。

          ハァ?
          今回の事件は、Excelファイルは、2ちゃんねる系のアップローダ(うpろだ)に置かれていたんだぞ。

          「キチガイ」はおまえだろ。

          本来のコメントの文脈とは違うけど、たとえ2ちゃんねる系のアップローダに置かれていたとしても、それで不正アクセスで有罪とするのは無理があると思いますよ。公開されている場所に置かれていることに変わりないし、誰でも置けるなら、本人がアップロードすることもないとも言えないし。

          怪しいとは思っても、それが黒と断言はできないでしょう。

          --
          LIVE-GON(リベゴン)
        • 1個のコメント が現在のしきい値以下です。
      • 2個のコメント が現在のしきい値以下です。
    • 4個のコメント が現在のしきい値以下です。

  • サイバーエージェントもサイバーノーガード戦法 [wikipedia.org]を採用してるのね。

    • Re:真面目に対策するのが馬鹿みたいですね・・・。 (スコア:3, 興味深い)

      Anonymous Coward : 2010年01月03日 5時50分 (#1697125)
      そういう所は長い目で見れば確実に淘汰されるので問題ないと思います。
      経営層はそれに気づいているのかそれが最大の問題ですがねww

      サイバーエージェント系の会社(Pマーク準拠)に正社員として勤めていた人の話を聞くと
      会社の方針が「如何に広告媒体となる新サービスをいくつ立ち上げるか」が社員の評価
      ポイントなので、セキュリティ云々言って新サービス立ち上げの足引っ張るやつは評価
      下げられて最後には排除されてしまいます。
      そういう会社なのでこういう事が起きるのは目にみえていましたよ。
      • > そういう所は長い目で見れば確実に淘汰されるので問題ないと思います。

        いや、淘汰されるかどうかは分からない。というかされない。

        問題が起きて一部の芸能人が利用を止めたいと思っても、契約上の問題とか、
        移行の手間とか、他の人がまだアメブロなのに自分だけ移行するとPVが減るかも
        という懸念とか、そういう諸々の事情があると、問題はありつつも利用され続ける。

        デファクトスタンタードとはそういうもので、例えばWindowsなんかもそう。
        Windowsの場合はバージョンごとで競争があってWindows全体でデファクト
        スタンタードだから、例えばVistaの使い勝手がクソだったりしても
        何とかなったけども。

        だからサイバーエージェントのサービスも、セキュリティ上の問題があろうと、
        芸能界みたいなIT弱者相手の営業力を持っていれば生き残ることは可能なんです。
        軽蔑に値するけどね。
      • 1個のコメント が現在のしきい値以下です。

  • ビジネスの根幹にかかわるお粗末な運用 (スコア:3, 興味深い)

    Anonymous Coward : 2010年01月02日 13時42分 (#1696871)

    アメブロといったら芸能人にブログ書かせて、アクセス稼いで…というのも重要な業務。
    それがこの有様だから、もう終わりじゃね?
    あまりに悲惨

    パスワードを「生」で管理してたんだ… - bugbird の日記 [slashdot.jp]
    結局、某ブログシステムにおける excel ファイルの拡散騒動は、認証が「生」のパスワードであったがために、便乗犯を呼ぶ事になったらしい。しかもアカウント/パスワードを共用もしていたらしい(それ故にそんな excel ファイルが存在していたわけだ)。

    つーことで、一応は被害者なんだろうけど、設計・運用要件的には完全にアウトだよね。これ。玄関のマットとか植木鉢の下に玄関の鍵を隠しているようなものなんだから。

    | まともな設計・運用要件なら、アカウントの共有なんて論外だし、パスワードも本人以外には察知できないようにするべき

    で、excel ファイルには所属プロダクションの寸評(かなり赤裸裸であからさま)なんかも含まれていたようで、こうしたセンシティブな情報が運用管理情報とごった煮状態で取り扱われていたのも、コンプライアンスの点から実にお粗末。まぁ、広告屋ってのはどこもこんなものかね?

    • Re:ビジネスの根幹にかかわるお粗末な運用 (スコア:2, 興味深い)

      Anonymous Coward : 2010年01月02日 18時11分 (#1696976)

      これって間違えてリンク貼っちゃったていうことで、実はアップローダ上にはアクセスできる状態で重要なファイルが他にも置かれているってことなのかな?

      さすがに、「間違えてこのエクセルファイルをアップしてさらに間違えてそれにリンクを貼る。」という二重の致命的ミスは考えづらいし…多重ミスも細かいものなら考えられるけど、こんな二重の致命的ミスは考えづらい。そうすると普段から重要なファイルをアップローダ上に置いているのではないかと。しかもアクセス管理もなしに。そうするとお粗末にもほどがある。

      amebaのアップローダ上に他にもヤバいファイルが無いか探索するのが流行るのかな。

      • Re:ビジネスの根幹にかかわるお粗末な運用 (スコア:1, 興味深い)

        Anonymous Coward : 2010年01月03日 11時14分 (#1697165)

        >実はアップローダ上にはアクセスできる状態で重要なファイルが他にも置かれているってことなのかな?

        全然裏がとれてないけど、こういうことを言ってる人もいる。
        「CAの(一部の)人って仕事のファイルのやりとりに、普段から個人運営の
         アップローダー(www.dotup.org)使ってるって聞いたことあるんだけど
         本当なのかな」
        http://twitter.com/Hamachiya2/status/7293971868 [twitter.com]

        一部ファイルでそういうのを使うのは理解できるけど、今回洩れた奴は外部持ちだしもE-mailでの
        送信も禁止すべき企業秘密にあたるものでしょ。もしそんな重要ファイルでもパスワードもかけず
        暗号化もせずに外部のサイトにアップロードするのが常態化してるとすれば、サイバーエージェント
        に対する信用がた落ちだよ。

        それだけに、この話がサイバーエージェントの信用失墜を狙ったデマという可能性も棄てきれないのだが。
        まあ名誉毀損で訴えられそうな話をTwitterで呟く人も、たぶんいないと思う。

      • 1個のコメント が現在のしきい値以下です。

  • アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。
    時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?
    # アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど

    流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……
    「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?

    何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)

  • まあ、それはそれとして (スコア:2, すばらしい洞察)

    shibuya (17159) : 2010年01月02日 13時17分 (#1696859) 日記

    「男の子牧場」で知人男性の個人情報を共有 [slashdot.jp]とか
    どこかでみたような「アメーバなう」、即CSRFの餌食に [slashdot.jp]
    も関連ストーリーに入れてよかったのではないだろうか?後付け可能ですか?

  • ガジェット通信 [getnews.jp]内で触れられているので探してみた、かながわIQさんのエントリ「ガオー!!!アメブロパス流出」 [ameblo.jp]にあるコメント返しによりますと、

    なんかひと段落したのかな??
    漏れたのは芸能人ブログオンリーみたいでしたので大丈夫だと思いますよ~!

    とのこと。でも現時点でもアメブロからのお知らせ [ameblo.jp]は出ていません。

    念のためパスは変えておこうっと。

    # /.の記事で初めて知ったのでID

    --
    eComStation 2.0 Gold http://shop.mensys.nl/catalogue/mns_eComStation.html

  • パスワードの中身 (スコア:2, 興味深い)

    Anonymous Coward : 2010年01月04日 12時51分 (#1697518)
    アップロードされていたExcelファイルを入手し、その中身を見ました。
    B列がタレントの氏名で、C列がユーザ名、D列がパスワードです。
    パスワードを見ると、
    ・日付と思われる4桁数字(誕生日?)のもの
    ・ユーザ名(または名前)+日付と思われる4桁数字のもの
    ・年月日の8桁数字(生年月日?)のもの
    ・何らかの4桁数字のもの(キャッシュカードの暗証番号と同じ?)
    ・携帯電話番号らしき数字11桁または8桁のもの
    というものが大半を占めていました。
    (これらは本人が決めたパスワードなんではないかと。)

    そのほか、芸能プロダクション毎のシートでは、
    プロダクションごとに統一されてパスワードが設定されたらしく、
    ・全員が4桁数字
    ・プロダクション名+連番数字2桁
    というところがほとんどでした。

  • どの事象をさして「不正アクセス」としているのか皆目判らない。わざと曖昧にしているのかね?

    1. 今回流出したID/Passwordでのブログの管理機能への不正ログイン
    2. 発端となった管理ファイルの漏洩とそのURLがブログの画像にリンクされた事

    まあ、はっきり言うと1番はどうでもいいので2番の経緯が知りたいですね。
    客寄せになる芸能人のブログを個別にケアしたりそのコンテンツに対して運営会社が介入するのは
    別に驚くべきことじゃないけど、、、なんで管理者がPasswordを平文で管理しなきゃいけないかは、
    全くもって想像の埒外ですなぁ。

    • Re:何を不正アクセスとしているのか不明 (スコア:1, すばらしい洞察)

      Anonymous Coward : 2010年01月02日 16時26分 (#1696933)

      >1. 今回流出したID/Passwordでのブログの管理機能への不正ログイン

      あのID/Passwordはお年玉画像にリンクされてたんだから、
      当然Amebaからのお年玉なわけですよ
      あのID/Passwordでloginしたところで、
      不正になるわけがない

      不正にならないわけがないとは分かっているが、半分ぐらい本気
      自分でpasswordばらまいておいて、
      loginした奴を不正アクセスで追い込めるようだと、
      ゆすりのかっこのネタになりそうなので

      • お年玉としてリンクが張られた経緯としては、

        1.「誰か」が問題のExcelファイルを入手
        2.「誰か」がそこに記載してあったうちのひとつである藤本美貴のブログにアクセス
        3.「誰か」がお年玉と題した画像とリンクを記述(場合によってはExcelファイルのアップロード)

        以外は現実的じゃない気がします。
        なので、この「誰か」の行為はおそらく、不正アクセスに該当するでしょう。
        そういう手段でもって公開されたIDパスワードを利用することが不正アクセスになるかどうかはどうなんでしょうね。

        # 「あなたのIDとパスワードはこれです」と言って渡されたならともかく、リストが出てきて、そこからつかったなら、
        # 心情的には不正アクセスとされても仕方ないかもと思う。

      • >不正にならないわけがないとは分かっているが、半分ぐらい本気
        僕も似たような感想を持ちました。

        有名芸能人ブログのID/passが「お年玉」という名目でバラ撒かれたということは、
        真面目な話、運営側の仕掛けた祭り(イベント)だと勘違いしてアクセスした人が少なからずいるはずです。
        実際にアクセスした人がそう主張したとして、事情がどの程度汲み取られるかは法律に詳しくないのでわかりませんが。

        ただ、他人のID/passを不正に入手して使ってはいけないということが広く知られていたとしても、
        「Amebaの芸能人公式ブログ上で」「さもプレゼント然とした形で公開されていた」ID/passを利用することがどれだけ危ういことかは、
        一般人のリテラシーレベルではやや判断に窮する問題だったのではないでしょうか。

        実際、僕も2chに立ったスレで状況を知ったときは、まず口コミを装った広告を疑いました。
        ID/passの漏洩を装った、プロモーションサイトへの誘導なのではないか、と。
        もしそうであれば、情報関係の企業としてはかなり不適切な広告手法だな、とも思いましたが。

        一応補足しておきますが、この件で公開されたID/passを見てのアクセスによる逮捕者が出たとしても、僕は彼らを積極的には擁護しません。
        もう少し賢ければ、あるいは教育の機会に恵まれていれば、ヘマをせずにすんだのにね、という意味で、哀れみは覚えるでしょうが。
        ただ、サイバーエージェントという企業を、心の底から軽蔑するだけです。
        今以上にできるかという問題はさておき。

    • この場合の「経営の責任」とは、漏洩した時に500円の金券相当のお詫びを送ることでしょうか。

      その程度で責任がとれると思われてる限り、経営者がセキュリティを真面目に検討する日は
      永遠に来ないだろうな。

    • 技術者によってシステム上のパスワード管理がハッシュ等で適切に管理されていたとしても、
      「パスワード覚えない芸能人が毎回聞いてくるのでそのたびに教える」ような運用を決定するのは技術者じゃない。
      結果として、技術者の賛同しないところで、技術者じゃない人間がIDパスワードセットをもっていても不思議ではない。
      それが漏れたって話でしょう、これ。

      一般人のIDリストが漏れたわけではないらしいので、なおさらこう読むのが筋だと思うけども。

    • 回り回っては、経営の責任ですよ。
      『安全とは、災害が起きていない状態ではなく、災害を防止する取り組みが継続的に実施されている状態を言う』 -- 某大手ゼネコンの現場に必ず掲載されている標語です。

      ITゼネコンなんて呼び方、本物のゼネコンに失礼ですよねぇ。。

    • 1個のコメント が現在のしきい値以下です。
(1) | 2 (スラッシュドット・ジャパン システム負荷過大: コメント数制限中 50)

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。