パスワードを忘れた? アカウント作成
179909 story

「Ameba」オフィシャルブログ、不正アクセス被害 148

ストーリー by soara
DLしたものを使ってアクセスしちゃ駄目では… 部門より

あるAnonymous Coward 曰く、

サイバーエージェントが運営する「Ameba」オフィシャルブログにおいて、不正アクセスがあったとのニュースリリース(PDF)が出ている。

しかし、時系列を確認すると、そもそも、内部資料(ユーザーID・パスワードが書かれた Excel ファイル)がアップローダに登録され、「Ameba」オフィシャルブログからリンクが張られたのが発端らしい(ガジェット通信記事)。

そもそも流出させたのは自分のところの不手際だろうに、さも被害者面するというのは……。IR対策とかもあるんだろうけど、ちょっとひどすぎる気がします。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 『アメブロ』で芸能人パスワード大量流出 不正アクセスも [msn.com]」

    ネット上に書き込まれた情報によると1日午前1時ごろ、タレントの藤本美貴さん(24)のブログに
    「お年玉」と題された画像が現れ、それをクリックすると、エクセルファイルが見られる状態に
    なっていたという。

    これは流出とは言いませんわなぁ('A`)
    ユーザーの方には逃げた方がいいんではないかと強く提案したいです。
    新年早々どえらいことです

  • by realloc (27431) on 2010年01月02日 20時40分 (#1697016)

    サイバーエージェントもサイバーノーガード戦法 [wikipedia.org]を採用してるのね。

    • by Anonymous Coward on 2010年01月03日 5時50分 (#1697125)
      そういう所は長い目で見れば確実に淘汰されるので問題ないと思います。
      経営層はそれに気づいているのかそれが最大の問題ですがねww

      サイバーエージェント系の会社(Pマーク準拠)に正社員として勤めていた人の話を聞くと
      会社の方針が「如何に広告媒体となる新サービスをいくつ立ち上げるか」が社員の評価
      ポイントなので、セキュリティ云々言って新サービス立ち上げの足引っ張るやつは評価
      下げられて最後には排除されてしまいます。
      そういう会社なのでこういう事が起きるのは目にみえていましたよ。
      親コメント
      • > そういう所は長い目で見れば確実に淘汰されるので問題ないと思います。

        いや、淘汰されるかどうかは分からない。というかされない。

        問題が起きて一部の芸能人が利用を止めたいと思っても、契約上の問題とか、
        移行の手間とか、他の人がまだアメブロなのに自分だけ移行するとPVが減るかも
        という懸念とか、そういう諸々の事情があると、問題はありつつも利用され続ける。

        デファクトスタンタードとはそういうもので、例えばWindowsなんかもそう。
        Windowsの場合はバージョンごとで競争があってWindows全体でデファクト
        スタンタードだから、例えばVistaの使い勝手がクソだったりしても
        何とかなったけども。

        だからサイバーエージェントのサービスも、セキュリティ上の問題があろうと、
        芸能界みたいなIT弱者相手の営業力を持っていれば生き残ることは可能なんです。
        軽蔑に値するけどね。
        親コメント
  • by Anonymous Coward on 2010年01月02日 13時42分 (#1696871)

    アメブロといったら芸能人にブログ書かせて、アクセス稼いで…というのも重要な業務。
    それがこの有様だから、もう終わりじゃね?
    あまりに悲惨

    パスワードを「生」で管理してたんだ… - bugbird の日記 [srad.jp]
    結局、某ブログシステムにおける excel ファイルの拡散騒動は、認証が「生」のパスワードであったがために、便乗犯を呼ぶ事になったらしい。しかもアカウント/パスワードを共用もしていたらしい(それ故にそんな excel ファイルが存在していたわけだ)。

    つーことで、一応は被害者なんだろうけど、設計・運用要件的には完全にアウトだよね。これ。玄関のマットとか植木鉢の下に玄関の鍵を隠しているようなものなんだから。

    | まともな設計・運用要件なら、アカウントの共有なんて論外だし、パスワードも本人以外には察知できないようにするべき

    で、excel ファイルには所属プロダクションの寸評(かなり赤裸裸であからさま)なんかも含まれていたようで、こうしたセンシティブな情報が運用管理情報とごった煮状態で取り扱われていたのも、コンプライアンスの点から実にお粗末。まぁ、広告屋ってのはどこもこんなものかね?

    • by Anonymous Coward on 2010年01月02日 18時11分 (#1696976)

      これって間違えてリンク貼っちゃったていうことで、実はアップローダ上にはアクセスできる状態で重要なファイルが他にも置かれているってことなのかな?

      さすがに、「間違えてこのエクセルファイルをアップしてさらに間違えてそれにリンクを貼る。」という二重の致命的ミスは考えづらいし…多重ミスも細かいものなら考えられるけど、こんな二重の致命的ミスは考えづらい。そうすると普段から重要なファイルをアップローダ上に置いているのではないかと。しかもアクセス管理もなしに。そうするとお粗末にもほどがある。

      amebaのアップローダ上に他にもヤバいファイルが無いか探索するのが流行るのかな。

      親コメント
  • アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。
    時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?
    # アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど

    流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……
    「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?

    何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)

    • by Anonymous Coward on 2010年01月02日 17時18分 (#1696950)
      「いくらなんでもアレだけの会員数を抱えたサービスですし、Pマーク取得してる企業なのですから、パスワードのハッシュは普通にしているでしょう。」と仮定すれば、
      芸能人・芸能事務所という特殊な組織を相手する都合、記事を管理するのは芸能人本人、芸能事務所、そしてサイバー、の三者だと思います。
      サーバー側が記事を管理する理由はいくつか考えられます(ネット文化に疎い芸能人および事務所相手にコンサルのごとく対応した際の流れ、など)。
      そして、社員などが使える管理画面で、指定した記事を修正するような機能が用意されておらず、
      直接ユーザ画面から入って記事をいじる運用になっていた。そのため、
      漏れないことを前提にした芸能人用ID・Passリストが社内管理されていた…と。
      仮定だけで恐縮ですが。

      ともあれ、ユーザからすれば信用度は普通に落ちますし、相手が芸能事務所だけに目に見えない後始末はそら大変でしょうに。
      親コメント
    • 自己フォローしとこう
      アメブロに作っていろいろしてみたけど、サーバに平文でパスワードが保存されてるとかはなさそうな気配。
      # 実態は判らないけど、いきなり平文で送りつけられてきたりしないし、リセットの手順も良くある形。
      ユーザサイド管理としてアメブロの中の人が作った書類が流出してイタズラ(犯罪だけどね)に使われたってあたりが真相っぽいね。
      他のコメントにもあったけど、芸能人ブログって金の卵なんだからユーザサイドとは言え杜撰な管理な気がするなあ。

      サーバサイドのパスワード管理とユーザサイドのパスワード管理とは明確に異なるけど、その辺がごっちゃになってる人が結構居そうなのも判ってなかなか興味深い:-P

      ちなみに「ニコニコ動画」とか「mixi」も数年前は駄目サイトだったけど、今はどうなのかな?
      # よく使うパスワードでメールボックス検索してみると結構面白い結果になると思うよ:-)

      親コメント
    • 流出したExcelファイルはDBから抜いたデータというより、自己流のフォーマットだったらしいので、おそらくシステムに代理更新の機能がなくて、担当者が同じアカウントを使い回す必要があったんでしょう。
      あと、パスワードをハッシュで保存しているかどうかにかかわらず、担当者の権限ではパスワードにアクセスするのは無理でしょうから、『「パスワードは聞けば教えてくれるはずだ」みたいなユーザ』のためのメモもかねていたのではないかと。

      --
      -------- tear straight across --------
      親コメント
    • HTTPのdigest認証、SMTPのcram-md5認証、POP3のapop認証など、クライアントでハッシュ化、ハッシュ値をネットワークに流すタイプの場合は、認証情報は平文(というかハッシュでなく復号可能な状態)で保存しておく必要があるのでは?

      今回の騒動には当てはまりませんが…
      親コメント
    • 最初はハッシュ値のみを保存するように作りました。
      パスワードを忘れた場合、ランダム生成した一時パスワードを登録メールアドレスに送付する仕組みも作りました。
      こちらで(開発側で)用意したメール文言は「一時的なパスワードです。3日以内にログインして設定し直してね」というものでしたが、これが絶不評。
      パスワード変更が面倒だの、期間が3日では短すぎるだの、まあ、出るわ出るわ……。

      結局、ユーザの入力したパスワードをそのまま送付する仕組みに変更する事になりました。
      (パスワードを平文で流すことよりも、ユーザの利便の方が重要な事らしいです)
      --
      notice : I ignore an anonymous contribution.
      親コメント
  • by shibuya (17159) on 2010年01月02日 13時17分 (#1696859) 日記

    「男の子牧場」で知人男性の個人情報を共有 [srad.jp]とか
    どこかでみたような「アメーバなう」、即CSRFの餌食に [srad.jp]
    も関連ストーリーに入れてよかったのではないだろうか?後付け可能ですか?

  • by masakun (31656) on 2010年01月02日 13時38分 (#1696867) 日記

    ガジェット通信 [getnews.jp]内で触れられているので探してみた、かながわIQさんのエントリ「ガオー!!!アメブロパス流出」 [ameblo.jp]にあるコメント返しによりますと、

    なんかひと段落したのかな??
    漏れたのは芸能人ブログオンリーみたいでしたので大丈夫だと思いますよ~!

    とのこと。でも現時点でもアメブロからのお知らせ [ameblo.jp]は出ていません。

    念のためパスは変えておこうっと。

    # /.の記事で初めて知ったのでID

    • by MeeD (18266) on 2010年01月03日 12時32分 (#1697208)

      芸能人だけ、平文パスワード、ということを考えると、
      芸能事務所に対してBlog作成代行を請け負ってる広告代理店からの流出が可能性高いんじゃないですかね。

      親コメント
    • by shibuya (17159) on 2010年01月02日 14時05分 (#1696881) 日記
      こんな不祥事が発生してもお知らせページに告知・お詫びを出したり
      毎週アメーバブログ利用者にメルマガ送っているくせにメルマガ購読者にお詫び告知をしたり
      するのは後手後手(あるいはやらないポリシー)のサービス主体なんですね。

      とりあえずパスワード変更はしておいた。
      親コメント
    • 今回はもれなかったにしても、一般人の方のblogのパスワードも
      平文でExcelに貼り付けて管理してる可能性と、それが漏れるような管理のしかたを
      している可能性は非常に高いから全然大丈夫じゃないよなー。
      親コメント
      • せめて利用者向けのアナウンスが欲しいところなのに、影響なかったから関係ないのかw

        平文でExcelに貼り付けて管理してる可能性と、それが漏れるような管理のしかたを
        している可能性は非常に高いから全然大丈夫じゃないよなー。

        「年内でクビになった管理者が嫌がらせのためにやった」 [srad.jp]と考える方が可能性高そう。

        オフィシャルブログは知りませんが、一般向けの場合、amebloのパスワードの再発行 [ameba.jp]は

        リマインダーにて、アメーバIDとメールアドレスを記入すると、パスワードの再発行メールが届きます。メールを開いて中にあるURLをクリックするとパスワード再発行画面が開きますので、改めてパスワードをご登録ください。

        というまあどこでもよくある手順なので、「平文でExcelに貼り付けて管理してる可能性」は無いと信じたいw

        でもオフィシャルブログに不正ログインした連中は何をしたかったんだろう。ブログ・ピグの改ざん以外にできることと言ったら、自分宛のプレゼントか。しかし芸能人ほど誰かにプレゼントをできるほどアメG [ameba.jp](現金で買わされるアメーバの収入源)は持っていないんじゃないかと思うし。

        # アメーバピグの合間にスラドに寄ったのでID

        親コメント
        • でもオフィシャルブログに不正ログインした連中は何をしたかったんだろう。ブログ・ピグの改ざん以外にできることと言ったら、自分宛のプレゼントか。しかし芸能人ほど誰かにプレゼントをできるほどアメG(現金で買わされるアメーバの収入源)は持っていないんじゃないかと思うし。

          そんな難しい話じゃないと思いますよ。そこにIDとパスワードがあったらログインしてみたくなるもんですよ。

          「ログインできちゃった。どうしよう」って人に慎重さがなかった――軽率だった――とは思うけど、みんなも言っているように、この事件の肝は、そんな不正アクセスの部分じゃないもんね。

          別のツリーにあるけど、ログインできちゃったって人が不正アクセスで有罪になるのか、興味深いところです。

          --
          LIVE-GON(リベゴン)
          親コメント
  • by Anonymous Coward on 2010年01月04日 12時51分 (#1697518)
    アップロードされていたExcelファイルを入手し、その中身を見ました。
    B列がタレントの氏名で、C列がユーザ名、D列がパスワードです。
    パスワードを見ると、
    ・日付と思われる4桁数字(誕生日?)のもの
    ・ユーザ名(または名前)+日付と思われる4桁数字のもの
    ・年月日の8桁数字(生年月日?)のもの
    ・何らかの4桁数字のもの(キャッシュカードの暗証番号と同じ?)
    ・携帯電話番号らしき数字11桁または8桁のもの
    というものが大半を占めていました。
    (これらは本人が決めたパスワードなんではないかと。)

    そのほか、芸能プロダクション毎のシートでは、
    プロダクションごとに統一されてパスワードが設定されたらしく、
    ・全員が4桁数字
    ・プロダクション名+連番数字2桁
    というところがほとんどでした。
  • どの事象をさして「不正アクセス」としているのか皆目判らない。わざと曖昧にしているのかね?

    1. 今回流出したID/Passwordでのブログの管理機能への不正ログイン
    2. 発端となった管理ファイルの漏洩とそのURLがブログの画像にリンクされた事

    まあ、はっきり言うと1番はどうでもいいので2番の経緯が知りたいですね。
    客寄せになる芸能人のブログを個別にケアしたりそのコンテンツに対して運営会社が介入するのは
    別に驚くべきことじゃないけど、、、なんで管理者がPasswordを平文で管理しなきゃいけないかは、
    全くもって想像の埒外ですなぁ。

    • by Anonymous Coward on 2010年01月02日 16時26分 (#1696933)

      >1. 今回流出したID/Passwordでのブログの管理機能への不正ログイン

      あのID/Passwordはお年玉画像にリンクされてたんだから、
      当然Amebaからのお年玉なわけですよ
      あのID/Passwordでloginしたところで、
      不正になるわけがない

      不正にならないわけがないとは分かっているが、半分ぐらい本気
      自分でpasswordばらまいておいて、
      loginした奴を不正アクセスで追い込めるようだと、
      ゆすりのかっこのネタになりそうなので

      親コメント
      • by starfighter (31940) on 2010年01月02日 18時26分 (#1696982) 日記

        お年玉としてリンクが張られた経緯としては、

        1.「誰か」が問題のExcelファイルを入手
        2.「誰か」がそこに記載してあったうちのひとつである藤本美貴のブログにアクセス
        3.「誰か」がお年玉と題した画像とリンクを記述(場合によってはExcelファイルのアップロード)

        以外は現実的じゃない気がします。
        なので、この「誰か」の行為はおそらく、不正アクセスに該当するでしょう。
        そういう手段でもって公開されたIDパスワードを利用することが不正アクセスになるかどうかはどうなんでしょうね。

        # 「あなたのIDとパスワードはこれです」と言って渡されたならともかく、リストが出てきて、そこからつかったなら、
        # 心情的には不正アクセスとされても仕方ないかもと思う。

        親コメント
      • >不正にならないわけがないとは分かっているが、半分ぐらい本気
        僕も似たような感想を持ちました。

        有名芸能人ブログのID/passが「お年玉」という名目でバラ撒かれたということは、
        真面目な話、運営側の仕掛けた祭り(イベント)だと勘違いしてアクセスした人が少なからずいるはずです。
        実際にアクセスした人がそう主張したとして、事情がどの程度汲み取られるかは法律に詳しくないのでわかりませんが。

        ただ、他人のID/passを不正に入手して使ってはいけないということが広く知られていたとしても、
        「Amebaの芸能人公式ブログ上で」「さもプレゼント然とした形で公開されていた」ID/passを利用することがどれだけ危ういことかは、
        一般人のリテラシーレベルではやや判断に窮する問題だったのではないでしょうか。

        実際、僕も2chに立ったスレで状況を知ったときは、まず口コミを装った広告を疑いました。
        ID/passの漏洩を装った、プロモーションサイトへの誘導なのではないか、と。
        もしそうであれば、情報関係の企業としてはかなり不適切な広告手法だな、とも思いましたが。

        一応補足しておきますが、この件で公開されたID/passを見てのアクセスによる逮捕者が出たとしても、僕は彼らを積極的には擁護しません。
        もう少し賢ければ、あるいは教育の機会に恵まれていれば、ヘマをせずにすんだのにね、という意味で、哀れみは覚えるでしょうが。
        ただ、サイバーエージェントという企業を、心の底から軽蔑するだけです。
        今以上にできるかという問題はさておき。
        親コメント
  • by Anonymous Coward on 2010年01月02日 18時25分 (#1696981)
    無いとは思いたいけども、どっかの段階で悪意が紛れ込んでんじゃないかと疑ってしまう程の、奇特な段階を踏んだ流出事故だと思う。

    一体、何をどういった手順で「お年玉~」とする予定だったのが、どこをどう間違えて、ヤバいファイルを public なサーバに置いて、よせばいいのにご丁寧にリンクまで張ってしまったんだろうか。

    大抵、こういったページの構築って、DBに公開予定ファイル名とかを置いておいて、バッチが走って固定 HTML を生成したりするもんだよね。
    ちゃんとするなら、一旦ステージング用の非公開サーバで実際にバッチを走らせて、HTMLを確認したりするよね(ステージングという言葉は使わないにしても「リハーサルサーバ」だとか、あるいは考え方自体を分ける会社さんもあるけど)。
    そのどこかで誰かがミスったんだとは思うけど。

    ぜひ失敗知識DBにまとめて欲しい。
    • by Anonymous Coward on 2010年01月02日 19時17分 (#1696998)

      こういうことでしょう。普通に悪質な犯罪です。きちんと犯人を捕まえて処罰するべき。

      1. サイバーエージェントのが機密ファイルの適切な管理を怠った。(担当者がUSBメモリを紛失したとか、ハードディスクを消去せずにPCを廃棄したとか。)
      2. 犯人が、たまたまそれを拾得した。(USBメモリを拾ったとか、中古屋PCを買ったと か。)
      3. 犯人が、サイバーエージェントの機密ファイルを見て興奮。犯行を計画。元旦に実行するため、お年玉画像などを用意する。
      4. 犯人が、当該Excelファイルをアップローダにアップロードし、あちこちの芸能人ブログに不正ログイン(不正アクセス禁止法第三条違反、1年以下の懲役)して改竄(電子計算機損壊等業務妨害罪、3年以下の懲役)し、アップローダの当該ファイルにリンクした。
      親コメント
      • by Anonymous Coward on 2010年01月03日 1時35分 (#1697099)

        あー、誤解してた。明らかに悪意バリバリの奴が存在するのな。

        「お年玉」リンクってのは、元々芸能事務所やアメブロが準備してたイベントなんだと思ってた。壁紙ダウンロードできるぜーみたいな。

        違うのな。そんなイベントなんて元々無くて、外部から改ざんされたのか。

        親コメント
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...