ZAPAブログ2.0

株式会社サイバーエージェント（本社：東京都渋谷区、代表取締役社長CEO：藤田晋、東証マザーズ上場：証券コード4751）が運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。
また同時に、オフィシャルブログのID、パスワード約450件等を記述したエクセルファイルが外部に流出したことを確認しております。

「プロの脆弱性対策」に書いた内容と同じように、

・できるかぎりスルーし、事実を表に出さない
・スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める
・被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める

いつもの対応をしています。

アメブロのトップページに被害状況は報告せず、サイバーエージェントのトップページで控えめにアナウンス。そして、”不正アクセス被害”として、被害面を強調しています。

PDFでは不正アクセス被害がメインで、パスワード流出がついでのように書かれています。ただ問題は、「パスワードが流出したから不正アクセスされた」ことではないかと思います。

芸能人ブログに不正アクセスされてしまった理由

なぜ不正アクセスされてしまったのか？
それはもちろん、2010年になって、「お年玉画像と芸能人ブログのパスワード入りエクセルファイルへのリンク」が含まれた記事が投稿されたことによります。
芸能人自らパスワードを公開するようなことは考えにくいので、お年玉記事を投稿したのは、芸能人ブログへログインできた人物になります。
芸能人ブログへログインし、お年玉記事を投稿した人を仮にHとします。

最初に芸能人ブログへログインしたHは誰か

最初に芸能人ブログへログインし、お年玉記事を投稿したHは一体誰なのか。
その鍵は、お年玉画像からリンクされていた、芸能人ブログのパスワード入りエクセルファイルをアップロードした場所にあります。
アメーバサーバー内から直接ファイルが流出したのであれば、アメーバ内のサーバーにエクセルファイルがあるはずです。
サーバー管理者が少しくらい設定を間違えたとしても、アメーバ内サーバへのリンクを張り間違えるくらいです。

ところが、Hがリンク先に選んだのは「外部アップローダー」。
まず初めに外部アップローダーにパスワード入りエクセルファイルがあり、そこへのリンクをお年玉画像とともに投稿しています。
ということは、外部アップローダーにあるパスワード入りエクセルファイルをダウンロードした人か、アップロードした本人がHです。
流出したエクセルファイルを使ってログインし、お年玉画像とともにそのファイルをさらに拡散させたように見えます。

その上、お年玉袋がAmebaに合わせた緑だったり、投稿したのが1月1日の1時頃だったりと、犯人が故意にやったように思える部分があります。

なぜ、パスワード入りエクセルファイルが漏れたのか？

今回の「不正アクセス被害」は、そもそもサイバーエージェントが芸能人ブログのパスワード入りエクセルファイルを流出させてしまったことが問題です。
重要ファイルであるパスワード入りのファイルを流出させたりしなければ、不正アクセスはされていません。
サイバーエージェントは不正アクセスの被害を強調していますが、簡単に芸能人のパスワード入りファイルを流出させてしまったことの方が問題です。
サイバーエージェントの重要なビジネスである芸能人ブログのパスワードがこんな簡単に漏れるようでは、普段の管理自体に問題があるとしか思えません。
パスワードが簡単に漏れるようでは、他に何が漏れてもおかしくない状況です。

パスワードの管理方法はこれで良かったのか

パスワード入りファイルを流出させてしまったことともう一つ重要な部分は、「パスワードの管理方法はこれで良かったのか？」ということです。
芸能人ブログのパスワードはこのように管理されていました。

1. エクセルファイルのシートに芸能人の名前と暗号化されていないパスワードの記載
2. パスワードは数字4桁や事務所名の後に数字連番など、強度の低いパスワード
3. エクセルファイル自体のパスワードロックは無し

エクセルファイルにパスワードが平文で記載されていたことは驚きです。
「ログインパスワードを生の状態でエクセルファイルに保存して管理」というやり方は、IT企業では一般的なのでしょうか。
このエクセルファイルを管理していた人を仮にN（追記：仮名をNに変更しました）とすると、ファイルが漏れた経緯は以下のようなパターン等が考えられます。

1. Nが自ら流出させた
2. Nがどこかで流出させてしまった
3. Nから盗んだ
4. そもそもサイバーエージェント内では誰でも触れることができた。そしてどこかから流出してしまった。

どのようなパターンにせよ、流出したことは事実です。
それにプラスして、ファイルさえ手に入ればパスワードが誰でも閲覧できてしまうことが今回の不正アクセス事件につながっています。
サイバーエージェントでは常にファイルの流出・不正アクセスの危険性があったことになります。

芸能人ブログにログインした人は不正アクセスで防止法違反で逮捕されるか

さて、お年玉プレゼントとして始まった今回の「アメブロお年玉パスワード事件」。
芸能人ブログに投稿されたお年玉画像のリンクからエクセルファイルをダウンロードし、芸能人ブログにログインしてしまった人は逮捕されるのでしょうか？
お年玉だと思ってダウンロードし、その中にパスワードが書かれていて、何かのプレゼント用の暗号だと思ってログインしてしまったとしても。

今日の産経新聞にはこのように書かれていました。

同様の現象はほかの複数の芸能人ブログでも確認され、そのＩＤとパスワードを用いて興味本位でログインを試みた人がいたとみられる。

　不正アクセス防止法では他人のＩＤ、パスワードを無断で入力しログインする行為を禁じており、処罰の対象となる。サイバー社は流出したパスワードを同日正午までに変更、流出経路の特定を急いでいる。

「アメブロ」で芸能人パスワード大量流出　不正アクセスも - MSN産経ニュース

不正アクセス行為の禁止等に関する法律によって、どう判断されるのでしょうか。

流出経路や犯人Hの特定など、今後の報告を待ちたいところです。逮捕されるべきなのは、最初に芸能人ブログへログインし、お年玉画像を貼ったHです。ログインの情報から、犯人特定を急いでもらいたいですね。それとサイバーエージェントは、芸能人ブログのパスワードや電話番号などを流出させてしまっているので、一言詫びた方が良いように思います。



追記：アメブロお年玉パスワード事件で、元ホリプロ社員が逮捕！

関連リンク

• 「アメブロ」で芸能人パスワード大量流出　不正アクセスも - MSN産経ニュース
• ２０１０年　新春Ｗトップインタビュー＜1＞メディア企業として飛躍！
  　サイバーエージェント　藤田晋社長
• プロの脆弱性対策
• 日本一のアメーバブログが1年間で約50万人増やす