江戸っ子が斬る!! 感情的起因からの論理思考

< 新しい記事

新着記事一覧(全4718件)

過去の記事 >

2010年01月02日

アメーバブログで芸能人パスワード流出

テーマ：気になるデジタルニュース(573)

カテゴリ： Blog

機密文章・顧客データ・個人情報など大事なデータを簡単操作で暗号化し、データ漏洩の危険から守る　Dr.Cypher P

煽る形になったら何だったし、流石に祭ももう1日以上経過すれば一頻りだろうからエントリ起こす

＞『アメーバブログ』で前代未聞の情報漏えい！芸能人ブログのパスワード流出で芸能人「ショック」と嘆く
http://getnews.jp/archives/42934

ガジェ通記事らしく相変わらず歪んだキテレツ解釈でイミフな文章だらけだが。

ただ単にサムネ表示される画像のアンカータグの先をアメーバの画像フォルダ内の画像自体じゃなくてファイルに書き換えただけだろ

なのに

＞その画像のみがエクセルデータを含んでいる

PCでの「ファイルを含んでる」の意味って解って使ってる？

＞管理表には数百人の芸能人ブログのIDとパスワードが記載されており、ブログデザインの進行進捗なども同時に書かれている

２ちゃんのまとめだのからも伺えるが

多分、デザインの外注先のNって人がトロイか何かに感染して漏らしたか

http://niku.uwasa2ch.net/bbs/morningcoffee1262275791.html

この２ちゃんのスレもBBSだのでよくあるLINKトラップ観点でタイトルつけてしまってるけど

要は芸能人側からの漏洩ではなく（だって芸能人やマネージャーだのが他人のリストなんて持ってっこ無いだろ）

ファイルを入手したクラッカーが藤本美貴、ジャガー横田、つんくのBlogにアクセスして、ファイルをUP。画像からのアンカーのソースコードを書き換えて、踏み台にして撒いたって事だろ

藤本美貴／アロハロ！

つんく♂ 4CD

＞複数の芸能人のブログ画像がエクセルデータになっているため、『アメーバブログ』がシステムバグを発生させている可能性が高い。

システムとかバグの意味、理解してないのが良く伝わる文面だ

問題なのは仕様や設定だろ

＞可能性は低いものの、芸能人たちのパソコンがウイルスに感染し、そのような現象を起こしている可能性もある。

ねーよ（WWW

先にも書いたが芸能人やマネージャーが他所の芸能人のPWDだの、ブログデザインの進行進捗なんか必要ないし
その芸能人がハッカーかクラッカーじゃない限り、そんなファイルもってっこ無いだろ！

論理思考能力が低いと、かくも出鱈目な文面書くか

問題なのはサイバーエージェントの対応

これPWDの変更呼びかけは少なくとも漏れたリストの人たち全員に必要になるし

そのまえにアメブロ側からの漏洩を防ぐ意味合いからすれば
穴をふさぐのはこれBlogのIDとPWDが解ってればエントリ内のソースコード書き換えるか
もしくはそこまでしなくても、エントリや画像の削除ボタン押すだけで対応できただろうに

Webに漏れたExcelファイルなんか複製可能だから、本体側止めても、他所で流れまくるから、其処に掲載されてしまってる情報を無価値する意味でPWD変更を急ぐのが必須で事後報告でもいいからリストの全員分、PWD変更をするのが次の手だよね

今回のケースだとリストにあった芸能人以外の危険度は低いものの
上場企業のコンプライアンスとして必須だろ

なのに、何この対応
http://www.cyberagent.co.jp/pdf/2010/0101.pdf
（PDFが開きます）

リリースとしてPDF1枚上げただけ

芸能人だけ特別扱いだったらCGMやめちまえば？

しかもAmebaなうでやらかした直後だろ

＞URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
http://www.itmedia.co.jp/news/articles/0912/11/news033.html

挙句、負け惜しみに

http://www.itmedia.co.jp/news/articles/0912/22/news093.html

＞なうは、CSRF（クロスサイトリクエストフォージェリ）脆弱性をついたいたずらにも悩まされた。長瀬さんによると、この脆弱性はあらかじめ把握していたという。「新サービスは常に外部のセキュリティ企業のチェックを受け、危険度が高い順に対応している。指摘されたCSRF脆弱性は危険度のレベルが最高より1段階低かったため、年明けごろ修正する予定だった」が、問題が起きた翌日には修正した。

知ってて放置？
翌日までに修正可能な程度のものを
リリースしちゃう前にふさがない意味がわからねえ

んで、こんな宣言したばっかだよな

＞Amebaのセキュリティ対策について
http://ameblo.jp/staff/entry-10411733287.html

既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。

調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や
破壊につながる可能性がある部分については即時の対応を、
それ以外の部分については一定期間内での対応実施を徹底して参りました。

監査はザルで実質には機能してないってことだろ

挙句、社長やスタッフのBlogは今回の情報漏洩をいまだにエントリなどで謝罪してない

＞年末年始のサポート休止期間について
http://ameblo.jp/staff/entry-10418259558.html

リリースをUPしたのはサイバーエージェントじゃなくて
サイバーエージェントから出資を受けてるECナビ

http://twitter.com/usapon/status/7267694028

＞アメブロへの不正アクセスについてですがリリース出しました。真相究明に向けて警察ととも連携しながら対応進めていきます。

外部企業側がリリース出して本家は何もしてないとかどんだけ丸投げなんだよ（苦笑

しかも、そういう内部事情までTwitter側でみえちゃうのも、本来のコンプライアンス的にはどうかと

Twitterの特徴の一つであるリアルタイムに逆行してる遅延対応で
挙句、Amebaなうが機能してないってことのみ伝わるね

しかも

http://twitter.com/usapon/status/7268254419

＞ご指摘ありがとうございます。　RT @oranie: @usapon ごめんなさい。非常におせっかいな事なんですが、法律の参照にwikipediaよりIPAの文書にした方が良いかと。http://bit.ly/7zoZGl

文殊の知恵の例えもあるけど
内部側には3人以上いるよね？
技術的にも法務的にも諸々不安なんですけど…

「謝罪なう」でなくて、不正アクセスに対してのリリースを優先したって態度からも

「Amebaユーザーはおざなり」

「芸能人Blog大切」

って内部のスタンスしか伝わらないんだよね

コンテクストやコミュニティー形勢の根幹的な所が欠落してる運営ですって自分達で表現しちゃってるし

黒字で浮かれてる場合じゃねーだろ

犯行側についての推理だけど

1月1日1時1分1秒に更新て事からタイマーでの投稿は明らか

・年末年始休業
・ユーザーのアクセスやトラフィックが増えるであろう時間帯

これらを考慮した意図が読み取れる

ただ8月11日以降に始めたブログは入ってないExcelファイルだそうなので
単純なクラックなら入手直後にばら撒けば、夏厨ども巻き込んでの祭も想定できたのを

・サイバーエージェントの引越

にあわせてる意図も感じられるんだよね

内部事情に詳しい＝内部か取引先関係者って線も

愉快犯というより、内部の人的リソース被害の実害が最大限になるであろうを狙ってやってるので

内部怨恨とかが濃そうだよなー

でも企業自体にダメージを与えるとすれば
株主総会とかの時期前にやって風評から株価や資産に直接ダメージで影響出すとかの方が効果的だから

この事件で直接対応に当たる部署＝システム関連、もしくはアメブロの運営に恨みを持つものの犯行

ってのはいつもの俺的に深読みしすぎ？

トロイでNさんのエクセル手に入れてお正月に撒いてみたって愉快犯の可能性もあるけどな

「お年玉」って画像にLINK貼ってる行動からして