「ぜい弱性の認識が甘かった」
サイバーエージェントの広報担当者は、取材に対し、アメーバなう、アメブロの被害とも、「CSRF」に対するぜい弱性が原因だと認めた。
被害については、発生や問い合わせがあったその日中に対応し、プロフの消去もすべて元に戻したという。ただ、その日中に対応できる初歩的なセキュリティ対策をなぜしなかったのかについては、こう説明する。
「攻撃リスクはゼロではありませんので、危険度の高低で対策のリストを作ります。確かに、ぜい弱性は認識していましたが、『アメーバなう』の場合、年明けにも反響を見ながら対応する予定でした。『アメブロ』は、これまでセキュリティトラブルがありませんでしたので、対策を取っていませんでした。当日中に対応できますので、コストは関係ないです。攻撃は想定外で、認識が甘かったと言われても仕方ありません」
リスクの判断については、今後見直すという。
「CSRF」のスパム攻撃では、ユーザーの個人情報が漏れたり、金銭的被害があったりする危険性が指摘されている。
これに対し、広報担当者は、「そうした被害は、一切ありません」と断言している。