サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。
ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。
2005年4月のミクシィ被害と酷似
「犯人」が自白
それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。
ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
この被害は、セキュリティのぜい弱さにつけ込んだ「CSRF」というスパム攻撃によるものだ。攻撃が始まると、アメーバなうには、たちまち感染が広がった。サイバーエージェントによると、発生日の09年12月9日中に修正されたものの、数十件が被害に遭った。
ところが、今度は、アメブロでも、「CSRF」によるとみられる被害が広がったのだ。「ほまちや」というユーザーによるスパム投稿のURLをクリックすると、アメブロユーザーが「ルーム」に書いた自らのプロフィールがいきなり消され、別の内容にされてしまう。そのプロフにも、同じURLが自動的に張られ、さらに感染が広がった。同社によると、今度の被害はなんと200件ほどに膨れ上がった。
これに対し、東京都内在住の男性(19)という「はまちや2」さんは、自らのアメーバブログ「ぼくはまちちゃん!」で12月15日、自らの名前をもじって悪用されたと怒りをぶつけた。そして、同日更新した日記で、「犯人」のIPアドレスを暴く試みを始めた。
アメーバのスタッフブログが炎上
「ほまちや」というスパム投稿のユーザーは、騒ぎになって慌てたらしい。自らのアメーバブログで2009年12月14日、「アメーバ利用中の皆さんへ」というエントリーを上げ、プロフの「こんにちはこんにちは!!」というものをクリックしないよう呼びかけた。それは、ワームというウイルスが広がっているためだとした。
ところが、「はまちや2」さんが犯人を暴く試みを始めた15日、このユーザーは、「私がほまちちゃんの犯人です」と自白した。前日のエントリーはウソだとして、一転して謝罪したのだ。プロフは置き換えただけで、ほとんどの部分は元に戻るとしている。アメーバなうの犯人とは違うともいう。サイバーエージェントも、アメブロの「犯人」と認めている。
動機としては、覚えたての技術を使いたいと、「CSRF」に対するアメーバのセキュリティ対策漏れを突いたというのだ。ただ、ネットユーザーなら14日のエントリーをウソと見抜けた方がよいとして、「今回、私がここに書いた文章は果たして本当でしょうか。それはあなたが判断して下さい」とも書いている。
一方、アメーバのスタッフブログでは15日、「ルーム表示不具合」が生じたとして、セキュリティ対応で不具合を修正したことを明らかにした。また、16日には、セキュリティ対策について説明し、「影響の大きな部分」を認めて、緊急対応を行っているとしている。
ただ、事前に外部監査したなどの説明に留まったため、コメント欄には、「何を伝えたいのか、さっぱりわからない」「『ぼくはまちゃん』騒動を忘れていたんでしょう」などと意見が相次いだ。17日までに400件以上も殺到して、ブログが炎上している。
「ぜい弱性の認識が甘かった」
サイバーエージェントの広報担当者は、取材に対し、アメーバなう、アメブロの被害とも、「CSRF」に対するぜい弱性が原因だと認めた。
被害については、発生や問い合わせがあったその日中に対応し、プロフの消去もすべて元に戻したという。ただ、その日中に対応できる初歩的なセキュリティ対策をなぜしなかったのかについては、こう説明する。
「攻撃リスクはゼロではありませんので、危険度の高低で対策のリストを作ります。確かに、ぜい弱性は認識していましたが、『アメーバなう』の場合、年明けにも反響を見ながら対応する予定でした。『アメブロ』は、これまでセキュリティトラブルがありませんでしたので、対策を取っていませんでした。当日中に対応できますので、コストは関係ないです。攻撃は想定外で、認識が甘かったと言われても仕方ありません」
リスクの判断については、今後見直すという。
「CSRF」のスパム攻撃では、ユーザーの個人情報が漏れたり、金銭的被害があったりする危険性が指摘されている。
これに対し、広報担当者は、「そうした被害は、一切ありません」と断言している。