サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。
確かに、ぜい弱性は認識していましたが、『アメーバなう』の場合、年明けにも反響を見ながら対応する予定でした。
リスクの判断については、今後見直す
いつもAmebaをご利用いただきまして、ありがとうございます。
一部の皆様より質問いただきました、弊社サービスのセキュリティ対応について、
ご報告いたします。
弊社では新規サービスの開発時はリリース前に、
既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。
調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や
破壊につながる可能性がある部分については即時の対応を、
それ以外の部分については一定期間内での対応実施を徹底して参りました。
現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、
緊急対応を行っております。
ご迷惑をおかけいたしますが、ご理解いただきますよう、お願いいたします。
弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。
要するに、
- 確かに脆弱性だけど大した被害は出そうにないしウチ的にはOK
- データさえ元に戻せば問題ないんじゃん?
- 今のとこ放置だけど今後どうするか決めるよ
- ていうか外部チェック受けてたんで大丈夫のはずなんですけどね(外部のせいにしたいのか技術力不足で修正できなかったと言いたいのか)
ていうことでありまして、広報担当者にこんなこと言われちゃったら、技術者としては恥ずかしくて「サーバーエージェントで技術者やってます」なんて公言できないんですけど、どうなんですかその辺。こんなゆるゆるな発想で、おまけに技術面だけじゃなく危機管理すらも出来て無くて、はまちちゃんにも、
アメブロまわりを数分程度ざざっと眺めただけでも、
いたるところでCSRFの対策が入ってないようなんだけど、
この規模のサービスなら、いちおうそれなりにやっておいた方が…。
たぶん現状だと脆弱性をひとつひとつどこかに報告するとかっていうレベルじゃないです…。
(これらをセキュリティホールと呼ぶのか仕様と呼ぶのかは知らないけど…)
とか心配されちゃってて、なんかもう可哀相になってきます。ダメに決まってるじゃんね。
広報担当者はそうは言っても、サーバーエージェントの技術陣は徹夜で全面修正作業してると思いますし社長もそう厳命してるはずです。ホントにお疲れさまです。頑張ってください。多分、本当に悪意のある人間もいま一生懸命頑張ってると思いますんで。