記事投稿者のIPアドレス漏えい、調査結果と再発防止への取り組みを発表(note) | ScanNetSecurity
2020.10.27(火)

記事投稿者のIPアドレス漏えい、調査結果と再発防止への取り組みを発表(note)

note株式会社は9月30日、8月14日に公表した、同社が運営するメディアプラットフォームnoteにて記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた件について、その後の対応と安全性確保のための施策、再発防止策について発表した。

インシデント・事故 インシデント・情報漏えい
note株式会社は9月30日、8月14日に公表した、同社が運営するメディアプラットフォームnoteにて記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた件について、その後の対応と安全性確保のための施策、再発防止策について発表した。

これは8月14日午前6時14分に、利用者からnoteの記事詳細ページのソースコードからIPアドレスが確認できる旨の問い合わせがあり、同社で調査したところnoteアカウントを保持し2記事以上投稿したことのある全ての利用者が対象であることを確認したというもの。

同社ではソースコードから確認できないようにするために、対応するAPIレスポンスからIPアドレスのデータを削除し、8月14日午前11時56分にnoteへのアクセスを復旧、同日午後10時21分には原因および再発防止策を発表していた。

同社では8月15日以降、再発防止策にのっとり、CEOとCTO直轄の特別対策チームを結成し、広範囲にわたる修正や脆弱性診断を実施してきた。

同社によると、本件の主原因は、システム実装時の考慮漏れにより投稿者のIPアドレスを意図せず露出してしまうコードが残っていたためで、対策としてサービスの全ソースコードに対しIPアドレスやそれ以外の情報が露出する恐れがある同様の欠陥に関する調査を行い対処とセキュリティ強化を行った。また、既に記録された本件情報のインターネット上のキャッシュについても、二次被害を防ぐために関係サービスと連携して削除を進めており、現時点でウェブ魚拓、Bing、Wayback Machineの3サービスは全削除を確認している。

同社では外部のセキュリティ専門機関にも調査を依頼し、本件とは異なるその他情報への安全対策を進めており、すべての記事ページのAPIレスポンスから現在のサービス運営に必須ではない項目(SNSアカウントのユーザーIDや登録名、下書き保存してる記事数等)を削除、事業者に求められる特定商取引法上の表記として、一部の利用者本人が記載していた情報(事業者名、連絡先)について、ソースコード上から削除した。

同社では下記の再発防止策を導入し管理体制を強化し信頼回復に努めるとのこと。

1.監視
意図しない漏えいの早期発見と通知を行うシステムの導入
複数の外部セキュリティ専門機関による、定期的な脆弱性診断の実施
不正アクセス検知システム(WAF)や侵入検知システムを導入し不正な可能性が高いアクセスをブロック

2.認証
クラウド内の各種権限設定の見直し

3.会員登録者向けのセキュリティ全般強化
会員登録している利用者に対し不正利用を防ぐセキュリティ強化策を実装
パスワード設定時の強度測定を追加
ログイン済みの利用者が自身のクレジットカードや銀行口座の情報を登録・変更する際、再度パスワード入力が必要な仕様に変更

4.その他
セキュリティポリシー、データ取得対象・保存対象・保存期間を見直し
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/15~11/30迄 創刊22周年記念価格提供中★★
★★10/15~11/30迄 創刊22周年記念価格提供中★★

2020年10月15日(木)~11月30日(月) の間 ScanNetSecurity 創刊22周年記念価格で提供。

×