lenovoのサイト見たら、アップグレードキャンペーンは2/28までらしい!
まだいいやぁ~、と思って何もしていない方はお気をつけて。
鶴見線で海芝浦行ってみたい。
んなこと調べてたら、こちらの方の記事が目に止まった。
http://ameblo.jp/nekoashi/entry-10043301280.html
お出かけとは全然話し違うけど、蕎麦食いたくなった。
朝日新聞に記事が出てました。
以下のような経緯じゃないかなぁ。
1.サイバーエージェントの芸能人ブログ管理者は、そのアカウント情報をExcelで管理していた。
2.そのExcelファイルが誰か、何かのせいで外部のアップローダに流出。
3.しかも、かけていたはずのExcelのパスワードは誰かに解除されていた。
4.ファイルを取得した誰かが藤本美貴のブログに管理者としてログインし問題のエントリを作成。
各ステップでいろいろ問題あるよねぇ。
[1について]そもそも何故そんなファイルが必要だったか?
通常パスワードはサーバ側でも保存せず、ハッシュとかをとって保存するものらしいですよ。
それをExcelで保存しておいたのが問題ですよね。
とはいえ、理由は想像がつきます。
芸能人に代わって
- ブログのデザインのカスタマイズ
- ブログ改ざんや、炎上時の緊急対策のため
などをサイバーエージェントの芸能人担当者が請け負うためでしょう。
※「そもそもアカウントを共有することがセキュリティ上よろしくない!」って話もあります。
サイバーエージェントと芸能人側で別々のIDを持てば良いのでしょう。
しかーし、ひとつのブログに二つ以上の管理者IDを割り当てるには
改造が必要になりそうのでその工数をケチったのかなぁ、なんて推測。
サイバーエージェントさん、対策がんばってください。
[2について]なんで流出したか?
そこの情報は得られていませんが、
・暗号化されていないPC、USBの紛失
・PCやシステムのクラック
・PCやシステムに正当なアクセス権を持つ内部の者の犯行
など考えられますね。サイバーエージェントさん、対策がんばってください。
[3について]なぜパスワードは破られたか?
朝日新聞の記事には以下のようにあります。
「ファイルにはパスワードがかけられていたというが、これが破られた状態で公開されてしまった。」
パスワードというのが、なんのパスワードなのかですね。
私もあまり詳しくないですが、Googleで「Excel パスワード 解除」と検索すると
こんな解除ツールが出てきました。
http://www.vector.co.jp/soft/win95/util/se393783.html
このレベルのものなのかどうなのか~。
サイバーエーいかりゃく
[4について]誰が問題のエントリを作ったか?
犯人は犯罪になる可能性があるとも思わず、軽ぅ~い気持ちでやったんだろうね。
まだ何をしたら捕まるかわからない子がやったんじゃないかなぁ。
ちょっと可哀想。
その他に思ったこと。
[一般ユーザーへの影響]
今回のファイルは、恐らく芸能人のためだけのファイルかと。
なので一般人のパスワードはハッシュされて保存されてるんだろうと思う。
とはいえ、2で書いた辺りのセキュリティ対策がされていないのであれば今後・・・。
[芸能人ユーザーへの影響]
管理者しか見れない情報、非公開情報やアップロードしたけど公開しなかった写真なんか見られてたかもね。
まぁ公開してまずいような情報はブログの非公開プロフィールにも書き込んでないんじゃなかろうか。
また、パスワードは結構辞書攻撃でやられやすかったり、推測しやすかったりするものだったらしい。
だから、芸能人にパスワードの安全基準を説明して再設定してもらう必要がありそう。
ちなみに、最初から身元をさらしてブログを書いている芸能人自身にとって、セキュリティはあまり気にならない問題のような気がする。サイバーエージェントにブログの作成を依頼しているから、例えブログにフィッシングサイトのURL張られたとしても自分のせいじゃない、と言い逃れできるだろうし。
[犯人って・・]
経緯の推測で書いた「誰か」がどこまでイコールなんですかね。。。。
家に篭ってたけどおくりびと、ウォーリー、いのちの食べかた、誰も守ってくれない、M-1と面白いもの見て過ごしたので後悔してない。子供が家にいたら外出しなきゃだけどね。
おくりびと、ストーリーいいね。ラストは最高だけど、それ意外はユーモアとシリアスのバランスがナイス。
おくりびと、ストーリーいいね。ラストは最高だけど、それ意外はユーモアとシリアスのバランスがナイス。