[NEWS] 「アメブロ」お粗末リスク管理、ID暗号化もしてなかった
● 「アメブロ」お粗末リスク管理、ID暗号化もしてなかったアメーバニュースでは絶対に取り上げられないが、アメブロユーザにとっては重大なニュースの続き.
2010.01.06
元日深夜、多くの著名人がブログを開設している「アメブロ」で、芸能人ブログのIDやパスワード約450件が流出する騒ぎがあった。アメブロを運営するサイバーエージェント(東京都渋谷区、藤田晋社長)は警視庁に被害届を出したが、日本を代表するIT企業が“最重要データ”を盗まれたとあって、同社には厳しい批判があがっている。
新年早々、とんでもない“お年玉”が届けられた。タレントの藤本美貴、音楽プロデューサーのつんく ♂、女子プロレスラー、ジャガー横田らのブログに、「お年玉」と書かれた“のし袋”画像が登場。クリックすると歌手の小泉今日子や俳優の坂口憲二、川島なお美ら多数の芸能人ブログのIDとパスワードが表になったエクセルのデータにアクセスできるようになっていたのだ。
犯行は(1)何らかの手段でエクセルデータを入手して外部サーバーにアップ(2)藤本らのブログに、のし袋画像とエクセルデータへのリンクを書き込み-の2段階で行われている。これらが同一人物の犯行かは定かでないが、少なくとも(2)が行われたのは1月1日午前1時ごろ。アメブロを狙った“サイバーテロ”は明らかで、同社は元日から緊急対策本部を設置するハメになった。
サイバーエージェント本社は「データにはパスワードがかかっており、1人の担当者以外は社員でも分かりません。その担当者はまったく身に覚えがないと話しており、外部の何者かがパスワードを破ったと考えています。データの暗号化は行っていませんでした」と話している。これに対し、自身もアメブロを利用するITジャーナリストは怒り心頭だ。
「重要顧客である芸能人たちのIDやパスワードを暗号化もせずに管理していたうえ、頼みの綱のパスワードも第三者に破られるほど脆弱だった。同社でブログを開設している人は、常に流出の危機にさらされていたということです」
実際、パスワードは専用の解析ソフトで簡単に破ることができる。せめて中身を暗号化しておけば、仮にパスワードを破られても解読は不可能だったはずだ。
日本有数のIT企業に講釈するのは気が引けるが、エクセルやワードなどマイクロソフト・オフィスの暗号化は、マニュアルを読めば初心者でもできる。「オフィス2003」は若干の手間がかかるが、「2007」は2回クリックするだけで暗号化のパスワードを入力する画面が表れる。
サイバー社が被害者であることは間違いないが、リスク管理が甘かったのもまた事実だろう。
「日本有数のIT企業」ということになっているサイバーエージェント社が、顧客データを盗まれたのは間違いない.
犯人は勿論、方法も判っていない.
それにしても酷い話だ.
ユーザ情報をなんだと思っているんだろう.
簡単に言えば、今この瞬間にも次の被害が発生する可能性が残っていると言うことか ???
せめて、データの暗号化の措置は取られたと思いたいが、どうだかなぁ…….
アメーバニュースに呑気に取り上げられている記事によると「槇原敬之がブログを開始」だそうな.
「何もわざわざこの時期に……」と思ったら、01/01 付けで開設する事になっていて、既に準備が整っていたようだ.
さっさと別のブログに引っ越した方が、安心だと思うけどね.