アメーバでセキュリティ欠陥　スパム攻撃、プロフ消去相次ぐ

   サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。

   ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。

2005年4月のミクシィ被害と酷似

「犯人」が自白

   それは、「こんにちはこんにちは！！」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。

   ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん！」という投稿だった。

   この被害は、セキュリティのぜい弱さにつけ込んだ「CSRF」というスパム攻撃によるものだ。攻撃が始まると、アメーバなうには、たちまち感染が広がった。サイバーエージェントによると、発生日の09年12月9日中に修正されたものの、数十件が被害に遭った。

   ところが、今度は、アメブロでも、「CSRF」によるとみられる被害が広がったのだ。「ほまちや」というユーザーによるスパム投稿のURLをクリックすると、アメブロユーザーが「ルーム」に書いた自らのプロフィールがいきなり消され、別の内容にされてしまう。そのプロフにも、同じURLが自動的に張られ、さらに感染が広がった。同社によると、今度の被害はなんと200件ほどに膨れ上がった。

   これに対し、東京都内在住の男性（19）という「はまちや2」さんは、自らのアメーバブログ「ぼくはまちちゃん！」で12月15日、自らの名前をもじって悪用されたと怒りをぶつけた。そして、同日更新した日記で、「犯人」のIPアドレスを暴く試みを始めた。

(続く)