アメーバでセキュリティ欠陥　スパム攻撃、プロフ消去相次ぐ

アメーバのスタッフブログが炎上

   「ほまちや」というスパム投稿のユーザーは、騒ぎになって慌てたらしい。自らのアメーバブログで2009年12月14日、「アメーバ利用中の皆さんへ」というエントリーを上げ、プロフの「こんにちはこんにちは！！」というものをクリックしないよう呼びかけた。それは、ワームというウイルスが広がっているためだとした。

   ところが、「はまちや2」さんが犯人を暴く試みを始めた15日、このユーザーは、「私がほまちちゃんの犯人です」と自白した。前日のエントリーはウソだとして、一転して謝罪したのだ。プロフは置き換えただけで、ほとんどの部分は元に戻るとしている。アメーバなうの犯人とは違うともいう。サイバーエージェントも、アメブロの「犯人」と認めている。

   動機としては、覚えたての技術を使いたいと、「CSRF」に対するアメーバのセキュリティ対策漏れを突いたというのだ。ただ、ネットユーザーなら14日のエントリーをウソと見抜けた方がよいとして、「今回、私がここに書いた文章は果たして本当でしょうか。それはあなたが判断して下さい」とも書いている。

   一方、アメーバのスタッフブログでは15日、「ルーム表示不具合」が生じたとして、セキュリティ対応で不具合を修正したことを明らかにした。また、16日には、セキュリティ対策について説明し、「影響の大きな部分」を認めて、緊急対応を行っているとしている。

   ただ、事前に外部監査したなどの説明に留まったため、コメント欄には、「何を伝えたいのか、さっぱりわからない」「『ぼくはまちゃん』騒動を忘れていたんでしょう」などと意見が相次いだ。17日までに400件以上も殺到して、ブログが炎上している。

「ぜい弱性の認識が甘かった」

   サイバーエージェントの広報担当者は、取材に対し、アメーバなう、アメブロの被害とも、「CSRF」に対するぜい弱性が原因だと認めた。

   被害については、発生や問い合わせがあったその日中に対応し、プロフの消去もすべて元に戻したという。ただ、その日中に対応できる初歩的なセキュリティ対策をなぜしなかったのかについては、こう説明する。

   「攻撃リスクはゼロではありませんので、危険度の高低で対策のリストを作ります。確かに、ぜい弱性は認識していましたが、『アメーバなう』の場合、年明けにも反響を見ながら対応する予定でした。『アメブロ』は、これまでセキュリティトラブルがありませんでしたので、対策を取っていませんでした。当日中に対応できますので、コストは関係ないです。攻撃は想定外で、認識が甘かったと言われても仕方ありません」

   リスクの判断については、今後見直すという。

   「CSRF」のスパム攻撃では、ユーザーの個人情報が漏れたり、金銭的被害があったりする危険性が指摘されている。

   これに対し、広報担当者は、「そうした被害は、一切ありません」と断言している。