見出し画像

好きだからこそ書いた、 noteの【再発防止策】までを読んだ後の違和感

kaname

まず、ぼくはnoteが好きで使っているし、これからも発展してもらいたいと思っています。ただ、今回の報告?公表された内容は違和感がいくつかあり残念に感じたのと、対岸の火事ではなく、ぼくらの後学の為にもなればと思って書こうと思った次第です。
(僕自身広報担当でも危機管理の専門家でもないです)

報告すべき内容とは

そもそも、こういう事態になった時に何を報告する必要があるんだっけ?ってところですが、少なくとも下記については、不利益をこうむった人へ報告が必要だと思います。

・起きた事の概要
・それによって発生した影響
・何が原因だったのか
・暫定対応
・恒久対応
・詳細(経緯)

今回発生した不具合については下記2つがnoteの公式なコメントとして出されているようなので、これらについて見てみました。

※違和感があった所については最後の方に纏めて書いてます

第一報↓

第二報↓

起きた事の概要

第一報で下記のように記載されていました。

発生内容
note利用者が直近でログインしたIPアドレスが、記事詳細ページのソースコードから確認可能な状態でした。
なお、
・IPアドレスで特定個人の住所など個人情報を入手することはできません
・IPアドレスを利用して他のサイトにアクセスした履歴が本人だと断定することはできません。

ソースコードを見るとユーザーがログインした時のIPアドレスが記載されているという事でした。たしかにある…

画像1

それによって発生した影響

どれくらいの影響があったのかについては、第一報に記載がされていました。

対象者
noteアカウントを保持し、2記事以上投稿したことのあるnoteユーザー何が原因だったのか

直近で公表されているnoteの月間アクティブユーザー数は、2020年3月時点で4400万人を超えているそうなので、かなりのユーザーへ影響が及んでいたと推測されます。

何が原因だったのか

第一報時点では原因が判明していなかったのか、記載がなく第二報に記載されていました。

原因
投稿者のIPアドレスを意図せず露出してしまうコードが残っていました

暫定対応

第一報で記載があり、この時点で対応は済んでいたようです。

修正内容
IPアドレスが外部から閲覧できないよう修正しました。
また、再発防止策等については現在検討中のため、確定次第追記いたします。

恒久対応

第二報で記載がありました。

対策
・全ソースコードに対して、IPアドレス及びそれ以外のセンシティブな情報が露出するような同様の欠陥がないことを調査し、さらに対応するデータベースからIPアドレスのデータを削除しました
・CEO・CTO直轄の特別対策チームを結成して、直接の対策と構造的な課題や開発体制までを含めた徹底的な見直しを行います
・ソースコードのレビューおよびテストに今回の不具合や関連するセキュリティに対する観点を追加します
・データの持ち方やセンシティブな情報にアクセスするプロセスを見直します
・外部の複数の専門企業に依頼し、noteの脆弱性を発見・対策できるよう第三者の目線からの脆弱性診断をおこなってまいります

詳細(経緯)

これは第二報で記載されていました。

Q. 発覚経緯は?
お客様から8月14日(金)6:14にお問い合わせを頂き、調査を進めたことで同日10:32に発覚しました。その後、10:58から応急処置としてnote全体へのアクセスを遮断しています。11:56に修正対応が完了し、復旧しました。

違和感があったところ

全体の内容見ると必要な事についてはシンプルに記載がされていたのかなと思います。
で、違和感があったところですが…

違和感①
ユーザーへの影響についての説明が不足している

今回、影響としては「2記事以上投稿しているユーザーのIPアドレスが他者から確認できる状態だった」、「IPアドレスでは特定個人の個人情報は入手できない」というような事が書かれていました。

これは少し説明が不足していて、IPアドレスがわかるという事は、言い換えればユーザーの住所の途中までが解ってしまう可能性があります。その点についての説明が足りていませんでした。

終始「個人情報は入手できない」であったり「一般的なIPアドレスでは…」というような説明で「今回の不具合は大した事はないよ」と、言っているかのようにも感じました。

違和感②
今(2020年 8/15 02:00現在)も検索エンジンのキャッシュにデータが残っている事、それに対しての対応状況の報告がない

GoogleとBingは確認したけど見れる状態だし、それが明確なはずなのに、その点には触れられていませんでした。

キャッシュは自社で保存・公開しているデータではないと割り切っての判断なのかもしれないですが、自社サービスの影響で、まだ第三者が閲覧できる状態になっているので、報告や対応は必要と感じます。

他にもいくつかありますが、そこは足りないんじゃないか、と最も感じた2点を挙げさせてもらいました。

さいごに

冒頭でも書いたのですが、ぼくはnoteが好きで使っているし、これからも発展してもらいたいと思っています。
そして、自分たちが実際に同じような状況に陥った時に、より良い対応ができるように、と思ったので感じた事を書きました。

みなさん、緊急事態って明日来る可能性もあるので備えましょう!




この記事が気に入ったらサポートをしてみませんか?