※以前公開した株式会社ZIGの運営するVTuberファンクラブサイトMechuの件を多少分かりやすくなればと書き直したものです。

https://note.com/yuki_sukosuko/n/nb2673d5aa657

 以前書いた↑のnoteは一先ず利用者に分かれば十分だと急ぎで書いたため、わかりにくい用語や表現があるとの意見も見られましたので公開後の反応を踏まえてわかりやすいようにまとめ直しました。

 株式会社ZIGの運営するVTuberファンクラブサービスMechu(ミーチュー)にて全ユーザーのユーザー名とメールアドレス、パスワードが流出した件について 

 mechuとは

月額料金制のVTuber支援サイトでありクレジットカードを登録し月額1000円〜50000円までの複数プランから好きなものを選び対象のVTuberへ支援が可能。 

基本的な特典としてVTuberと支援者を交えたチャットルーム(以下ルーム)に参加できる。 

その他の特典としてVTuberによって異なるが支援しているVTuberとゲームをプレイしたり外部配信プラットを利用し行われる限定配信の視聴が出来たり、ボイスやイラストの配布等がある。

VTuberのリスナーにわかりやすくいうとpixivFANBOXの様なものである。

 また一定の支援額が集まると当時の仕様で週に1度15分間の通話権利の抽選が行われる。(サイト内では密会と表記されている) 月額プランによる差ですが金額が高いほど当選率が上がるというもの。

 筆者が発見した流れと流出内容 

 4月にサービススタートした時点で課金の不具合やURL手打ちでルームに入れてしまう、ルーム閲覧の不具合等のかなり杜撰なもので6月初頭に筆者と友人数名で集まった際に探したら何かまだ出てくるのではないかという話になり一先ず各ページのソースを見ることにしました。 

 友人の中の1人がルーム開設しているVTuberのメールアドレスらしきものがwebページソースに記載されているのを発見。

複数人で確認したところルーム開設中の全てのVTuberのメールアドレスを発見。 友人の中の1人がIT関係の仕事をしておりユーザーの情報もどこかのページのソースにあるのではとの考えに至りトップページのアドレス末尾に特定の文言を試しに入力したところたまたま管理者向けのログインページにたどり着く。 

 ここでwebページのソースを確認したところ全ユーザーのユーザー名とメールアドレス、パスワードらしきものが羅列されている事を確認。 友人曰くこのパスワードはそのまま記載されている訳ではないが簡単に解読可能とのこと。 筆者は詳しくないため自分の流出した情報からパスワードを使える状態に変換可能か試すためにGoogleで少し検索したところあっさりパスワードが解読出来ました。 どうやらBASE64という符号に置き換えただけの状態で記載されておりました。

 記事公開後に確認した反応をまとめると厳密には違うがわかりやすく表現するならひらがな表記からローマ字に変換して記載した状態とさほど変わらないとのこと。

 筆者も所謂、言語翻訳に近い変換サービスにソースに記載されている文言を入力し変換の形式を順に当たり自分のパスワードの文字列になるまで試すだけという簡単なものでしたのでこの例えが1番しっくりきました。 

 運営への報告と対応 

 ここで友人達と流出の状態をまとめ運営へ報告する用意をしました。 筆者はZIG関係者へすぐに連絡できる手段があったためそこから内部に直接連絡してもらうように情報提供をしつつ友人の中の1人もZIGの内部の人間と直接連絡可能であったためこの2つのルートから報告することにしました。

 報告後に関係者の方より対応済みの連絡をいただきこちらで確認したところ一部ページに記載されている部分のみが修正されており肝心の全ユーザー情報は全く触れられておらず再度連絡する。

 しかし運営よりその関係者に対し軽視と取れる発言とともに対応済みということでまともに取り合ってもらえなかったとの返答が来たとのこと。

これを受けてその方に運営へ原文そのまま送るようにお願いしつつ管理者ログインページの件を再度送ったところようやく対応が始まる。

 ここまで緊急メンテナンス等のアナウンスは一切なくサービスは稼働したままである。

 通報したのが夜分遅かったため翌日に友人達と再び確認したところ全ユーザーの情報は閲覧不可になっていたがVTuberの情報だけは一部ページにて未だ閲覧可能な状態であった。 表で一切サービスも止めずにこのままもみ消す可能性を危惧した筆者はちょうどルーム開設をしたばかりのVTuber犬山たまき氏へ連絡することにしました。 ZIG自身が大々的に宣伝していたこともありこの方から指摘があれば真っ当な対応をせざるを得ないのではと思いメールや匿名メッセージサービス等複数からソースを提示しつつコンタクトを取ったところ友人の中の1人がたまき氏より運営に連絡する旨の返信を頂きました。 

 通報の翌日の午後にようやく緊急メンテナンスのアナウンスがなされるもVTuberのメールアドレスのみの流出というアナウンスで肝心の全ユーザー情報の流出には全く触れられておらずでした。 流石に誠実さに欠けると感じたためnoteにて経緯をまとめたものをTwitter上で発信し他サービスで同じパスワードを使い回していたらすぐに変更するように呼びかけました。

このとき正式なアナウンスがないにも関わらずZIG所属のVTuberから利用者への呼びかけもあり、ようやく流出の件が表に広まることとなりました。 

 しかしながらその後のZIGの発表には矛盾も多くパスワードに関しては暗号化済みのものであるため安全であると言った内容。

パスワードの暗号化の件については筆者の発見の経緯でも触れましたがBASE64という形式に変換されていただけで素人の筆者でも言語翻訳と同じような手順で簡単に解読可能な状態であったためこれを本気で安全だと認識してアナウンスしているとなるとZIGのITリテラシーの低さを自ら広めているということになる。 

保身のために安全であるとアナウンスした場合もそのような事をする企業の運営するサービスへの不信感しか湧かない。

 最初のnote公開後に運営より脆弱性があり悪意ある第三者による解読が可能とし謝罪しましたが今後の対応については具体的な内容ではなくありきたりな再発防止に努める旨のみで無理矢理終息させたような結末となりました。

 ZIGは個人でVTuberをされている方にたくさん声を掛けていると聞きましたがこのような対応しかできないサービスにファンを登録させたいと思うVTuberがいるのでしょうか？と問いたいです。

 現在ZIGに声をかけられていたり今後関わりを考えている方々へ自分の身を守る為の判断材料になればと思います。