noteでのIPアドレス流出 問題点の整理など(1)

「noteがやらかしましてね…」(ユースケ・サンタマリア調で)

最初は「運営の人は大変だなぁ、コード書いた人死にたくなってるだろうなぁ」とか思う程度でしたがどうも対応の片手落ち感が強いので書きました。

いつから発生していたのかが不明

2020/8/14
6:14 本件についての問い合わせ
10:40　対象不具合を検知
10:58　応急処置としてnote全体へのアクセスを遮断
11:56　修正対応が完了し復旧

この問題がいつから発生していたかが明確になっていません。これは障害報告の完了報としては致命的にNGです。

障害影響を受けた側が影響期間がわからなければ対応のしようがありません。

IPアドレスは個人情報なのか

アビューズ対応の必要性があるので投稿時IPアドレスを保持することは妥当かと思います。なお、昔のBBSなどでは投稿にIPアドレスが表示されることは普通のことでしたが、いつのまにかその辺がうるさくなってしまいましたね。

IPアドレス単体では個人情報に当たらないとするのは妥当と考えられますが、それ以外の個人に紐づく情報と組み合わせられた時点で個人情報として取り扱うべきでしょう。

IPアドレスで個人が特定できるのか

note運営としてはこれを認めると色々死ぬのかなっていうレベルで自己擁護に走ってる感があります。

何かと組み合わせれば可能性は十分あります。

そうでなければIPアドレスの開示請求なんかしませんよね？

なぜIPアドレスが流出したのか

原因が明記されていないので推測するしかないですが、出力状況を見る限りは投稿情報のオブジェクトあるいはデータベースのレコードをそのままJSON化してHTMLに埋め込んでしまっていますね。つまりセンシティブ情報のマスキング漏れと推測できます。

これがメールアドレスやクレジットカード情報などであればもっと深刻な事態になっていたでしょう。

まだ終わっていない

前項で「出力状況を見る限り」と書きましたが、様々なところにキャッシュが残っています。私はGoogleのキャッシュを見て確認しました。

ネットに一度出た情報は二度と消えません。あ～あ。