noteでのIPアドレス流出 問題点の整理など(2)

忘れたころに斜め上なメールが来て驚きました。

対応と対策の認識がおかしい

この発表では「セキュリティ強化対策」として「レスポンスからの不要項目の削除」としていますが、これは強化対策ではなく同事象の問題を取り除くいわば障害の二次対応です。

再発防止策足りえる再発防止策なのか

まず問題の事象を再確認します。

・記事ページのHTMLコード上に投稿者のIPアドレスが記載されている
・正確にいえば<script>タグ内のJavascriptコード内にある関数に渡すパラメータとして記載されています。(下記コードの最終行)

window.__NUXT__ = (
function (省略) {
 // 省略
 return {
   // 省略
 }
}(null, false, "", 0, 1, true, "TextNote", 3, "word2vec_pub_std", void 0, 2, "ちょなそ", "https://note.com", 4, 1725222, "chonaso", 6, 10, "YYYY-MM-DDTHH:MM:SS.SSS+00:00", "note（ノート）", 5, "日記を書くつもりでしたが今のところレビュー記事ばかりです...", "0", " 楽天モバイルの2020年6月が利用開始だったので、月初～月末まるまる使ったのは2020年7月が初となります。 (省略)", "https://note.com/chonaso/n/n64553564f8ba", "note", 7, 8, "YYYY-MM-DDTHH:MM:SS.SSS+00:00", "https://d2l930y2yx77uc.cloudfront.net/xxxxsnipxxxx.png", "note.com", "public", 500, 100, "楽天モバイル エリア内ローミング｜ちょなそ｜note", "楽天モバイル エリア内ローミング", "YYYY-MM-DDTHH:MM:SS.SSS+00:00", "ListItem", 9, "published", 16, 1920600, "YYYY-MM-DDTHH:MM:SS.SSS+00:00"
,"192.168.100.100", 省略..));

これが特殊な操作などにより発動するのであればWAFによる検知も可能かもしれませんが、この場合メインページのごく普通の挙動であるためこれが不正であるとすればリリースする前のテスト、最悪でもリリース直後に判明するレベルです。

次に原因ですが、

本件が起こった主な原因は、システム実装時の考慮漏れによって、投稿者のIPアドレスを意図せず露出してしまうコードが残っていたことです。

とあるように純然たるバグです。

再発防止とは同じ原因の問題を未然に防ぐものでなければならないのです。

本件と無関係な施策を並べるのは悪手

これを機にセキュリティを見直し、強化を図ることは意義があるのは間違いありません。しかし今回のIPアドレス流出に対する再発防止策を分厚くしたように見せかけるような公式発表は各所からのツッコミは避けられないでしょう。