【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星群プロジェクト】
①個人情報流出にZIGより早く気付いた経緯
6/10 mechuの話をリスナー友達と共にdiscordにて会話中の出来事
メンテナンス後にrevちゃんのルームが消えていることに気付く。
外部VTuberの参加予定があったもののトラブルが発生し遅れているアナウンスもあった事で面白半分にソースを見てみようという流れになる。
ソースの見方についてですがブラウザ上で右クリックするとページのソースを表示と出てくるのでそれをクリックするだけというごく簡単なものです。
通話メンバーの一人がVTuberのメールアドレスが表示されていることに気付き、さらにpasswordの記載を見つける。
まずいのではと感じたので運営に報告するために他のページのソースも調査する。
管理者用ページがあるはずだという見立てよりURLにadminを追加したところ管理者用ログインページを偶然発見。
管理者用ログインページのソースを確認したところすべてのユーザーの情報が記載されていることを確認。
この時確認できた情報はユーザー名、メールアドレス、暗号化されたパスワードの羅列
以下は実際のソース画面の私のアカウント情報の部分を一部加工したもの(ZIGが揉み消す可能性もあったため当該ページのソースを証拠の為、一時的に保存しております)
この調査の途中で通話に参加していたメンバーの一人が
「この暗号化は意味がないのでは」
と脆弱なものである可能性を提示するとそのメンバーが自身の暗号化されたパスワードを数分で復号化に成功しさらに
「パソコンに詳しくなくても検索すればすぐに復号化が可能だ」
とのこと
それを受けて私が自身のアカウントで試した結果、僅か数分で復号化に成功
②取った対応
友人の家族がZIG関係者であることを知っていたため、友人経由でZIGに報告
③第一回修正
友人から「修正したと連絡を受けた」との報告。この時点ではまだ公の場には発表が出ていない。
一部のページからライバーの個人情報が削除されるもその他のページ、および管理画面の個人情報は削除されておらず。
引き続き、友人を通じてZIGに至急対応するよう取り次ぐ。
このときMechuよりメンテナンス等の告知は一切無し
④翌日正午
再確認するも、一部ページのソースにてVTuberの情報の改修が未だにされておらず、登録されているZIG以外のVTuberに注意喚起のため可能な範囲で連絡(メール、マシュマロやDMなど)
➄同日夕方
mechu緊急メンテ
メンテ明け後、再度確認を行う。
→個人情報がソースから削除されていた
⑥メンテ明け後
mechu公式から、アナウンスあり。
この時点で、ZIGにユーザーの個人情報が流出していることは伝わっていたにも関わらず、
ZIGは「ライバーのメールアドレスのみが漏れている」かのように報告
⑦ゆき・カッペリーニ・因幡のアカウントよりTwitterでmechuに言及
全ユーザーの情報の漏洩には触れられていないことをリプライで言及する。
パスワード変更をするようにTLで拡散、ZIGのライバー達の目にも留まり、ライバー側からファンの方々へ注意喚起。
この段階になってまでライバー達は知らされていなかった模様。
⑧ZIGから2回目の発表
「ユーザーの個人情報も漏れている可能性がある」と濁した表現
⑨さらに翌日
「調査に時間を要している」と言い逃れ、結果報告の先延ばしをする。
今回の件についての問題点
・対応の遅さ。情報漏洩の危険を察知しながらサービスを稼働させ続けた。本来は③のメンテナンスの時点で緊急メンテナンスの告知とサービス停止を行うべき。
・初回発表の際、ユーザの個人情報については言及せず、内輪で処理しようとした。
・今なお「可能性」ベースで話を進めており、容易に復号化が可能なパスワードであることまたそれが漏れていることは秘匿、言い逃れる気満々と見られても仕方がない。
・パスワード暗号化の脆弱性には触れずに安全であることを主張
以下の画像は実際使っていたパスワードではありませんが同じ方式で暗号化したものを復号化(パスワードとして使える状態)したものです。
・ZIGが公開した漏洩についてのお詫びより
2019 6/10 23:46 必要情報のみ表示されるための修正作業完了。管理画面、info画面共に暗号化されているのを確認。
との記載がある。
管理画面を確認しているということは管理画面のソースに表示されたユーザー情報を確認済みであるという動かぬ証拠に他ならない。
さらに二回目の発表時点でユーザー情報の漏洩は可能性としてアナウンスがあったが実際には①で私が友人を通して報告し事が動いているため、しらばっくれているだけと思われる。
・Mechuのお知らせより
リリース時点で暗号化の確認が出来ていることを確認した旨の記載があるため四月のサービス開始時点で漏洩が発覚した状態と同じ状況であることを知りながら放置していたと考えられる。
・Mechu規約より
第4条 登録メールアドレス、ID及びパスワードの管理等
2 ユーザーは、自己の登録メールアドレス、パスワード及びIDの不正利用の防止に努めるとともに、
その管理について一切の責任を負うものとします。
3 登録メールアドレス、パスワード及びIDが第三者に利用されたことによって生じた損害等につきましては、
当社はいかなる責任も負いません。
第28条 保障の否認及び免責等
4 当社は、当社による本サービスの提供の中断、停止、終了、利用不能または変更、
ユーザーが本サービスに送信したメッセージまたは情報の削除または消失、ユーザーの
登録の解除・退会、本サービスの利用による登録データ・投稿データの消失または機器
の故障もしくは損傷、その他本サービスに関してユーザーが被った損害につき、賠償する責任を一切負わないものとします。
上記の規約からMechu側に非があったとしても責任を取りませんという宣言をしているように見えます。
そして今回の隠蔽と捉えられてもおかしくない行動からこのまま有耶無耶にして責任逃れをするのではないかと考えます。
こういった規約を用意しているのは上記問題がいつか露呈することに対してのリスクヘッジとしか思えません。
「個人情報が見ようと思えば見られる状態だけど、まあいいか」
で我々の個人情報が危険に晒されたのです。
今回の件で以下のような問題が起こる可能性があります。
そんなITリテラシーのない会社がwebサービスを運営しているという事実に辟易しますし、経営者が誠実さに欠けるばかりに、所属ライバーさんたちが謝罪と注意喚起に奔走せねばならない今の状況には反吐が出ます。
追記
6/12の時点で公式よりお知らせがありましたが全ユーザーの情報漏洩が発覚した6/10時点ですぐに対応しなかった事、またユーザー情報が漏れているにも関わらず何故最初のお知らせではVTuberのアドレスのみ流出、パスワードは暗号化されているため安全であるとアナウンスしたのか。
このまま風化させて終わりにするのでしょうか。