6月上旬より発生するサイバー攻撃によるKADOKAWAグループでのシステム障害に関し、先日一部報道機関が公開した内情めぐる報道について、関係役員から相次ぎ抗議が寄せられていた。その新たな動きとして、同社取締役を務める川上量生氏の投稿が話題になっている。
【19時追記】「ニコニコ」公式より一連の件に関する発表が行われています
※以下追記(25日19時)
25日17時に「ニコニコ」公式より本件に関する声明が発表されました。以下要点です。
・代表取締役のアカウントについて:不審なログインは見当たらなかった。→Xに連携しているアプリによりスパムポストが投稿されてしまったものと推定。当該アカウントはニコニコと連携していなかった。
・アプリケーション連携について:ニコニコ側で「無効化(revoke)」を実施済につき、アクセストークンの不正使用は行われない。
・対応について:「ご不安な場合は、Xアカウントのパスワードを変更・二段階認証の設定・不要なアプリ連携の解除など、通常のセキュリティ対策を実施いただければと存じます。」とコメント。
※以上追記
川上氏は24日の昼過ぎ、自身のXを更新し「先ほど、KADOKAWA社長の夏野剛のXアカウントが乗っ取られました。」と報告。夏野氏のXアカウント(@tnatsu)上で不自然な日本語の投稿があるとの報告が同時期に行われていたものの、すぐに削除されていた。なお、同氏によるとすぐに同アカウントは奪取したとい、現在は乗っ取り状態にはないという。
川上氏は報告に際し「NEWSPICKSは今後起こる同様の事象について責任をとる覚悟でもって報道されたのでしょうか?」「なぜ、今、報道する必要があったのかを問いたいと思います。」として、攻撃者に関する報道を行ったNewsPicksに対し抗議を行っていた。
一連の報告をめぐり、SNS上では両社それぞれの是非に疑問を持つ投稿が寄せられたほか、川上氏の乗っ取られたという主張から、本事案での情報漏洩の可能性も示唆され、最悪を想定した対応を行うように促す有志の情報発信が目立っている。
「連携解除して」有志の呼びかけに1万いいね―チェックしておきたいポイント
具体的には以下の2点を確認したほうがよいと啓発する投稿が注目されている。
■同じパスワードを使っているサービスの設定変更
こちらは本件に限った話ではなく日頃から心がけるべきことだが、「ニコニコ」と同じパスワードを設定してた他サービスの設定見直しを行うべきとの啓発。
原則として、ほとんどのWebサービスはパスワードをハッシュ化(不可逆変換)してデータベースに保存する。ニコニコでは平文保管のような脆弱な運用体制は行っていないと思われるが、漏洩リスクが存在する限りチェックしておいたほうが良い。
■アプリケーション連携の解除
ニコニコアカウントとXアカウントを連携している場合、X上での「アプリケーション連携」からニコニコ関連を解除するようにとの啓発。主にSNSで呼びかけられているのはこの連携解除という点で、川上氏が報告した乗っ取り被害もこれに起因する可能性が非常に高いとされている。
Xでのアプリケーション連携とは、X外部の第三者が作成した外部サービスでXアカウントの情報を使いログイン等の処理が行えるようになるもので、その連携権限次第ではポスト(投稿)の取得、作成、削除といった高レベルの操作も可能になる。
通常、アプリケーション連携時には上記の操作を行うために各人固有の「アクセストークン」が割り振られ、外部サービスはそれを保管する。そのため、アクセストークンが漏洩されると「パスワードがわからなくても投稿ができる」可能性が生まれてしまい、過去にも同様の被害が他社で発生していた。
現時点でドワンゴが提供するX連携サービスは主に「ニコニコアカウント連携」および「ニコニコ生放送アプリ」など。XアプリやWebサイトの設定から「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」を進むと表示されるので、そちらで連携を遮断することができる。
公式発表では現在「情報漏洩に関しては調査中です」とのみ発表されており、詳報が無い以上、不必要に不安を煽るような呼びかけは行うのは推奨されない一方、セキュリティに関連する事項であるため、最悪を想定して一度チェックしておいたほうが良いだろう。
