noteでソースコードからIPアドレスが確認できた事態に関する追加報告とお詫び
8月14日にご報告しました、note株式会社(以下、「当社」)が運営するメディアプラットフォームnoteにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた事態(以下、「本件」)について、note利用者のみなさま、noteのサービスに関わるみなさまに多大なるご迷惑とご心配をおかけしましたこと、改めて心よりお詫び申しあげます。
本件発生後、最優先で原因を究明し、本件への対応を実施しました。
その後、経営陣直轄の特別対策チームを編成し、1カ月半にわたり徹底した安全対策を実施。今回は、その対応および本件を受けた安全性確保のための施策と、再発防止策についてご報告いたします。
1.本件の概要と原因
2020年8月14日6:14 利用者の方から「noteの記事詳細ページのソースコードからIPアドレスが確認できる」旨のお問い合わせを頂く
(現象自体は2019年4月11日から発生)
同日10:32 調査を進めて、状況を確認
同日10:58 応急処置としてnote全体へのアクセスを遮断
「noteアカウントを保持し、同日までに2記事以上投稿したことのあるすべてのnote利用者」が対象であることを確認。ソースコードから確認できないようにするため、対応するAPIレスポンスからIPアドレスのデータを削除。
※本件で確認できたIPアドレスは、利用者が最後にログインした際のものです。
同日11:56 noteへのアクセスを復旧
同日13:10 発生した事象と対応内容を発表
同日13:50 特定商取引法上の表記として、一部の利用者が任意で記載していた情報(事業者名、連絡先)について、ソースコードからも削除
同日22:21 原因および再発防止策を発表
8月15日以降 再発防止策にのっとり、CEOとCTO直轄の特別対策チームを結成。広範囲にわたる修正や脆弱性診断などの対処を行ってきました。
本件が起こった主な原因は、システム実装時の考慮漏れによって、投稿者のIPアドレスを意図せず露出してしまうコードが残っていたことです。
そこで、セキュリティ対策として万全を期すため、サービスの全ソースコードに対してIPアドレスやそれ以外の情報が露出する恐れがあるような同様の欠陥に関する調査を行い、それぞれへの対処とセキュリティ強化を行いました。また、既に記録された本件情報のインターネット上のキャッシュについても、二次被害を防ぐために関係サービスと連携して削除※を進めてきております。
※一部利用者のIPアドレスが記載されたページがインターネット上に残っていたため、記載ページが確認された各サービスへ削除要請をしました。現時点でウェブ魚拓、Bing、Wayback Machineの3サービスについてnote.comおよびnote.muドメイン配下ページのIPアドレス記載はすべて削除されていることを確認しております。
2.実施済みのセキュリティ強化対策
本件対応とあわせて外部のセキュリティ専門機関にも徹底した調査を依頼し、本件情報とは異なるその他情報への安全対策を進めてきました。以下が主な対応内容となります。
(1)すべての記事ページのAPIレスポンスから現在のサービス運営に必須ではない項目を削除
セキュリティ強化策として万全を期すため、対記事ページのAPIレスポンスから、下記不要情報の一括削除を実施しました。
・SNSアカウントを連携させていた場合の、利用者のSNSアカウントのユーザーIDや登録名
・下書き保存している記事数 など
(2)事業者に求められる特定商取引法上の表記として、一部の利用者本人が記載していた情報(事業者名、連絡先)について、ソースコード上からも削除
noteでは特定商取引法にもとづき、利用者が任意でご自身の事業者名と連絡先をマイページの特商法上の表記欄に記載できる仕様としておりましたが、2019年12月3日にマイページで表示しない仕様へと変更しました。しかし「特商法上の表記欄に記入していて、かつ2記事以上投稿したことのあるnote利用者」の上記情報が依然として2020年8月14日まで記事詳細ページのソースコード上からは確認できる状態であったため、同日、上記情報の削除を行っております。
※本件の対象となる利用者の方には、登録メールアドレスへ個別にご連絡しております。
(3)SNSアカウント連携の確認画面追加【2020年11月25日追記】
noteではサービス開始当初の2014年4月7日から、利用者の方が任意でご自身のnoteアカウントとTwitterアカウントを連携させる機能があります。
これまでは、当社プライバシーポリシーの「個人情報の利用目的に関する事項」に記載している「サービス利用者情報」に基づき、ログインまたはアカウント登録画面でTwitterを選択、または連携の設定をONにすれば、アカウント連携されていました(初回のみTwitter側でのログインが必要)。
しかし、アカウント連携によってnote内で何が起こるのかが不明瞭だったため、内容を明示するポップアップ表示を追加し、同意ボタンを押すことではじめてアカウント連携が完了する手順に変更しました。
<ポップアップ表示内容>
noteでは連携されたTwitterアカウントの情報を以下の目的で使用します
・あなたの記事がTwitterでシェアされるときに、Twitterのユーザー名も表示
・プロフィールにあなたのTwitterアカウントへのリンクを表示
※プロフィールの表示はあとから設定画面にてOFFにできます
・Twitterアカウントでログイン
3.今後の再発防止策
当社では記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた事態を厳粛に受け止め、今後もnoteの安全性の確認とセキュリティ対策を全社を挙げて徹底してまいります。また、外部のセキュリティ専門機関複数社による助言のもと、このような事態が二度と起きないよう、以下の再発防止策を導入し、管理体制を強化する事でみなさまの信頼回復に努めてまいります。
1)監視
- 意図しない漏洩の早期発見・通知を行うシステムの導入(IPアドレスと特商法の表記に関する再発防止策はこちらです)
- 複数の外部セキュリティ専門機関による、定期的な脆弱性診断の実施
- 不正アクセス検知システム(WAF)や侵入検知システムを導入し、不正な可能性が高いアクセスをブロック
2)認証
- クラウド内の各種権限設定の見直し
3)会員登録者向けのセキュリティ全般強化
会員登録をされている利用者に安心して使っていただくために、不正利用を防ぐセキュリティ強化策を実装しました。
- パスワード設定時の強度測定を追加
- ログイン済みの利用者が自身のクレジットカードや銀行口座の情報を登録・変更する際、再度パスワード入力が必要な仕様に変更
4)その他
- セキュリティポリシー、データ取得対象・保存対象・保存期間を見直し
4. 脆弱性報告窓口の設置(2020年10月7日 追記)
弊社サービスに存在する可能性のある脆弱性を早期に発見することを目的として、脆弱性報告窓口を追加いたしました。
こちらの脆弱性報告窓口より、必要情報をご入力のうえ送信をお願いいたします。
ご報告いただいた情報は、みなさまが安心してサービスを利用できるよう役立ててまいりますので、ご協力いただけますと幸いです。
5.最後に
改めまして、noteクリエイターのみなさま、利用者および関係者のみなさまに多大なるご心配とご迷惑をお掛けしましたこと、深くお詫び申しあげます。また、二次被害を防ぐ対応のため、ご報告に時間を要することとなりました。お待たせし、ご心配おかけしたことを重ねてお詫びいたします。
また上記の取り組みは、クリエイターのみなさまにnoteを安心して安全に使っていただくための第一歩です。今後も継続して、一層のセキュリティの強化と安全対策を実施してまいります。
本件に関するお問い合わせ:問い合わせフォーム
本件に関するメディア問い合わせ窓口:pr@note.jp
【追加修正履歴】
■2020年10月2日 17:00
当初 「すべてのサービスは適正かつセキュリティ上、問題ない」と表現していましたが、インターネットサービスの運営上、問題発生の可能性は常にあるという点で、誤解を招く表現だったため文章の冒頭を修正しました。常に問題を最小化すべく継続して対処してまいります。
■2020年11月25日
「2.実施済みのセキュリティ強化対策」として「(3)SNSアカウント連携の確認画面追加」を機能実装にあわせて追記しました。
■2021年9月9日
2020年8月以前に独自ドメイン機能を利用していた一部の方は、外部のアーカイブサービス(Wayback Machine)にIPアドレスが残っている可能性がわかり、「1.本件の概要と原因」へ追記いたしました。対象者の方には個別にご連絡しております。