8月14日(金)にお知らせしました、noteサービスにおいて記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できてしまっていた不具合について、経緯および今後の再発防止策をご報告いたします。

改めて、みなさまの大切な情報をお預かりしているサービスにも関わらず、IPアドレスが閲覧できる状態だったこと、そして、みなさまに大きな不安や疑念を感じさせてしまったことについて、深くお詫び申し上げます。

原因及び再発防止策について

原因
投稿者のIPアドレスを意図せず露出してしまうコードが残っていました

対策
・全ソースコードに対して、IPアドレス及びそれ以外のセンシティブな情報が露出するような同様の欠陥がないことを調査し、さらに対応するデータベースからIPアドレスのデータを削除しました
・CEO、CTO直轄の特別対策チームを結成して、直接の対策と構造的な課題や開発体制までを含めた徹底的な見直しを行います
・ソースコードのレビューおよびテストに今回の不具合や関連するセキュリティに対する観点を追加します
・データの持ち方やセンシティブな情報にアクセスするプロセスを見直します
・外部の複数の専門企業に依頼し、noteの脆弱性を発見・対策できるよう第三者の目線からの脆弱性診断をおこなってまいります

なお、上記対策をふくめ全体的な調査と修正が完了次第、追加でご報告いたします。

また、みなさまからいただいている疑問点について、現在判明している範囲でご報告します。

Q. 発覚経緯は？
お客様から8月14日(金)6:14にお問い合わせを頂き、調査を進めたことで同日10:32に発覚しました。その後、10:58から応急処置としてnote全体へのアクセスを遮断しています。11:56に修正対応が完了し、復旧しました。

Q. 対象者は？
noteアカウントを保持し、2記事以上投稿したことのあるnoteユーザーのみなさま全員です。

Q. IPアドレスとは何ですか？
インターネットでの通信先の情報です。一般的にはIPアドレスは地域や建物、組織で同一の値が共有されます。

Q. IPアドレスから個人が特定されるのではないか？
一般的に、IPアドレスからは以下のような情報を把握できることがあります。
・利用しているインターネット接続事業者名
・発信者の大まかな地域

利用者本人が特定される、といった指摘も見受けられますが、一般的なIPアドレス単体から、利用者の住所氏名やメールアドレス等を割り出すことはできません。回線種別によっては、会社名や建物名等が判明する可能性は存在しますが、それ以上の個人まではIPアドレス単体から紐づくことはありません。

またIPアドレスは、適宜変更されます。たとえば街の飲食店やネットカフェなど同時に多数のユーザーで共用されたり、他のユーザーに再利用される場合があります。

そのため、回線種別や接続時刻等にも依存しますが、IPアドレスの一致をもって、投稿者が同一人物であると断定できるものではありません。

ですが、多くのクリエイターのみなさまに、こうした不安や疑念をお与えする事態を招きましたことは重ねてお詫び申し上げます。

その上で、以下の点について、弊社が指摘する立場にないことは重々承知しておりますが、他のサービス上で露出しているIPアドレスとの一致をもって投稿者を断定するような書き込み等の行為は、名誉毀損にあたる場合もあり、さまざまな不利益が生じるおそれもございます。どうかお控えください。

詳しくは下記をご覧ください。
https://japan.norton.com/ip-address-8394

クリエイターのみなさまへ

今回はたいへんなご迷惑をおかけし、申し訳ありませんでした。

日頃、noteで色々なコンテンツを発信いただいているみなさまに、noteに投稿したことによって住所などの情報がわかってしまうのではないかと不安を抱かせてしまったことを深くお詫びいたします。

IPアドレスとは何かについて、くわしいご説明を上の項目で記載いたしましたので、よろしければご確認ください。

今回の不具合により、名誉毀損などの被害にあわれたクリエイターに対しては、ご本人と連携して法的措置を含めてnote社がサポートいたします。

本件に関して、ご不明点がありましたら、こちらのお問い合わせフォームから詳細をお送りください。

改めて、ご迷惑をおかけしたことをお詫び申しあげるとともに、今後の再発防止に努めてまいります。

本件に関するメディア問い合わせ窓口：pr@note.jp

※追加報告目安についての一文を追記しました（2020年8月21日）