note、IPアドレス漏えいの対応状況を発表--今後は早期発見システムを導入へ

　noteは9月30日、メディアプラットフォーム「note」において、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた問題について追加報告した。

　同社は8月14日、利用者から「noteの記事詳細ページのソースコードからIPアドレスが確認できる」という問い合わせを受け確認したところ、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できたことを発表していた。原因はシステム実装時の考慮漏れによって、投稿者のIPアドレスを意図せず露出してしまうコードが残っていたためだという。

　これを受けて同社では、CEOとCTO直轄の特別対策チームを結成し、広範囲にわたる修正や脆弱性診断などの対処を実施。セキュリティ対策として、サービスの全ソースコードに対してIPアドレスやそれ以外の情報が露出する恐れがある同様の欠陥に関する調査を実施。それぞれへの対処とセキュリティ強化をしたという。

　すでに記録された同件情報のインターネット上のキャッシュについても、二次被害を防ぐために関係サービスと連携して削除を進めているとのこと。現状は、記載ページが確認された各サービスに個別に連絡のうえ、現時点でウェブ魚拓、Bing、Wayback Machineの3サービスについてはすべて削除を確認しているという。

　さらに、外部のセキュリティ専門機関にも調査を依頼し、同件情報とは異なるその他情報への安全対策を推進しているという。具体的には、すべての記事ページのAPIレスポンスから現在のサービス運営に必須ではない項目（SNSアカウントを連携させていた場合のSNSアカウントのユーザーIDや登録名や、下書き保存している記事数など）を削除したとしている。

　また、事業者に求められる特定商取引法上の表記として、一部の利用者本人が記載していた情報（事業者名、連絡先）について、ソースコード上からも削除したという（自身の事業者名と連絡先は、特商法上の表記欄に記載できる仕様としていたが、2019年12月3日にマイページで表示しない仕様へと変更済みとのこと）。

　今後は、意図しない漏えいを早期発見・通知するシステムの導入や、複数の外部セキュリティ専門機関による定期的な脆弱性診断を実施するほか、不正アクセス検知システム（WAF）や侵入検知システムを導入し、不正な可能性が高いアクセスをブロックするという。

　加えて、クラウド内の各種権限設定の見直しや、パスワード設定時の強度測定を追加。ログイン済みの利用者が自身のクレジットカードや銀行口座の情報を登録・変更する際に、再度パスワード入力が必要な仕様に変更。セキュリティポリシー、データ取得対象・保存対象・保存期間の見直しなどをするという。