seegeのまとめサイト

もっと早く教えてくれよって思った内容を書いていきたいと思います。

PING打つぞ!

IPアドレスが第三者から確認できてしまう状態だった

「note」というコンテンツ配信サービスで投稿者の記事詳細ページを開き、ソースを確認すると投稿者のIPアドレスが確認できてしまう不具合があったということでネットニュースで報道されていた。

コンテンツ配信サービス「note」を運営するnote社は8月14日、記事投稿者のIPアドレスが第三者から確認できてしまう不具合があったとして謝罪した。漏えいした有名人のIPアドレスを、他サービスでの投稿に見られるIPアドレスと比較する者も現れている。

www.itmedia.co.jp

note社からの内容は以下の通り

noteサービスのトップページには一切、触れられておらず、トップページ右側にある、小さく表示された「運営会社」のリンクを表示するとようやく表示された。

原因及び再発防止策について
原因

  • 投稿者のIPアドレスを意図せず露出してしまうコードが残っていました

対策

  • ソースコードに対して、IPアドレス及びそれ以外のセンシティブな情報が露出するような同様の欠陥がないことを調査し、さらに対応するデータベースからIPアドレスのデータを削除しました
  • CEO・CTO直轄の特別対策チームを結成して、直接の対策と構造的な課題や開発体制までを含めた徹底的な見直しを行います
  • ソースコードのレビューおよびテストに今回の不具合や関連するセキュリティに対する観点を追加します
  • データの持ち方やセンシティブな情報にアクセスするプロセスを見直します
  • 外部の複数の専門企業に依頼し、noteの脆弱性を発見・対策できるよう第三者の目線からの脆弱性診断をおこなってまいります

note.jp

f:id:seege:20200815095539p:plain

CMSを使ったサービスなので投稿者のIPアドレスがデータベースに登録される仕組みになっていてソースを吐き出す際にIPアドレスも含めてしまっていたのだろう。

noteというサービスを僕は知らなかったので、どんな会社なのか確認しようとしたが、「運営会社」のリンクからは、どこにある会社なのか?という情報に到達できなかった。隣にあった、「採用情報」のリンクからようやく会社のことがわかるような情報に到達した。

北青山にある会社で、ピースオブケイクという会社だったが、2020年4月に、note社に変更したようだ。

連絡先はメールアドレスだけが公開されているだけで電話番号、ファックス番号も公開されていない。IT系の会社に多い、電話がない会社なのだろうか?

そして、この会社に出資しているのは、以下の会社だ(主要出資事業会社)

有名人が投稿するとあるが、運営会社か、芸能事務所の誰かが代理で入力していると思うので本人のスマホや自宅のパソコンからのものではないだろう。

IPアドレスは変わる

そもそも、IPアドレスを固定で使用している者は、そう多くないだろうし、有名人がIPアドレスを固定する必要はないはずなのでネットに接続する都度、IPアドレスは変わるしスマホだとWi-Fiを使ったりもするので今はIPアドレスは頻繁に変わる。

IPアドレスから誰でもわかる情報

仮に固定だったとしてもIPアドレスから取得できる情報はインターネット接続業者やその業者が設置している機器の大まかな設置場所がわかる程度。

もちろん、犯罪等のためにということになれば、インターネット接続業者などがIPアドレスを貸し出す際に日時と共に紐づけているID等から契約者の情報を引っ張ってくることはできるので全く、個人情報が取得できないか?というと警察等がしかるべき手続きで公開を求めれば公開される情報ではある。

そして掲示板等では投稿者のIPアドレスを表示している場合もあったので大きな問題になるとは思えないが、本来、公開するつもりがなかった情報が公開されていると運営会社としては謝罪するしかないだろう。

ネット・チャットでの口論

ネット・チャットで口論になったりすると、よくIPアドレスを晒すぞ!といった個人を特定しようとする内容に変わっていった。

ネットは顔も名前もわからない気軽さから、普段は口にしないようなことも発言する人が少なくない。おそらく普段はおとなしい、地味な人なんだろうと勝手に想像したりもしていた。

チャットでIPアドレスを取得するというのは、運用側が公開していない限り、簡単にはできない。

今回の、noteのようにソースを見てもIPアドレスは見つかるものでは、なかった。それでも、口論に負けた方は何とか一矢報いたいと考え、お前のIPアドレスがわかったとか、適当なIPアドレスを書いて、お前のIPアドレスだとか言って個人が特定できることをアピールしていた。

PING打つぞ!

一番、笑ったのが、「PING 撃つぞ!」だった。

PINGというのは、ネットワークに接続されているかどうかを確認するために使用するコマンドだ。

f:id:seege:20200815095611p:plain

PING 打つぞ!」と言ってた者に、確認したわけではないが、このコマンドを使えば、「お前のIPアドレスがわかるんだぞ!」いいのか?という意味で使っていたようだ。

知識のない者にとってはIPアドレスがバレるのではないかとハラハラしていたのだろう。

このコマンド、以下のようにDOS窓等でPINGというコマンド名の後に、調べたいIPアドレスまたは、ホスト名(コンピュータ名)を指定することで接続されているかどうかが確認できる。

つまり、PINGコマンドは、IPアドレスまたは、ホスト名が、わかっていないと使えないのだ(笑)しかし、「PING打つぞ!」と言っている者はPINGだけで相手のIPアドレスがわかると思っているのだろう。

僕もPINGを打たれたことがあった(笑)

何の話題だったのかは忘れたが、口論のようになってしまい、「PING打つぞ」と言われてしまった。

さて、どうしたものかと考えた。

PINGを打たれたらどうなるのかが知りたかったので、打たれてみることにした(笑)

「どうぞ」と書き込むと、「いいのか?お前のIPアドレスがわかるんだぞ?」と返ってきた。

IPアドレスがわかるとどうなる?」と聞くと「お前の個人情報が全部わかるんだ。名前や電話番号、住所全部だ」

早く打つように言っても、「PINGも知らない奴に打っても仕方ない」「PINGの勉強をしてこい」といったようなことを延々と聞かされるだけで、一向にPINGを打ってこない。それはそうだろ、こちらのIPアドレスがわからないと使えないのだから。

同じことを繰り返すだけになって時間がもったいなく感じたので、チャットから抜けた。

ネットワークのプロの登場

ある時、チャットでIPアドレスを抜けるという者が出てきた。

ネットワーク関係の会社に勤めている人のようで、Nさんは凄いと評判だった。

チャットで荒らしと呼ばれていた者が次々にIPアドレスやブラウザ、パソコンのOSといった情報が言い当てられていたようだ。

チャットのソースを見ていると、どうやら入力欄に自分の管理下のサーバーに保存したスクリプトを実行させて情報を取得しているようだった。

そのチャットは発言する内容を入力する欄にHTMLを埋め込むことができたので、画像が表示されたり文字の大きさを変えたりすることができた。

このため、そのチャットに参加していたものは、もれなく情報が取られていたことになる。

しかし、その程度の情報では個人情報とは言えないので、せいぜいわかってもIPアドレスから住んでいる地域がわかる程度だった。

僕は当時、公開されている海外のプロキシサーバーを介してアクセスしていたので、IPアドレスについては海外のものになっていたので海外のIPアドレス=僕ということで特定されてしまっていた(笑)

Nさんが荒らし対策だということで、チャットの常連にも、その方法を広めたようで、他の参加者もNさんと同じ方法で情報を抜けるようになってしまった。

初めて来て自分のブラウザやOSを言い当てられてしまうとビックリしたのではないかと思う。

しかし肝心の荒らし対策としては、名前や住所までは特的できないことが荒らしにも、わかってしまって効果はなかった。

その後も、荒らしとチャット参加者の戦いは続いたが、個人的には楽しかったので荒らしがいたのでチャットが楽しかったのだと思う。

あと、チャットのおかげで、キーボード入力が早くなった。

今でも楽しい思い出だ。