知って得するセキュリティのはなし その76
「note」投稿者のIPアドレスが外部から閲覧可能な状態に…対策済み
1.このニュースをザックリ言うと
- 8月14日(日本時間)、note株式会社より、同社のコンテンツ配信サービス「note」において、記事投稿者のIPアドレス情報が閲覧可能な状態にあったと発表されました。
- noteの記事詳細ページのソースコードに、データベースに保持されていたIPアドレス情報が含まれる状態になっており、ソースコードを表示することにより、閲覧可能となっていたとのことです。
- 同社では同日6:14に問合せを受け問題を確認、サイト全体のアクセスを遮断し、データベースからIPアドレス情報を削除する等の修正を行い、11:56に対策を完了したとしています。
2.執筆者からの所感等
- IPアドレス単体では必ずしも個人の識別に直結する情報とはなり得ませんが、その他の情報(記事が投稿された日時等)との照合により、それぞれの投稿者が同一である(あるいは同じ組織に属する)可能性は高いということを示すことになります。
- 近年はv6プラス等の登場により、無関係のユーザー同士で同一のIPv4アドレスを共有するケースもあるため、実際に同一人物かの確認には、さらなる情報との照合が必要な場合があります。
- いずれにせよ、Webサイトの提供・開発者側にとっては、IPアドレスをはじめとする個人情報に繋がり得るセンシティブな情報について、「不必要に取得しない」「場合によっては削除する」そして「(プログラムのデバッグ情報等から)不必要に出力されないようにする」ことに十分注意を払うべきでしょう(今回のように、通常ブラウザーに表示されないコメント・スクリプト部分は見過ごされがちです)。