noteでソースコードからIPアドレスが確認できた事態に関する追加報告とお詫び｜note株式会社

8月14日にご報告しました、note株式会社（以下、「当社」）が運営するメディアプラットフォームnoteにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた事態（以下、「本件」）について、note利用者のみなさま、noteのサービスに関わるみなさまに多大なるご迷惑とご心配をおかけしましたこと、改めて心よりお詫び申しあげます。 本件発生後、最優先で原因を究明し、本件への対応を実施しました。 その後、経営陣直轄の特別対策チームを編成し、1カ月半にわたり徹底した安全対策を実施。今回は、その対応および本件を受けた安全性確保のための施策と、再発防止策についてご報告いたします。 1．本件の概要と原因2020年8月14日6:14 利用者の方から「noteの記事詳細ページのソースコードからIPアドレスが確認できる」旨のお問い合わせを頂く （現象自体は2019年4月11日から発生）

[toya]

いつから発生していたかについてはこの告知でも言及なしか……／「2020年8月以前に独自ドメイン機能を利用していた一部の方は、外部のアーカイブサービス（Wayback Machine）にIPアドレスが残っている可能性がわかり」

[ichiken7]

第一報が「IPアドレスは個人情報を特定するものではありません」だったってのが、noteの性根だと思う。

[Falky]

いつからいつまで漏れてたのか書いてない。影響を受けたユーザ数が書いてない。SNSアカウントをログイン時のSSOに使っているだけで非公開にしていた人が影響を受けたのか否か書いてない。相変わらずひでーわ。

[kitamati]

“不正アクセス検知システム（WAF）や侵入検知システムを導入” これソースコードがウンコだったことと関係ないよね？

[NOV1975]

一般的なセキュリティ対策の話じゃなくて、IPアドレスを出すか出さないかの業務要件の話だからこの対策じゃダメじゃね？

[tpircs]

魚拓系サービスは削除されるまえにクロールされていると考えるのが普通だと思う。欲しい人はすでに収集済みでしょ。

[lont_in]

"※本件で確認できたIPアドレスは、利用者が最後にログインした際のものです。"

[taruhachi]

「システム実装時の考慮漏れ」？？だったら仕様と異なるのでテストで判明する筈。どう考えても設計時の考慮漏れだろ。

[mobile_neko]

対策の内容としては割と真っ当かと思うな

[Denji]

IPアドレスは利用者が最後にログインしたものって書いてるけど。よく読まずにコメントしてるのかな？

[bqn2]

「監視」「認証」「セキュリティ」「その他」となんらんでるけど、今回の事例の再発防止になるの「その他」しかない？ このページ自体cookie有効でないと表示できないのは見せるつもりがあるのか無いのか。

[rryu]

「など」には特商法に基づく表記用の連絡先も含まれることが明確になっているのに「など」でぼかすところがいまいち信頼されない原因だと思う。

[ytRino]

一般ユーザへの真摯さアピールとしては合格かと。パスワードやらのセキュリティ対策は別の話だと分かる人には「あれ?」となるが

[akahigeg]

深く気にしない人向けのお知らせだ。

[Lat]

"３．今後の再発防止策"でWAFとか書かれているけど、外部からのハッキングを受けて改竄されIPアドレスが確認できるようになったんでしたっけ？違うよね？設計がまずかったもしくは設計を無視して実装したんだよね？

[TakamoriTarou]

特に新しい情報無し。

[keidge]

正直、IPアドレスのお漏らしくらいどうでもいいよと思っている。特に、NATされまくっている今のIPv4に一意性はほぼないし。

[tagomoris]

「いつからこの状態だったのか」が無いと影響範囲が見積もれないでしょう、というの前からだったけど、今回も無しか

[myrmecoleon]

下書き件数とかもちゃんと消したんだなあ。

[programmablekinoko]

面白いからそのままにしても良かったのに。以前IPアドレス晒す仕様の掲示板とかあったけど面白かったよ / 記事のエクスポートが無いのがノートは一番駄目

[kkobayashi]

システムの不具合なんだからセキュリティとか脆弱性の話じゃなくない？

[yug1224]

“など”

[kenuuun]

ノートみたいなサービスもっとできてほしい

[augsUK]

いつから、何が、漏れていたのかを説明する気はないんだな。原因が設計のミス、対策がセキュリティ強化なのも謎だ

[mayumayu_nimolove]

そんな事よりzennってサービスは個人で開発したみたいだがあっちは大丈夫なのか？

[oka_mailer]

表に漏れたのは意図せずとしても、裏側で収集・記録してた目的が何なのか説明ないのが気になるなぁ。

[igtm]

nuxtのssrだとサーバーサイドで保持した変数がwindow.__NUXT__に保持されるんだけど、開発者は裏側意識せず使ってると気づきにくいのはわかる。でもipアドレスをapiで返して何に使ってたんだろうか?謎

[naggg]

時期や範囲がわからないんだよなぁ

[kazkun]

なんだろう、違和感しかない。

[ducktoon]

なんかIP程度で対応が仰々しいな。こんなん、やましいことをしてた人が問題なんだから何もしなくていいぐらいなのに。

[arx0balest]

Vue + Rails なんてガラパゴスジャパン技術使ってる低技術力の会社のサービスなんて、まぁこんなもんだろう。自社のAPIが何レスポンスしてるか今まで知らんかったとか信じられんレベルｗ 関わりたくないね。

[adwhing]

これぐらいしかできんわな

[fumisan]

設計に問題あると認めているのに再発防止策はセキュリティばかりしても意味ないのでは？ “本件が起こった主な原因は、システム実装時の考慮漏れによって、”

[rrringress]

WAFで防ぐものではないだろうな

[yoiIT]

なぜ考慮漏れしたのか？を突き止めないと再発するよね。他にも考慮漏れ疑いが残る報告。＞“主な原因は、システム実装時の考慮漏れによって、投稿者のIPアドレスを意図せず露出してしまうコードが残っていたこと”

[rub73]

ひとりのVtuberが消えた

[go_kuma]

詫び石配布いつ？（違

[takeshiketa]

これがザ・プロダクトデザインでござーい

[saikyo_tongaricorn]

自然消火待ってるのかと思ったらまた燃やすのか……