DCN BLOG ニュース

下記の通りSixApart社より連絡がございましたのでご報告致します
－－－－－－－－－－－－－－－－－－－－－－－－－－－－

4月16日（土）の18時30分ごろ、TypePad ASPのシステムに脆弱性が発見されました。
発見直後の18時30分すぎから緊急対策として、全ユーザーのシステムへのログインを停止し脆弱性の問題究明にあたりました。問題発見から3時間後の同日21時40分、この脆弱性に対する修正を完了しました。

現在まで、脆弱性を利用したと思われる不審なアクセス、ならびに不正アクセスの報告は入っておりません。しかし、脆弱性がシステム上に存在した期間、不正アクセスがなかった保証はありません。そのため弊社としては、この脆弱性の存在を非常に重要な問題と捉え、脆弱性に対する修正後、引き続きこの脆弱性を利用した不審なアクセスや影響範囲などについての調査を実施しました。

今回の脆弱性は、当該期間中にTypePad ASPのログイン画面からシステムへのログインを試みた際に、ユーザーIDが正しければ、正しくないパスワードを利用しても、システムにログインできることがあったというものです。この不具合は4月11日（月）から稼働したTypePad 日本語版1.5の導入時に混入したバグが原因でした。そのためTypePad 日本語版1.5が稼働した4月11日（月）の7時から、脆弱性が発見された4月16日（土）の21時40分までの約6日間、この脆弱性がシステム上に存在しておりました。

TypePad ASPシステムでは、ログイン時の時刻やIPアドレスなどをすべて記録しております。当該期間中のログイン記録を確認していただくことで、多くのユーザーの方々は、実際には不正アクセスがなかったことを確認していただくことが可能だと考えております。
そのため、当該期間中にシステムへのログインがあったユーザーについては、すべてのログイン記録をご自身で確認していただけるツールを準備いたしました。また確認できないログイン記録が存在した場合に、さらに詳細な調査（ログイン後の画面遷移など）を実施できる態勢を整えました。

弊社としては、今回の脆弱性は、TypePad ASPをご利用のゲスト・アカウント利用者を除く全てのユーザーの方に影響があったと考えており、全ユーザーの方への脆弱性及びリスク周知、ならびにお詫びを実施したいと考えております。

有効な対策や影響度の診断方法を確立する前に公表することは、ユーザーの方の新たなリスク要因となり得るため、今回の脆弱性に関する情報の開示に時間がかかった点について、改めてお詫びいたします。

現在、すでに脆弱性に対する修正が済んでおり、4月16日（土）21時40分以降は今回の脆弱性を利用した不正アクセスの可能性がなくなったため、ユーザーの方々が事実の認知および有効な対策の実施をすませることを最優先課題と考えております。そのため、まずはユーザーに限った範囲で、今回の脆弱性に対するご報告および対応・対策を実施していただくことに絞って、情報の開示や調査・対策などを講じております。

ユーザーの方々にはご不安とお手間をとらせる結果になりますが、ご理解とご協力をいただければ幸いです。

よろしくお願いいたします。

シックス・アパート株式会社
－－－－－－－－－－－－－－－－－－－－－－－－－－－－

以上の連絡をうけましてＤＣＮでは、該当ログイン時のIPアドレスがユーザー様本人に弊社設備が割り当てたものと同一であるかどうかという点につきまして確認調査を致しました。

その結果、他社ISPを利用してログインした場合や、会社のネットワークを利用してログインした場合など弊社にてユーザー様本人のログインであるかどうかを判断出来ない場合につきまして、ご本人様にSixApart社のシステムを利用してログイン記録のご確認を実施頂く為4月30日までにメールにてご連絡をさせて頂きます。
お手数をお掛け致しますが、ご協力を賜りますようお願い申し上げます。

調査の結果、該当ログイン時のIPアドレスがＤＣＮがユーザー様本人に割り当てたものと同一である事を確認出来た場合には、ご確認頂く必要なく調査を終了しておりますのでご報告致します。
その場合、ＤＣＮからメールでのご連絡は実施致しませんので御了承下さい。

以上、お客様にはご心配とご迷惑をお掛け致しましたことをお詫び申し上げます。
今後とも、DCN BLOGを宜しくお願い致します。

ディーシーエヌ株式会社