※ここには現在仕掛けはいっさいありません。

このページは　2009/12/15 21:29 に書きました。

2009/12/15 23:08 にアメーバさんの対応について追記しました。

2009/12/17 22:01 にほまちちゃんができたわけ(私のブログに飛びます)をアップしました。

---------------------------------------------

今回ルームの内容が変更されてしまうような仕組みを作った張本人です。
この度はいろいろな方々にご迷惑をおかけしてしまいました。
本当に申し訳ありません。

謝罪と対策方法などを皆様に報告したく、ここに書いています。



まず何よりも、ルームが変更されてしまった人は、
何が起きたかわからなくて困っているかもしれません。

まずこれはウイルスではありません。

ルームの名前までほまちや２に見える方は
そのページは全てが書き換えられたのではなく、置き換えられています。

ほとんどの部分は元に戻ります。
ただし、1箇所だけ内容を変えてしまった部分があります。
フリースペースの内容です。これについての詳細は後述します。


さて、

多くの皆さんが、ウイルスという言葉がインターネットの脅威の代名詞となっているのではないでしょうか。
確かに今回のものも広義にはウイルスと言うのかもしれませんが

これは正確にはクロスサイトリクエストフォージェリという、
アメーバさんのセキュリティの対策漏れをついたものです。
まだほとんどの人にとって聞きなれない言葉だと思います。

しかし、この攻撃のターゲットになるのは今回のように一般のユーザーさんなので
これを機会に、ウイルス以外にもネットにはこんな危険もあるんだと覚えておきませんか↓

――――――――――――――――――――――

CSRF　【クロスサイトリクエストフォージェリ】

CSRFとは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を
仕込むことによって、閲覧者に意図せず別のWebサイト上で
何らかの操作(掲示板への書き込みなど)を行なわせる攻撃手法。

ユーザはCSRFの仕込まれたサイトにアクセスすることによって、
特定の掲示板やアンケートなどに書き込まされたり、
オンラインショップで買い物をさせられたりしてしまう。
ブラウザでアクセスしただけで実行されてしまうため、
ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。

http://e-words.jp/w/CSRF.htmlより引用

――――――――――――――――――――――

私はアメーバさんのこの欠陥を利用して、

ルームのフリースペースに


＜タイトル＞
ぼくほまちちゃん！

＜本文＞
こんにちはこんにちは！！　http://このページへのURL


と投稿させ、

ルームに設置されている他の機能をしまうような仕組みを作りました。


これにより一部の、URLを踏んでしまった方のフリースペース内の文章を変えてしまいました。

（環境によってはなにも起こらなかった方もいると思います。
上のようなものに変更されていなければ実行されていません。）


現在メンテナンス中なのでなんともいえないのですが、
メンテナンスが終了してもフリースペースの中身が戻っていない場合
申し訳ないですが、新たにフリースペースを書き直してください。

ルームの他の設置物は全てしまってあるので
マイページの設定から取り出してもう一度設置すれば
入力したテキストなどの中身は全て入っていますので、元通りになるはずです。
お手数をおかけして申し訳ありません。

(詳しい事はアメーバさんがどのような対策をされるかによって
違ってくるので、アメーバさんの告知に注意して下さい。
メンテナンス終了後、アメーバさんの対策に応じた修正方法を追記します。
追記する際はこのページ上部に追記時刻を書き、下部に内容を書きます。)


これがわたしの今回行った間違いの全てです。
お騒がせしたことを心からお詫びします。
本当に申し訳ありませんでした。



最後にネットサーフィンをする上で、今後、
特に身近な問題になりそうな記事をいくつか紹介して終わります。


SNSユーザー、見知らぬ相手にも簡単に情報公開
http://www.itmedia.co.jp/news/articles/0708/15/news018.html

２ちゃんねる開設者さんの有名な言葉
http://www.wdic.org/w/WDIC/%E5%98%98%E3%82%92%E5%98%98%E3%81%A8%E8%A6%8B%E6%8A%9C%E3%81%91%E3%81%AA%E3%
81%84%E3%81%A8%E9%9B%A3%E3%81%97%E3%81%84


この先もネットを使っていくのであれば、
少なくともこの記事の内容は嘘と見抜けた方が良いと思います。
(※現在は嘘である旨を追記しました。)

今回、私がここに書いた文章は果たして本当でしょうか。
それはあなたが判断して下さい。
そして本当だと思うなら、困っているアメンバーさんにも教えてあげてください。

今回のトラップのように、嘘が広まってしまうこともありますが、
それだけみんなが積極的に情報交換しようとして、助け合おうとしてるってことですよね。
ネットの理想的な形だと思います。
だからこそ、あなたの目の前にある情報が嘘か、本当かどうか、
一度冷静に立ち止まって考えてみてください。

無理矢理話を丸め込もうとしていますが
これを私がしてしまったのは魔が差した以外のなにものでもありません。
私こそ、やっていいことかどうか、冷静に立ち止まって考えるべきでした。
悪いことをしてしまったと、大変反省しています。


ちなみに数日前、アメーバなうをワンクリックで投稿させた
「はまちや２」さんと私とはいっさい関係ありません。
はまちや２さん、真似してごめんなさい。
私はただのはまちや２さんのブログの読者であり、
はまちや２さんは私にとってCSRFという問題を教えてくださった師ですから、
はまちやさんの名前を似せたのも、投稿内容を

ぼくほまちちゃん！こんにちはこんにちは！！

と似せたのも、これらの名前とフレーズは自動投稿型のCSRFならこれしかないくらいに
私が思っていたために似たような投稿内容にしただけで、
個人的な恨みなどはまったくありません。
全ては本当に無計画で、先を読まずに面白がって
覚えたての技術をまちがったところに使ってしまった、愚かな行動です。
ですからどうかはまちや２さん、hamachiya.comへの私のアクセスを拒否したり、
グロ画像とかに飛ばしたりしないでくださいね。
本当にやりそうなのでここで強調してお願いします。
私はあなたから学びたいことがまだたくさんあります。


長々と失礼しました。ほまちや２の名を今後使うことはありません。
お騒がせしましたことを、改めて心からお詫び致します。
本当に申し訳ありませんでした。


【追記】2009/12/15 23:08

スタッフブログによれば、データは復旧され、この脆弱性は修正されたようです。
大変ご迷惑をお掛けしました。ありがとうございました。