chocolumn.

ずっとピクブラを推してきたわたしとしては何故かわからないけど「なんかすみません！！！！！」みたいな気持ちになっていますわ。
別にわたしは悪くないけどなあ！

8/14 23:09発端
最初にツイートされたのが8/14の23時すぎ、ピクブラが不正アクセスを受けておかしな表示が出てるとのこと。
この時点でログアウトしたほうがいいのかな、と思ってのぞいてみたけど自分の画面には表示されてなかったので、逆にログアウトすることでそれが出ちゃうのかな？と思って一旦そのままにしてたら、40分後くらいに安全をとってサーバーダウンしたのでログインできなくなりました。
この直前くらいまで様子をみていたっぽい方のツイートでは、誘導ポップアップだけじゃなくて作品のタイトル、キャプションもかわってるっぽいとのこと、でも課金勢はなってない、とのこと。
この時点で自分としては心配だったのは
・表示されてる内容がきもい(あの国関係のように書いてて、でもそれはいたずらかなとは思ってたけど、ただ内容がきもい)
・データの消去(実際に書き換えされてた場合、多分SNSにアップしたらログとってない人多いと思うので、その場合データが復旧しない可能性)
・データの流出(これがのちの騒動である…)
このぎりぎまで計測してたらしい方によると、広告から書き換えてるんじゃないかとのことだったんだけど、今思うとそれだったらプレミアムにはその文書が表示されてないのは当然ですね、広告が出てないんだから。
なので表面上そういうふうに見せてるだけならデータ自体は無事かも。
その一時間半後くらいに全サービス(ピクブラ、ピクグラ、ピクモフ、ピクスク、ピクスペ、翡翠)サーバーダウン。
表示されてる内容がきもい件は、内容がやばいので拡散性があり、正直この段階で「ピクブラ」って検索するとなぜかエロアカ女子がピクブラってつけて投稿してたので二重にきもくて変なのが目を付けた気がした、この時点では拡散性のある単語だと判断してスパムが使ったのか関係あるのかはしらない。
データの消去に関しては正直わたしとしては二次創作のピクブラ利用ってほぼないのと、pixiv併用してる方も多いのとでそこまで打撃ないんだけど、nmのほうがもうだめだ、ログインもしてない可能性高いのでデータ終わったらいなくなりそう。
ただ3つめのデータ流出とかにより、それどころじゃなくいなくなる人は出てくる可能性はあり、もうほんと14日の夜はわたしはめちゃくちゃ不安だったから何度もつぶやいてたけど、多分この時点では「ピクブラユーザー」って多分TLにわたししかいないのではっていうくらい、ピクスクは自カプの人めちゃくちゃ使ってるけど一部の人がちょっとやばいじゃんくらいにつぶやいてるように見えた。
多分時間的に寝てたり、週末の準備でツイ見てない人も多かったかもしれない。
なのでわたしはツイでつぶやくのをやめてくるっぷに移動してひとりでぶつぶついってたんですけど、諦めて寝たのが4時くらいかも。

8/15 6:07一部再開～18:33おしらせ
15日起きたらブラグラモフ以外は復活してて、あれよかったのかな？と思ったんだけど、「攻撃の侵入経路に当たりがつき」がめちゃくちゃ気になった。
これはつまり悪意を持って言うなら欠陥があったことになるので、これはやべえんじゃないかなってわたしは思ったんですよ、正直。
とにかく被害人数が多くなりそうなピクスクと、ダイレクトに被害がありそうなピクスペがとくに大丈夫かな…と。
そしたらピクスクが止まって、12時間後かな、「情報流出」のおしらせ。
こっからですね、もうわたしだめかもしらんと思ってる…まず絶対不正アクセスしたやつが悪いので早々に捕まってほしいし、「何故お金を払わなかったのか」っていう怪文書もむしろなんで犯罪者に金払わないとあかんのと思うからそこは全然否定しないんですけど、「攻撃の侵入経路に当たりがつ」いたんだったらシステムを提供するサービスとしてはだいぶアウトかなと思うんですよね。
現状でいうとツイッターの乗っ取り、paypayで不正なリクエストがあった話も出てるので、実際問題どこまでいくのかわからん。
この規模で炎上したらもう「ピクブラ運営に」賠償を命じられた場合もう終わりじゃないかな…サービス存続いけると思えないんだが…。
犯人に払わせられるならいいんだけど無理やろ…わたしはピクト系のやり方が一番性に合ってるので持ちこたえてほしいけどその状況がもはや想像できない。
で、流出したもの、メールアドレス、パスワード、住所、口座番号…っと…え？住所？口座番号？
これが考えてもわからんのだけど、最近始めた寄せ書きシステムと中止・キャンセルの返金かなぁ？と、ピクスペの方だったらわかるんですけど、ピクスクで他に考えられなかった…そうだったら登録なのか一回ずつその都度入力だったのかどっちだったんだろう、登録はやめてほしいし都度ならまじで使い終わったら消去してくれよと思う。
とりあえず復活したときにピクスペは確認して口座記録されてなかったし(入金された覚えはあるんだけどデータは入ってなかった、リニューアルしたときに消えたのならいいけど)住所は消した、ついでにBOOTHの住所も消した、一応ピクスペには同じ欠陥なかったとのことなので安心は一応してる、しらんが。
ちなみにだけど、ピクブラからは住所漏れてないのかな、バラもらってるので住所はお出ししてるんだけどこれはちゃんと消去してるのかな？忘れてるだけで漏れてたらうける…うけない…。

メールアドレスの話
わたしはサイトやってるのでメアドは気軽に作れるから同人系の登録はamazonとか楽天とかほかの通販とかのメアドとはかぶってないんですけど、なんか同人系のログインだけ「大丈夫だろ」と思ってあんまり安全なパスワートにしてなかったし、正直ピクト系は同じでいいかみたいにしてたけど、今回それは間違ってなかったって思った、同じなんかい…復活したらかえるけど…復活するのかな…。
ということで同人系のは最近は不規則パスワードにしてたけど以前つくったやつはもう全部かえてきたし、メールアドレスもログイン用に作ってかえてきた。
これでどこかが漏れてもかえるの最小限で済むはず～。
あとスタジオYOUはもうイベント出ないかぁと思って退会もしてきたけど、問題はコミケが履歴があるので悩ましいのと、赤ブが退会したら二度と作れない！みたいな話だったのでそこは残してる…コミケもういらんかなぁ。
自分の場合は元々全然なんのサービスも信用してなかったので基本「ツイッター連携」もしてなくて、それしかなかったやつもツイッターの挙動がおかしくなったときにメールアドレス設置してくれたので連携全部切ってきた。
プライベッターはツイアカ必須だったのでどうせ見るだけだしアカウント消した、ピクスクとかで見るときだけ連携するよ…ピクスクはもう無理かもしれないけど…。

パスワードの話
さて、以前もパスワードの話したんですけど、この件を受けて思うこと。
わたし全然その辺くわしくないので素人の所感の話です、そこだけ。
あのですね、わたし、書いた通りスマホをかえた12月にある程度パスワードの整理をしたつもりだったんですよ、「安全なパスワードの形成」。
で、この記事が3月で「先月バンナムの件で」って書いてるので2月にも見返して整理しているっぽく使ってないのを退会しまくった。
更にこの記事のときに同人系のをちょっと見直したら前の携帯になってるのもあったとのことでいろいろ使ってないコミケとか赤ブとかも全部変更したっぽい。
この4ヶ月くらいで3回見直ししてるんですよね、自分。
で、今回もクロームのパスワードマネージャーみてたらパスワードの確認っていうのがあって、それ見たらまだ何個か脆弱性に問題あったので、ひえ…ってなりました、この間8～9ヶ月くらい？意識してパスワード替えてても4回整理しててもまだ脆弱性に問題あるんですよ。
まじで、今回の件関係なくみなさんパスワード見直したほうがいい、使い回し論外。
現物を使うカードはまだね、銀行とクレカと全部一緒だとしても実際に使うから忘れちゃうと困るのでしょうがないとこあるけど、パスワードなんて覚えてくれるんだからまじ忘れてもいいと思う、最近はまじで全部googleかiPhoneに覚えさせるようにして、一致しなかったらパスワードを忘れたで再発行したらいいと思ってるのでまじ覚えるのやめよ！最悪紙に書いてもいいから不規則なやつにかえよ！
その場合に絶対大事なのが「メールアドレスがかわったらちゃんと登録をかえる」なので、何に登録してるかの管理もやっぱり必要だと思う。

定期的な管理の話
で、ですね、わたしの場合って、ある程度整理してこれなんですよね、意識はしてたのにまだ脆弱なんですよ。
パスワード使い回しはしてないけど自分が登録してたのはめちゃくちゃ自分の中で規則性あって、実は「これが一個ばれたら他のも簡単にわかるだろうな」っていうのではあったんですよ、だから最近のは全部かえてるけど、かえてないのは脆弱なんですよ、ふつうに。
かえててもそうなんだから、使い回しまじヨクナイ。
メールアドレスなんか大体一個だから、規則性あるならたとえば楽天がamazonのデータ抜いてやろって手当たり次第やったら突破できそうではあった。
意識しながらそういう感じだったので当然不規則パスワードにかえたほうがいいので、なんならこの機会に全部見直そうくらいのことだと思うんですけど…なんか、TLみてたら結構何使ってるかわからん～みたいな方多かったので意外と同じパス使ってる人多いんかも、となりました。
パスワードのこわいのは「使ってないサービス」もあって、使ってないサービスのは悪用されても気づかないんですよねぇ…特に通販はクレカ入るから、ほんとに普段から管理する、しかないと思います。
とくにおたくの場合は販売元限定で販売されることが多いからすぐアカウント作らないといけなくなるじゃん、わたしはアニメイトでやるならアニメイトまで待ちたいほうだけど「あとでアニメイトでも販売されます」がないと、わかんないから買っちゃうじゃん。
基本的に野良のショップのことも全部信用してないから漏れたら漏れたとき、とは思ってます、実際。
今回改めて思ったのは、使わないアカウントは退会することを前提に、本当にめんどうだけど定期的に見直さないとなぁ～だと思います。
わたしはまじめんどくさがりなのでこういう管理すぐまいっかになっちゃうんだけど、少なくともマネージャーに登録されてるやつは全部チェックしてったほうがいいと思う、ほんとに。
上の2～3月にしたとき結構サイト自体がなくなってるのもあって、そういうときってなくなってると変なサイトに飛ばされたりもするから、二重に危険なんですよね。
サイトがあるうちにちゃんと退会したほうがいい気がする。
結局ね、これ三ヶ月に一回くらいやっといたほうが楽なんじゃないかなっていう気はしますね、せめて半年に一回でも。
あくまで「やったほうがいいんだろうな」であって「わたしはやってます！」ではないんだけど、今後はせんとかんかな～って思わなくはない、じゃないとまじで何かあったときにめんどくさいな、今回ほんと15日忙しい日だったから余計なことさすな～！ってキレてた。
少なくともamazonとか楽天とかわたしは使ってないけどメルカリとか、なんか「何回見返しても退会しないやつ」はあると思うんですが、おたくはまじで一回しか使わない知らんショップいっぱいあると思うので…まじで届いたら退会してもいいくらいだとは思う、ソフマップみたいに登録しなくていいならしたくないまである、それはそれで不安にはなるのと、ソフマップみたいにそのあと何回も何回もコラボしてくれるやつは登録しといてよかったかぁみたいになることもある。
でも結局はコラボしなくなったら使わないからねえ…アニメイトみたいにこっちが何をすきでも結局なんでもアニメイト！みたいなのとは違うっていうか。
あと、こっちが退会してるデータとか用済みのやつ、企業のほうもまじですぐ消せって思う、少なくとも半年利用がなかったら消せ。
まじでピンクのクマのプロバイダ、やめて10年後くらいに「流出しました」って封書届いて「お前ふざけんなよいつまで持っとるねん」って思いました。
今回ピクスペもBOOTHも住所消したって書きましたけど、DBに残ってたら全然意味ないから、まじで人のデータはすぐ消せ～！

余談、ピクト系の話
わたしが言うピクト系はピクブラ、ピクグラ、ピクモフ、ピクスク、ピクスペ、翡翠をさしますが、正直言って個人的にはピクブラのことを全然信用はしてないんですけど、ある恩があるのでピクブラを絶対的に使うと決めているのですよ、信用は特にしてないんですよ。
正直このタイミングでピクスペの宣伝ツイートしてたりピクブラの固定ツイがえろ広告やめました！のままなのもそういうとこやぞって思ってる。
全然信用してないので最初ピクスペ使ったときもクレカ登録したくなくて後払いしたくらいなんですけどpaidyの手数料高すぎてイベントも有料になったから結局クレカ使うようにしたんですがそれ専用なので限度額最低ラインにしてあるくらい信用してないんですよ、ちなみにpixivはもっと信用してないのでコンビニ払いにしてるし、ピクブラもpaidyじゃないコンビニ払いあったらそうしてる。
でも金銭を扱うのに直接管理しないでpaidy通してるんだったら身の程しっててよいとも思わなくはない、クレカがね、一生言われてるあれだったからね…。
で、信用はしてないんですけど恩があって、その経緯でピクスペもピクスクもかなり初期めから登録はしてます、してるけど本出してないのであんま使えてはないんですが。
で今回の翡翠、これは正直ツイッターでつぶやきにくいわたしとしてはもうありがと～！くらいのもんだった。
ピクト系というか運営の中の人のことを全然信用はしてないんですが、サービスの方向としては他にかえられないくらい愛してるんですよ。
ピクブラがそもそも何度も何度も言ってますけど固定には使いやすくて、二次で隠れたい昭和おたくにも使いやすくて、nmできるのもここしかないし、その上自分がプレなら閲覧者さんにも広告なしでみてもらえる、とにかく選べる機能が多すぎてここ以外使えないっていうくらい。
たしかpixivも流出はやってるはずから遠慮無くいうけどpixivのこと信用してないのでピクスペ使ってたし、正直この2つは見てくれる方、利用してくれる方にはまじで申し訳ないなって思ってはいたんです、マイナーすぎてこんな知らんとこ使いたくないんですがと思ってたとは思う、そんな居ないけど。
でもピクスクががんばったのでちょっと風向きかわってきてたと思うんですよ、まだ一番最初の名前の件とクレカの件は一生言われてるけども(今回も見た)がんばってきて利用者増えてよかったな～と思ってたところに翡翠きて、これはいいなって人もちょいちょい見かけてたので、まじで痛い！
痛いんだけどさ～、今回のは不備なんじゃん～、システム提供しててありえない部類でしょそれは…と思うから擁護ができない。
自分はピクブラのサブスクと、スクピクスペの決済はカード使ってるので、クレカ情報は持ってないってことだけど穴がある場合もあるみたいでそれが抜かれるかどうかの問題。
正直なとこ、メールアドレスと住所って今の日本で漏れてないことあるんかなって思うので、そこはあんまりなんですよね。
うちのヤフメあほほど迷惑メールくるし、住所は上のプロバイダからも漏れてるし、あとカードはグラフィックにもやられたからグラフィック褒めてる人にはちょっともやもやするくらい、あのときはメインカードだったからまじでダメージでかかった(すぐとめたので被害はなかったけどわたしに手間があったのが被害)
で、今回の件で今後サ終しなかった場合はピクブラ使ってる人もやもやするって言われるようになるんだろうと思うとちょっと他SNSからの誘導はもうできないかなぁ、ああでもピクスクイベントからなら別に使ってもいいか…サ終…しなければ…。
今回、とっくに終わったピクスクイベントのアカウントも注意喚起してて、主催さん大変だなと思ったんですよね、そもそも人様のデータ何にも預かってないんですよ多分、ピクスクってピクスクで管理してるから別に主催さんが直接参加者のなんかを持ってないと思うんだけど、でもそこで主催したのは主催の判断だから申し訳ないって感じで、そこまで背負わなくても…って思うけど、怒る人はいるのかもしれない、なんならピクスクが復活しても「ピクスクを使うなんて信じられない」って人も多分いるでしょう…主催さんはほんとに終わったことも他人のことも背負うの、背負いすぎだと思うので本当におつかれさまですと見てて思いました。
今後の開催予定の主催さんとサークルさんがまじでしんどいと思う、本とか作ってるわけで…マイナージャンルだったりイベント出られない事情の人もいるだろうしさぁ～。
いや、正直まじで、この規模でやらかしてサ終しない可能性ある？
わたしはよくpixivのこと信用してないんでって言うけどまあよくピクブラ信用できますねって言われたら信用はしてないのでそこは違って、ほんとに、恩があるので沈むつもりで覚悟をしているだけなんで…今回の経緯によってはわからんけど今まで通りの信用できなさならぎり付き合う。
や、ほんとね、プレミアムの高額verのときの中の人の写真のせておしらせしてきたときにめっちゃひいたから、信用はしてないよ。

8/16 18:22続報
打ってたらおしらせきてたわ～！翡翠のこと忘れてるぅ～？
とりあえずサービスは継続するつもりめっちゃあるみたい、がんばれ…。
今後自ジャンル自カプ、または推しカプの人がイベント開催するときにピクスク使うかどうかの話なのでスクについてはわたしがどうこういうことじゃない。
ちなみにピクスペはまさに注文中でピクスペには送られてるはずなので待ってるんですよ～。
「返金を希望する方は」って気軽に書いてあるけどキャンセルってことですよね、サークルさんたまったもんじゃないな…まじピクスクの準備してた人とピクスペで在庫置いてる方がなんとかなるといいな…。
とりあえずピクブラと翡翠(忘れられてるが…)についてはわたしは引き続き続けるけどリンク貼れないかもなぁ～、もう見たくない人が多そう。
一応ね、運営のほうが被害者なので、ピクスペは実際応援してるっていう人もみるし、わかんないけど、ただ運営の中の人が気に入らない層はもともと多いからこの騒動がどうでるかなぁ～ってところ、わたしはサービスが継続するなら継続するけども。
あとプレとかキャンセルとかの返金についてが、必要なんだけど、必要なんだけど、「口座情報出したくねぇ～！」ってなるだろうなとか思う！
ゆうちょの通帳行方不明なので探しておかないと…頼む、口座情報は使ったらすぐ消去してくれ…。
こういうの、ピクスクに限らず登録してたもののデータを消すタイミングって企業側も難しそうだから登録系は1年とかに決めてもろて、入金する場合は必ずメール送って受取側が「届きました」の反応するシステム構築したほうがよさそう、届きましたの人は届きましたの方を保管して情報を消しておくみたいなやつ…それがないと受け取って反応したのに受け取ってないとかいうやついそうだから証拠残してデータは消してほしいよ～。
口座教えてひと月分だけ返金してもらうくらいなら別にカンパでもいいけどな(リスク回避)
いや、なんていうか、一言なのよ。
「別の第三者機関による脆弱性診断を受けるのは一番最初にせーよ！！！！！！！」
これがあるので犯人だけじゃなくて運営も引き続き叩く人はいるだろうなと思ってるよ。
あと被害が出てる人がいるならどうなるのかわかんないかなぁ。
わたしはもうどうせ漏れちゃってるんで今後安全になるならそれでいいよ。
多分だけどわたしだけじゃなくてnm、hnnmの人は移動先がないからこれを機にやめよってならない限り多分使うしかないと思う。
これを機にやめよ、がこわいんですよねぇほんとに…このサイトが趣味のわたしでさえ個人サイトでnmはやりたくねえって思ってるし。
ああ、鍵アカって手はあるのかな？わかんないけど。
とりあえずあの中に入ってないカワセミだけ先に返してくれてもいいのよ…という気持ちではいる(凹)
ちなみにだけどこの段階でピクト系からおしらせメール来てないのでこういうとこは間違いなく叩かれると思う、ピクスクはともかくブラグラモフの人にはツイッターみてない人も多分多いと思うよ～。
これはさすがに状況が状況だから急がしくて手が回らない、じゃなくて一番にやるとこだからなぁ。
とらのあなでさえ来てるのに…と思ったらXで「とらに登録してないのにとらからメールがきてたって言ってる人いる、フィッシングか？」って言ってる人いて修羅すぎないか…うちは普段通販してるとらからきてたけど言うてとらからきてる人ととらじゃないところから来てる人がいるかもしれないからなんとも言えないよねぇ…。