保安: pictBLandのユーザー情報80万件の流出報告と再開予告

概要

2023-08-17に「報道: BLに特化した創作SNS pictBLand/同人即売会サービスpictSQUAREへの不正アクセス・情報流出 | GNU social JP」で紹介したpictBLandに続報があったので紹介します。

件数

まず「pictSQUARE@pictBLand（pictMalFem、pictGLand）@pictSPACE (Web Archive)」で2023-08-21に流出した情報の具体的な件数が発表されました。

■8/7〜8/13の間に申請いただいた売上・返金振込について

本日、以下の申請内容に対する振込を実行いたしました。
・pictSQUAREのサークル参加料の売上（イベント主催者様）
・pictSQUAREのサークル参加料の返金（サークル参加者様）
・pictSPACEの頒布売上（頒布者様）

■8/7〜8/13の間に申請いただいた売上・返金振込について 本日、以下の申請内容に対する振込を実行いたしました。 ・pictSQUAREのサークル参加料の売上（イベント主催者様） ・pictSQUAREのサークル参加料の返金（サークル参加者様） ・pictSPACEの頒布売上（頒布者様） ・pictSPACEの頒布代金の返金（注文者様） 上記以外のAmazonギフト券・LINE-PAYについては、弊社サーバーを利用するため、現在は実行できない状態です。 大変申し訳ありませんが、今しばらくお待ちいただければ幸いです。 万が一、金額が間違っている・２日経過しても（23日になっても）入金されていないなどありましたらサポートセンターよりご連絡いただければ幸いです。 ■8/14〜8/20の間に申請頂いている売上・返金振込および、現在滞っている配送作業について 調査が完了次第、社内からのみ接続できる新しいサーバーを構築し順次対応再開を予定しております。 大変申し訳ありませんが、今しばらくお待ちいただければ幸いです。 ■問い合わせの対応状況について 順次対応させていただいております。 大変申し訳ありませんが、今しばらくお待ちいただければ幸いです。 ■漏洩被害の詳細な件数について 全ユーザーの皆様にメールにて概要を先日お伝え致しましたが、追加調査の結果による具体的な件数についてご報告致します。 （pictBLand、pictSQUAREの合算件数となります） ・アカウント情報：801,915件 ・メールアドレス：608,967件 ・電話番号：670,241件 ・配送先住所：221,007件 ・銀行口座情報：883件 ・X（Twitter）ID（数字式）：240,686件 各種情報はデータベース上で暗号化されておりましたが、暗号の複合キーも同時に漏洩しており既に複合されていると考えられます。 再掲となりますが皆様へ、本件の対策として大変お手数ですが以下のご対応をお願い申し上げます。 ・当サービスと同じパスワードを他のサービスで使用されている場合、他のサービスでのパスワード変更をお願いいたします。 ・不明なメールが届いた場合、メール内のリンクをクリックしないようお願いいたします。 ・不明なSMSメッセージが届いた場合、SMS内のリンクをクリックしないようお願いいたします。 ・ご登録の銀行口座に不審な入金がある場合は、まずは銀行に確認をお願いいたします。 ■作品データの保全に関して 各サービスのデータベースは1日に1度バックアップを取得しており、サーバーシャットダウン直前1週間分のバックアップデータが存在しておりますが、pictSQUAREについてはシャットダウン後に画像サーバー（アバター画像、会場MAP画像など）へ不正にアクセスされ、1167件の画像が書き換えられた形跡があります。 書き換えられた画像データについては大変申し訳ありませんが、運営事務局にて破棄させていただきます。 詳細については改めてご連絡させていただきます。 ※pictBLandの画像データが書き換えられた事象は確認できませんでした。 ■調査状況について 本日、愛知県警本部サイバー犯罪対策課様にご来社頂きサーバーログの受け渡しが完了しました。

— pictBLand＠BL特化SNS (@pictBLand) August 21, 2023

約80万件のアカウント情報が流出したようでした。

■進捗のご連絡
大変長らくお待たせし、誠に申し訳ありません。
以下のお待たせしている各種処理について、来週中を目処にスケジュール掲出を予定しております。
※各種状況によりスケジュールが前後する可能性がございます。その場合は改めてご連絡させていただきます。

※本件業務は関係各社のみ接続できる安全な環境を使用し、対応を予定しております。 ・「pictSQUARE：イベント主催売上振込申請・サークル参加キャンセル等による返金申請処理」 ・「pictSQUARE：イベントキャンセルと返金対応（サーバーダウン後の決済取消対応）」 ・「pictSQUARE：サークル参加キャンセルと返金対応（サーバーダウン後の決済取消対応）」 ・「pictSPACE：頒布物の売上振込申請・キャンセル等による返金申請処理」 ・「pictSPACE：注文キャンセルと返金対応（サーバーダウン後の決済取消対応）」 ・「pictSPACE：頒布物配送作業」 また以下の業務については順次対応開始しておりますので、今しばらくお待ちいただけますようお願い申し上げます。 ・「pictBLand、pictMalFemのプレミアム退会処理 ■上記以外の補償・補填について 本件における補償・補填について、現在内容を協議させていただいております。 対応決定までいましばらくお待ちいただけますようお願い申し上げます。 ■各サービスの復旧状況について 現在の全てのサーバー環境・プログラムを破棄し、再構築作業を行っております。 また、数社のセキュリティ会社様へも並行して相談を行っており、今後の具体的な対策について協議させていただいております。 具体的な対策内容については決定次第、公表させていただきます。

— pictBLand＠BL特化SNS (@pictBLand) August 26, 2023

その後、サーバー環境を再構築して、再開の準備を行っていると2023-08-26に報告がありました。

再開

その後2023-09-07 Thuにサービス再開の予告がありました。

【ユーザーの皆さまへ】
このたびは弊社サービスによる個人情報の漏えい事件により、皆様に多大なるご迷惑とご心配をお掛けしましたことを、誠に申し訳なく深くお詫び申し上げます。

本件におけるご報告と今後の対応について、下記URL（Notion）にてまとめさせていただきました。

・情報漏えいについてのご報告 ・サービス再開ガイドライン ・サービス再開スケジュール ・被害を受けた皆様への補償について

Notion

yellow-airboat-a0f.notion.site

大変恐縮ではございますが、ご一読頂ければ幸いです。

— pictBLand＠BL特化SNS (@pictBLand) September 7, 2023

「サービス再開スケジュール」に予定表があります。

## データ保全について

pictBLandは8月15日〜16日に掛けてデータが改ざんされたことから、バックアップの存在する8月14日6:00時点のデータまで巻き戻しを実施させていただきます。

pictSQUAREについては本体サーバーシャットダウン後に画像サーバーの画像の改ざんの形跡が一部確認されたため、該当の画像データを削除させていただいております。

## 新規会員登録の停止 （2023年9月8日12:00追記）

pictBLand（pictMalFem、pictGLand）については、サービス再開後も作家保護の観点から当面の間は新規会員登録を停止いたします。

※停止期間については未定です。

※pictSQUARE、pictSPACEおよび翡翠SINGSについては新規会員登録の停止は行いません。

## 再開スケジュール

脆弱性検査と対策が完了次第、再開を予定しております。

再開予定	サービス名	ステータス
9/21：13時	pictBLand（pictMalFem、pictGLand）	構築完了 脆弱性検査前
9/21：13時	pictSPACE	構築完了 脆弱性検査前
9/21：13時	pictSQUARE	95%構築 脆弱性検査前
9/21：13時	翡翠SINGS	脆弱性検査前

※検査と対応の状況によって日程が前後・変更される可能性があります。その際は改めてご連絡させていただきます。

考えうる対策を全て実施して、被害発生前の2023-08-14T06:00+09:00のデータまで巻き戻して、2023-09-21T13:000 Thuに再開予定とのことです。

結論

pictBLandのサービス再開予告でした。

被害を受けてから1か月でのサービス再開の予定になります。結局、どういう手口、攻撃内容だったかは不明です。

サービス再開後に攻撃内容の発表があることを期待します。