サイバーエージェントが「独自ドメイン」のSSL化失敗、復旧は未定、アメブロも危険か?
【金融報道】 令和五年二月二十二日にサイバーエージェント(4751.Tp)が運営する『Ameba Ownd』にて独自ドメインのSSL化(http⇒https)に失敗する事象が発生した。セキュリティ事案。直近半年間の株価は、下降トレンド。
以下が、総務省のSSLの説明。
Secure Socket Layerとは、インターネット上でデータを暗号化して送受信する仕組みの一つです。
クレジットカード番号や一般に秘匿すべきとされる個人に関する情報を取り扱うWebサイトで、これらの情報が盗み取られるのを防止する為、広く利用されています
企業のWebサイト運用上、非常に重要な要素で、顧客信用に関わる。通常、独自ドメインのSSL化は、各企業が「SSL証明書」を有料で購入。年単位なので、個別にセキュリティ更新をする必要がある。Ameba Owndでは、平成三十年より独自ドメインのSSL化に対応。SSL証明書の無料発行と自動更新を行っていた。
<広報は無回答>
報道府では「FPhime」をAmeba Owndにて運用している。今回の事象につき、同社の広報へ取材。以下の三点を聴いた。
- SSL化が外れる理由は?
- 外れた場合の復旧に掛かる「平均日数」は何日?
- アメブロでも、同様の事象は?
同社の広報からは何ら回答は無かった。顧客のセキュリティに関する事案に関し、通常の上場企業で広報が無回答はあり得ない。サイバーエージェントのセキュリティ意識が余りにも乏しい。
復旧見込みも無回答
代わりにAmeba Owndの運営事務局から回答があった。その回答を報じる。一では、Ameba Ownd側に問題があると。システムの一部を刷新した際に、「http」でアクセスを行われた場合、「https」へ自動でリダイレクトする仕組みが適切に動作していない状態に起因している可能性があるとの事。
二は、無回答。「FPhime」では、間もなく事象発生より二週間が経過するが経過報告は無く、報道現在で改善せず。
三では、アメブロとAmeba Owndでは異なるサービスとしたが、同様の事象の発生可能性をうやむやにした。つまり、アメブロでも「https」でなくなる事が起こり得る。
二十一世紀を代表する会社を創る
SSL化の失敗以外にも、自社のAmeba Owndの記事が検索できない事象も長年放置。Ameba Owndはサイトに組み込める「検索ボックス」を提供しているが、検索機能が正しく機能していなかった。事象としては、検索ワードを打っても検索結果が何も返ってこなかった。
当該事象につき、同社の回答は以下の通り。
Ameba Ownd内の検索結果は、必ずしもキーワードの完全一致ではなく、入力されたキーワードとの部分一致により検索結果に表示される仕様でございます。
また、ご利用のAmeba Owndサイト内で検索された際に、キーワード記載内容や関連するキーワードが多い状態等に起因し、検索結果に反映されない事がございます。
Ameba Owndでの検索時の仕様となりますので、不具合等で表示されていない状態ではない事をご理解頂けますと幸いです
同社は上場企業であり、ビジョンは「二十一世紀を代表する会社を創る」。特に「https」でなくなる(SSL化が失敗する)と、Google検索のSEOに悪い影響を与える。これはアメブロ等を独自ドメインで運営している企業には痛手だろう。同社のITエンジニアの力に、陰りが見え始めているのかもしれない。
尚、「FPhime」では本事象の経緯を見守り、適宜、報じていく。
記事:金剛正臣
画像:Google、FPhime