BL特化型SNS『pictBLand(以下:ピクブラ)』ですが、BL好きにとって欠かせないサービスの一つです。
2013年にサービス提供が開始されて、世界中の方に利用されています。
BL作品を創作して、共有できる、他の人の作品を見れるなどBL好き同士がつながれるメリットもありますね。
そんなピクブラですが不正アクセスの被害にあってしまい、利用者の情報が漏れてしまった可能性があるようです。
利用者はかなり多いため、自身の個人情報が漏洩していないか心配になりますよね。
サーバーのセキュリティ対策が適切ではなかったのでしょうか。
【弊社サービスにおける重要なセキュリティ情報とお詫び】
弊社サービスをご利用いただいている皆様に、大変重要なお知らせとお詫びの言葉を申し上げます。
先日、当サービスのデータベースに不正アクセスが行われ、データベースの情報が第三者によって流出した可能性が判明いたしました。…
— pictBLand@BL特化SNS (@pictBLand) August 15, 2023
ピクブラ公式の発表内容
ピクブラ公式は下記のように発表しています。
弊社サービスをご利用いただいている皆様に、大変重要なお知らせとお詫びの言葉を申し上げます。
先日、当サービスのデータベースに不正アクセスが行われ、データベースの情報が第三者によって流出した可能性が判明いたしました。
・pictBLand:ログインメールアドレス・ログインパスワード
・pictSQUARE:ログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報
(弊社サーバーにはクレジットカード情報は含まれておりません)
この件に関して、皆様に多大なる不安とご迷惑をおかけしておりますこと、心より深くお詫び申し上げます。 現在、以下のサイトにてサーバーのダウンを行っております。
・pictBLand(pictMalFem、pictGLand)
・pictSQUARE
また、pictSQUAREにおいては振込先口座情報、配送先住所情報について弊社のほうで削除いたしました。 復旧時期については追ってご連絡いたします。お待たせして申し訳ありません。
現在、当社ではさらなる問題の原因の究明および再発防止策を最優先で進めております。さらに、警察など公的機関とも連携し、事態の早期収束に向けて全力で取り組んでおります。
保護すべきユーザーの皆様の情報を守ることが、我々の最重要の責務であることを痛感しております。このような事態を招いたことは、言い訳のしようがございません。
対応策として、皆様には下記のアクションをお願いさせていただければと思います。
・他サービスで、当サービスと同じパスワードを使用されている場合、他サービスでのパスワード変更をお願い致します。
・万が一、よくわからないメールが来た場合、メール内に記載されているリンクはクリックしないようお願い致します。
今後、具体的な再発防止策や詳細な調査結果が判明次第、追ってご報告させていただきます。
また、本件専用の相談窓口を設ける予定です。(この期間に生じたpictSQUAREサークル参加料金について全額補填させていただきます)
皆様の安全と信頼を第一に、今後のサービス運営に努めてまいりますので、何卒ご理解とご協力のほど宜しくお願い申し上げます。
(出典:pictBLand)
今回の不正アクセスで利用者の下記情報が漏れてしまった可能性があるとのことです。
・pictBLand:ログインメールアドレス
・ログインパスワード
・pictSQUARE:ログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報
pictBLand(ピクブラ)が不正アクセスされる
↓
ユーザーが気づいて拡散
↓
犯行グループがユーザーのメアド・パスワード・電話番号・住所・口座情報等を人質に運営を強請る
↓
pictSQUAREを含むサービス一時停止
↓
ユーザーのクレカ以外の個人情報漏洩発覚webオンリー参加者でもパスワード変更必須
— 比呂ころく( ་ ⍸ ་ ) (@hirokoroku) August 15, 2023
ピクブラ・ピクスクがやばい!利用者(ユーザー)はどうすれば良いのか?
具体的な再発防止策や詳細な調査結果についてはピクブラと警察が連携したうえで改めて発表されるので、定期的にHPやX(旧Twitter)を見るようにしましょう。
また、会員登録している利用者は早急に下記対応が必要になります。
他サービスでの同一パスワードを変更する
今回の不正アクセスで漏洩した情報に「ログインメールアドレス」「パスワード」が挙げられます。
私含めてありがちなことですが、忘れないために他サービスでも「ログインメールアドレス」「パスワード」を同一にしていることがあると思います。
サービスによっては決済サービス、クレジットカードなどと連携していることもあるかと思います。
誰もが使っている代表的なサービスなど、漏洩したメールアドレスとパスワードをつかって簡単にログインできてしまいます。
利用者はまずよく使うサービスを書き出し、優先順位をつけたうえでパスワード変更をしていきましょう。
信用できない送り先からのメールやURLを開かない
メールアドレスが漏洩していることから、悪用される可能性があります。
特に、複数名を対象にスパムメールを送信し、開封やURL先に飛ぶことでウイルス感染させることもあります。
X(ツイッター)で乗っ取り発生
ピクブラとピクスクの乗っ取りと思われるツイートのスクロール動画撮ってみたがホラー pic.twitter.com/lTPggRoAXg
— やせい:多忙 ニコ&bili🀄lowpace (@ya72sei_2) August 15, 2023
pictBLand、ピクブラっていうの?
パスワードやアカウントIDが流出したって言われてるけど、X(旧Twitter)でIDとパスワードが共通だったと見られるアカウントから次々とアカ乗っ取りツイされてる感じか?
これ歴史的事件だよ。少なくとも数百件以上からツイートがされ続けてる。 pic.twitter.com/UqvxgmUsPB
— ヨシフ・スターリン料理長.zip (@Stalin_Bot_JP) August 15, 2023
ピクブラやピクスクIDとパスワードがX(Twitter)と共通であったため、アカウントの乗っ取りが複数件発生しています。
GoogleアカウントIDやパスワードがピクブラやピクスクと同じで、Chromeのパスワード保存と同期機能をオンにしている方は、ログイン履歴を見るようにしましょう。
ログイン履歴の確認方法も記載いたします。
- Google アカウントに移動します。
- 左側のナビゲーション パネルで [セキュリティ] を選択します。
- [お使いのデバイス] パネルで [すべてのデバイスを管理] を選択します。
- お使いの Google アカウントに現在ログインしているか、過去数週間にログインしたデバイスが表示されます。詳細を確認
- するには、デバイスまたはセッションを選択します。
- ログアウトしたデバイスやセッションには [ログアウト済み] と表示されます。
- 同じデバイスタイプに対して複数のセッションが表示された場合、それらのセッションはすべて 1 つのデバイスで行われ
- た場合もあれば、複数のデバイスで行われた場合もあります。詳細を確認して、すべてのセッションがお使いのデバイスから行われたものかどうか不明な場合は、各デバイスでログアウトしてください。
(出典:Google)
ただでさえ、ピクブラ・ピクスクを利用していることを周囲にバレたくないのに、アカウントが乗っ取られるのは最悪ですよね。
セキュリティ対策がしっかりされていたのか本当に気になります。
ピクブラ・ピクスク関するのX(ツイッター)情報まとめ
iPhoneやiPad使ってる人は、設定→パスワードから各サイトで登録したメアドやIDとパスワードの一覧見れるので
そこでピクスクやピクブラで登録したのを確認して、他のサービスで同じメアドとパスワードの組み合わせ使ってるの一覧で見て片っ端から変えるといい https://t.co/knadRBCumg— ユーク@Tiamat (@Eucleas24) August 15, 2023
私が説明下手すぎてあれなんですが伝えたいのは
「ピクブラには登録してないから関係ない」→何故かピクスクのアカで言ってないけどピクスクの個人情報も抜かれてる
「ピクスク今入れないからパスワード変えられない」→今確認と変更をすべきは同じメルアドやパスを使っていた別サービスのほう
です
— 留吉(豆板醤) (@masa1xkane) August 15, 2023
本垢でも投稿しましたが、ピクスク思ったよりヤバいと思うのでちょっと共有します。
※こちら要約文のため実際に投稿されていた内容と文言は多少異なるそうです
(こちら情報共有にあたって投稿主さんにDMにて連絡して許可頂いてます) pic.twitter.com/oX2ISDQzBV— Neu (@neu377N) August 15, 2023
ピクブラ、ピクスクのIDとPW覚えてないよ~!って人でChromeブラウザ使っていたら設定 → 自動入力とパスワード → パスワード マネージャー→パスワード検索 で『pict』で検索するとパスワード保存している人はpictsquareの保存パスが出てくるので確認できるよ。(WindowのPINコード聞かれるが) pic.twitter.com/M09uA3loOY
— ᑎᑌᗰ (@num930) August 15, 2023
なぜ不正アクセスは発生してしまうのか?
不正アクセスが起きる主な原因は多岐にわたります。
脆弱性の存在
まず、ソフトウェアやハードウェアには脆弱性という欠陥や不備が生じることがあります。例えば、ウェブアプリケーションにおけるSQLインジェクションのような脆弱性は、攻撃者によってデータベースの操作や情報の取得が可能となってしまいます。
弱いパスワード
また、ユーザーが弱いパスワードを設定することも一因となります。具体的には、「password」や「12345678」といった一般的で推測しやすいパスワードを使用することで、総当たり攻撃(ブルートフォース攻撃)により容易にアクセスされるリスクが増加します。
ソフトウェアの更新の不足
ソフトウェアの定期的な更新の不足も問題です。たとえば、未更新のWordPressは新しく発見された脆弱性を利用されやすく、攻撃のターゲットとなります。
フィッシング
次に、フィッシングという詐欺手法もよく見られます。ユーザーが銀行を装った偽のメールやウェブサイトに騙され、ログイン情報などを攻撃者に提供してしまうことがあります。
不適切な設定
システムの不適切な設定もリスクを高めます。例として、データベースの管理画面が公開されていたり、不要なサービスが有効な状態で放置されていると、攻撃者の入り口となりやすくなります。
内部からの脅威
組織内部の人間、例えば従業員が意図的に情報を持ち出したり、うっかり機密情報を公開することも、内部からの脅威として考えられます。
物理的なアクセス
さらに、サーバールームやデータセンターなどの物理的な場所へのセキュリティが不十分な場合、機器への直接的な不正アクセスの危険が考えられます。
マルウェアやウィルス
最後に、マルウェアやウィルスによる感染も常に懸念されます。トロイの木馬などのマルウェアは、正当なソフトウェアに紛れてシステムを感染させ、情報を盗んだりすることがあります。
不正アクセスを防ぐには定期的なソフトウェアの更新、強固なパスワードの使用、セキュリティ教育、脆弱性評価など、多岐にわたるセキュリティ対策を実施することが何よりも重要です。