発生概要
当サービスが利用しているクラウドストレージサービス(Wasabi)に関して、特定のバケット設定に不備があり、外部からオブジェクトIDの一覧を閲覧可能な状態になっていたことを確認しました。
対象バケットにはMisskeyのドライブ機能にて保存されているデータが保管されており、それらのファイル名リストを第三者が参照可能な状態となっていたことを確認しました。
※オブジェクトIDとは: ランダムに付与されたユニークなIDで、ファイルにアクセスする際のURLに含まれます。
影響範囲
- 閲覧可能であったのはオブジェクトIDの一覧であり、利用者が「非公開」と認識しているであろうデータも含まれていました。
ActivityPub連合の仕様上、オブジェクトIDが特定されることで当該ファイルにアクセスすることが可能でした。(詳細なアクセス制御が不可)
- ActivityPub連合の仕様上、投稿された内容については他サーバーに複製され得る設計です。しかし本件では、本人が共有しなければ存在を知り得ないようなファイル(非公開のものを含む)が含まれていた点に問題があります。
- 現時点で不正利用や二次被害の情報は確認されておらず、当サービスの登録に使用されているユーザー情報(メールアドレスやパスワード等)の流出もございません。
影響期間
発生原因
- バケット一覧(index)表示機能が有効となっていたため。
対応状況
- 2025年10月のセキュリティチェック時に、過去にindexが公開されていたことを管理者が発見しました。
- 2025年2月のサーバー構成見直し時にバックアップと合わせて対象バケットのアクセス権限を変更し、外部からの一覧取得を不可能にしていました。
- 現在はアクセス制御を再点検しており、対応は実施済みです。
- アクセスログについてはWasabi側に保持されていないため詳細な追跡はできませんが、
https://media.niri.la/において特異なトラフィックは観測されておらず、大量取得などの痕跡は確認されていません。