カドカワ取締役、CEOの“X乗っ取り”事案を報告　ユーザー間で情報漏洩を懸念、最悪想定した自衛が共有

6月上旬より発生するサイバー攻撃によるKADOKAWAグループでのシステム障害に関し、先日一部報道機関が公開した内情めぐる報道について、関係役員から相次ぎ抗議が寄せられていた。その新たな動きとして、同社取締役を務める川上量生氏の投稿が話題になっている。

川上氏は24日の昼過ぎ、自身のXを更新し「先ほど、KADOKAWA社長の夏野剛のXアカウントが乗っ取られました。」と報告。夏野氏のXアカウント（@tnatsu）上で不自然な日本語の投稿があるとの報告が同時期に行われていたものの、すぐに削除されていた。なお、同氏によるとすぐに同アカウントは奪取したとい、現在は乗っ取り状態にはないという。

川上氏は報告に際し「NEWSPICKSは今後起こる同様の事象について責任をとる覚悟でもって報道されたのでしょうか？」「なぜ、今、報道する必要があったのかを問いたいと思います。」として、攻撃者に関する報道を行ったNewsPicksに対し抗議を行っていた。

一連の報告をめぐり、SNS上では両社それぞれの是非に疑問を持つ投稿が寄せられたほか、川上氏の乗っ取られたという主張から、本事案での情報漏洩の可能性も示唆され、最悪を想定した対応を行うように促す有志の情報発信が目立っている。

公式からの一連の問題に対する発表は一切行われておらず、外部機関の報道を全て信用すべきとは言えないまでも、個人情報漏えいに関連する可能性が少しでも存在する限り、そうしたリスクへの対応は各個人でやっておいて損はない。

こうした考えとともに、具体的には以下の２点を確認したほうがよいと啓発する投稿が注目されている。

■同じパスワードを使っているサービスの設定変更

こちらは本件に限った話ではなく日頃から心がけるべきことだが、「ニコニコ」と同じパスワードを設定してた他サービスの設定見直しを行うべきとの啓発。

原則として、ほとんどのWebサービスはパスワードをハッシュ化（不可逆変換）してデータベースに保存する。ニコニコでは平文保管のような脆弱な運用体制は行っていないと思われるが、漏洩リスクが存在する限りチェックしておいたほうが良い。

■アプリケーション連携の解除

ニコニコアカウントとXアカウントを連携している場合、X上での「アプリケーション連携」からニコニコ関連を解除するようにとの啓発。主にSNSで呼びかけられているのはこの連携解除という点で、川上氏が報告した乗っ取り被害もこれに起因する可能性が非常に高いとされている。

Xでのアプリケーション連携とは、X外部の第三者が作成した外部サービスでXアカウントの情報を使いログイン等の処理が行えるようになるもので、その連携権限次第ではポスト（投稿）の取得、作成、削除といった高レベルの操作も可能になる。

通常、アプリケーション連携時には上記の操作を行うために各人固有の「アクセストークン」が割り振られ、外部サービスはそれを保管する。そのため、アクセストークンが漏洩されると「パスワードがわからなくても投稿ができる」可能性が生まれてしまい、過去にも同様の被害が他社で発生していた。

現時点でドワンゴが提供するX連携サービスは主に「ニコニコアカウント連携」および「ニコニコ生放送アプリ」など。XアプリやWebサイトの設定から「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」を進むと表示されるので、そちらで連携を遮断することができる。

公式発表では現在「情報漏洩に関しては調査中です」とのみ発表されており、詳報が無い以上、不必要に不安を煽るような呼びかけは行うのは推奨されない一方、セキュリティに関連する事項であるため、最悪を想定して一度チェックしておいたほうが良いだろう。