ライブドアブログ公式投稿アプリ(iOS / Android)におきまして、特定の利用環境下において、ユーザーの個人データを含む登録情報が他者より閲覧、操作される可能性のある不具合が判明いたしました。
ユーザーの皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
2022年8月3日にリリースのライブドアブログ投稿アプリのバージョン4.6.0にて本不具合は解消しております。バージョン4.6.0未満のユーザーの皆さまは、投稿アプリのアップデートをお願いいたします。
なお、現時点で個人情報の不正利用などの二次被害の発生は確認されておりません。
本不具合の詳細
【不具合1】同一端末で複数のlivedoor IDを切り替えて利用した場合に、一部機能で前のlivedoor IDとしてログインされたままとなる不具合
2017年8月3日にリリースした投稿アプリのバージョン 4.0以降において、同一端末で複数のlivedoor IDを切り替えて利用している場合に、アプリで利用している2つの認証情報(「アプリの認証(*1)」と「アプリ内web版の認証(*2)」)のうち、「アプリ内web版の認証」がログアウト時に破棄されない不具合が発生しておりました。これにより、同一端末の投稿アプリを複数名でlivedoor IDを切り替えて利用していた場合、前にログインしていたユーザーの認証権限を取得でき、一部機能の閲覧および編集、削除、設定変更といった操作が可能な状態となっておりました。
【不具合2】管理画面への通信の一部で、HTTPS通信が使われていない不具合
ライブドアブログの管理画面は、2019年11月よりHTTPSでの通信に対応しておりますが、投稿アプリ内において管理画面への通信の一部でHTTPSでの接続が利用されておりませんでした。これにより、ユーザーが投稿アプリを信頼できないネットワーク回線(悪意を持って設置されたWi-Fiアクセスポイント等)で利用しており「アプリ内web版の認証(*2)」を必要とする操作を行った場合に、ユーザーの認証情報を盗み取られる恐れがございました。(「アプリの認証(*1)」の際のパスワード入力については本不具合の影響を受けておりません)
ユーザーの皆さまへのお願い
1台の端末で他の利用者の方と複数のlivedoor IDを切り替えてアプリを利用された方や、信頼できないネットワーク回線でアプリを利用されていた方が不具合の対象となります。今後の被害を防止するために必要な確認や変更内容を「対象となるユーザーの皆さまにおいて必要な対応」に記載しております。内容を必ずご確認いただき対応をお願いいたします。
※上記の利用方法に該当しないユーザーの皆さまは、本不具合の対象ではございませんので、以降の確認は必ずしも必要ではございません。
不具合により、他者より閲覧、操作が可能であった情報
不具合1における影響範囲
(他の利用者の方と同一端末を共有し、複数のlivedoor IDを切り替えてアプリを利用された方に限る)
【1】閲覧可能であった個人データ項目
・メールアドレス
・公開前のブログ記事や画像ファイル等
・ブログの各種設定(ブログ全体の閲覧パスワード、個別記事の閲覧パスワード、限定公開相手のlivedoor ID、API Key、管理メンバー設定等)
・コメント関連の情報(未公開のコメント内容、投稿元IPアドレス)
・メッセージ関連の情報(名前、本文、投稿元IPアドレス)
・アクセス解析情報
【2】編集、削除、設定変更といった操作が可能であった個人データ項目
・メールアドレス
・ブログ記事、画像
・ブログの各種設定(ブログ全体の閲覧パスワード、個別記事の閲覧パスワード、限定公開相手のlivedoor ID、API Key、管理メンバー設定等)
・コメント関連の情報
・メッセージ関連の情報
不具合2における影響範囲
(信頼出来ないネットワーク回線で「アプリ内web版の認証(*2)」を行った場合に限る)
・上記に加え、livedoor IDのパスワードの閲覧、変更
対象となるユーザーの皆さまにおいて必要な対応
1) 投稿アプリの最新バージョン(ver 4.6.0)のインストールをお願いします
以下のお知らせより各アプリストアにアクセスの上、アップデートをお願いいたします。
投稿アプリ(iOS / Android) Ver4.6.0をリリースしました
2) パスワードの変更や、ライブドアブログ管理画面での設定の確認・変更を行ってください
以下のヘルプページにて、パスワードが漏えいした場合や不正アクセスされた場合にご対応いただきたい事項を記載しております。確認とご対応をお願いいたします。
【ヘルプ】livedoor IDのパスワードが漏えいした場合や不正アクセスされた場合の対応
アプリのバージョン確認方法
現在ご利用いただいているアプリのバージョンは、以下のいずれかの方法でご確認いただけます。
投稿アプリ上で確認する方法
1. 投稿アプリにログインし、左上の三本線をタップしてメニューを開きます
2. 「このアプリについて」をタップします
3. 開いたページに表示されている数字が「4.6.0未満」であれば、ご利用のアプリは最新ではありません
最新バージョンでない場合はアップデートをお願いいたします。
表示されている数字が「4.6.0」であれば、ご利用のアプリは最新です。
各アプリストアで確認する方法
App Store, Google Play等、各アプリストアにアクセスした際、「アップデート」が表示された場合は、ご利用のアプリのバージョンは最新ではございません。
最新のバージョンにアップデートをお願いいたします。
用語
(*1)アプリの認証
投稿アプリにログインを行う認証のことです。
(*2)アプリ内web版の認証
投稿アプリへログインした後に、「ブログ設定」及び「デザイン設定」へアクセスする際に求められるログインのことです。
端末共有時の注意点
投稿アプリからログアウトした状態で端末を共有した場合であっても、ロックがかかっていない状態の端末を解析された場合や、端末を共有した相手が端末のパスコードを知っていたり生体認証を許可されていたりする場合には、livedoor IDのパスワードも含めた認証情報が読み取られる可能性や、生体認証やパスコードを用いて以前のアカウントでログインされる可能性がございます。
信頼できない相手には端末を共有しないようご注意ください。
ログアウト状態で端末を共有した場合には、身に覚えがないログイン通知がないかをご確認ください。
投稿アプリ内の認証情報を完全に削除する場合は、投稿アプリのアンインストールをお願いいたします。
お問い合わせフォームについて
ヘルプページ「お問い合わせ」内にあるお問い合わせフォームより、ご連絡をお願いいたします。
ユーザーの皆さまにはご迷惑とご心配をおかけいたしますことを、重ねてお詫び申し上げます。
今後ともライブドアブログをよろしくお願いいたします。