2011/10/03

有料PDF URLダダ漏れ問題

日垣隆氏の公式サイトではPDF(電子書籍)を販売しているのだが、電子書籍をクレジットカードで決済するとURLが送られてくる。このURLからは認証なしでセキュリテイのかかっていないPDFファイルがダウンロードできる。このことは以前の記事で述べたので詳しいことはそちらを参照してほしい。

このURLがネット上に流出し、誰でもファイルがダウンロードできることが明らかになった。さらにGoogleのロボットにクロールされ、データはGoogleにキャッシュされた。サーバー上のファイルはクレドPDF流出問題後に移動(削除)され、日垣氏の管理するサーバーからはダウンロードできなくなった。しかしそれでもGoogleで検索してクイックビューなどキャッシュを参照することで依然としてPDFがダウンロードできる状態が続いた。現在はキャッシュも消え、ダウンロードできない状態になったので、この記事を書くことにした。

流出したそれらのURLはこういったものだった。

  • 対談集(主にサイエンス・サイトークでのインタビューを文字に起こしたもの)の場合
    http://www.gfighter.com/images/shop/taidan_対談相手の名前.pdf
    例)山形浩生氏へのインタビューの場合
    http://www.gfighter.com/images/shop/taidan_yamagatahiroo.pdf
  • それ以外(絶版本・小冊子等)
    http://www.gfighter.com/images/shop/書名.pdf または
    http://www.gfighter.com/images/images/
    書名.pdf
    例)偽善系 http://www.gfighter.com/images/shop/gizenkei.pdf
    偽善系2 http://www.gfighter.com/images/shop/gizenkei2.pdf

つまり、URLには規則性があり、いくつかのURLを知っていれば、他のPDFのURLも十分に推測可能なものであった。ということは、流出のきっかけとなったのは、日垣氏公式サイトで(いくつかの)電子書籍を購入した顧客が問題に気づき、流出させたと考えることもできる。

しかし、私の知る限り最も早く多くの情報を流出させていたのは、次のページである。

mitsumisa's Public Timeline
http://bitly.com/u/mitsumisa

このページはbitlyを使った短縮URLサービスのユーザーページで現在15ページあるが、ここには問題のPDFがダウンロードできたURLが多数登録されている。最初にPDFのURLが登録されたのは2010年6月、そして2010年12月からはPDFのURLが増えている。しかし、登録されているページや時期が妙なのだ。例えば、第7回会緊急日垣塾のページなど、公開されていないページのURLが登録されているのだ。他人の著作を自炊して公開問題で取り上げた「問題のPDFファイル」のURLも2011年6月7日(問題が2ちゃんねるで指摘されるひと月以上も前である)に登録されており、Info Page+ を見ると登録された直後に多数のユーザーが短縮URLにアクセスしている。また、緊急日垣塾の模様を撮影した写真のURLもイベント翌日に登録されている。そして、日垣氏のメールマガジンで使われている短縮URLの一部はこのユーザーによって登録されたものなのだ。

このmitsumisaというユーザーは何者なのか?

mitsumisa 日垣隆で検索してみると、どうやらそれらしい人物がヒットする。ただし、この人物がこの短縮URLサービスのユーザーであると特定・断定することはできない。しかし、先に書いたことによりこのmitsumisaというユーザーは日垣氏のスタッフであると推定している。つまり、故意であるか不注意かはわからないが、情報を漏らしていたのは日垣氏のスタッフであったのではないか。

以前の記事でも取り上げたが、日垣氏はこのダダ漏れ問題について2011年9月3日にfacebookで次のコメントを残している。

今朝は、私の公式サイトがハッカー被害にあい、有料コンテンツを無料にして新たなリンクを貼る(これは窃盗罪です)などをされました。メッセージでの嫌がらせから、犯罪の領域に入ってきています。

実際はサーバーを不正に操作されたなどということはないだろう。URLが流出していたのは一年以上前からであり、2011年7月には2ちゃんねるやツイッターでは公然の秘密であった。「今朝は」などという短い期間の話ではない。問題となる情報は内部スタッフによって漏えいしていたと推定される。仮にそうでない場合は日垣氏のいう「窃盗罪」の有力な容疑者はこのmitsumisaというユーザーになってしまう。

時系列を以下に整理しておく。

2010/06 bitlyユーザーmitsumisa氏により日垣氏サイトのPDFへの直接リンクが登録され始める
2010/12 mitsumisa氏によるPDFのURL登録が増え始める
2011/06/07 他人の著作をPDF化したもののURLがmitsumisa氏により登録される
2011/07/27 ダダ漏れ問題・他人の著作を自炊して公開問題発覚
2011/08/31 クレドPDF流出問題発覚
2011/09/03 日垣氏のサーバーからファイルが移動(削除)されダウンロードできなくなる。facebookで日垣氏「ハッカー被害」発言
2011/09 しばらくはGoogleのキャッシュからダウンロード可能だったが、徐々にキャッシュが使えなくなる。9月末には有料のPDFはすべてキャッシュから消える

(『クレドPDF流出事件』に続く)