※本記事は「第5回ビジュアルノベルオンリー」のお知らせとして掲載したもの(こちら)を、pictSQUAREにログインせずに閲覧できるようコピーして掲載したものです。
お世話になっております、倉下@crAsmです。
今回のお知らせでは、pictSQUAREのセキュリティに関する主催(倉下)の解釈、および第5回ビジュアルノベルオンリーにサークル参加される皆様へのお願いについてご連絡させていただければと存じます。
本来であればサークル募集開始前に展開すべき内容でしたが、大変遅くなり申し訳ございません。
まず、今回本イベントを開催するに当たり、pictSQUAREが信頼できるサービスか素人なりに検証した結果を以下に綴らせていただきます。
(1) 運営会社について 会社名・法人番号・代表者名は確認できましたが、資本金や従業員数等について信頼できる情報源には行き当たれませんでした。
(2) インシデント発生時の対応について 独立行政法人情報処理推進機構(IPA)の「情報漏えい発生時の対応ポイント集」と、pictSQUAREサービス提供元であるGMW社からの報告内容とを照らし合わせると、GMW社の対応が明らかに不適切という印象は受けませんでした。
(3) サービス再開後について ログイン方法が「メールアドレスを入力→届いた認証コードを入力」となっていますが、メールが盗聴されたり、メールボックスに不正にログインされた場合にpictSQUAREのアカウントも乗っ取られてしまう可能性があり必ずしもセキュアとは言えないという認識です。 パスワードを持たないことで流出時のリスクを抑えているとも取れますが、これはパスワード流出防止策を十分に施せないことを意味している可能性があると深読みできなくもありません。 また、pictSQUAREからのお知らせ内でこの方式が「二段階認証」と呼ばれていますが、「パスワード+メール認証」ではなく「メール認証のみ」であり、「二段階」という表現が適切とは考えにくいです。
上記より、イベント中止には至らなかったものの、手放しで安心はできないと考えています。
そこで、恐れ入りますが皆様には次の対応をお願いできればと存じます。
不審なメッセージ等を受け取った場合はアカウントの乗っ取り等を疑ってください。そのメッセージを受け取った方法とは別の方法で送信者に確認してください。例えば、pictSQUARE上で倉下から金銭や個人情報を要求された場合、pictSQUARE以外のサービス(XやHPの連絡欄など)からご連絡ください。
有料作品や配送商品の頒布は支払情報や住所の入力を必要とするため、pictSPACEでなく、実績があり信頼のおける別サービスを使用することもご検討ください。
極端に付加価値の高いコンテンツをイベント内限定で配布すると、pictSQUAREの使用を望まない方にも使用を促してしまう可能性があります。そのようなことが無いよう、参加していない方も後日入手できるようにするなどの工夫をお願いできますと幸いです。
加えて、繰り返しとなりますが、有事の際の被害を最小限にとどめる為 日頃のセキュリティ対策を引き続きお願い申し上げます。
正直に申しますと、主催としても本イベントを開催すべきかどうか明確な答えに辿り着けないまま リスクを承知の上であるべき姿を模索すべく開催に至ったところではございます。 ご意見や気になる点などございましたら倉下までお気兼ねなくお申し付けいただけますと幸いです。 何卒、よろしくお願いいたします。
倉下@crAsm