平素よりGyazoならびにScrapboxをご利用いただきありがとうございます。この度、弊社CTO増井俊之(以下当人)のTwitterアカウントとGyazoアカウントが不正利用されているとのご指摘をユーザーのみなさまよりいただき、事実関係を調査いたしましたところ、不正利用の事実が判明いたしました。
アクセスログ等の確認ならびに当人への聞き取り調査により、当人がGyazoアカウントに他のWebサービスと同じパスワードを設定しており、このパスワードが漏れたために第三者に不正利用されたものと確認しております(いわゆるパスワードの使い回し)。また、当人がGyazoアカウントにTwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており、その画像を元にTwitterアカウントも不正利用されたことが、アクセスログ等の確認ならびに当人への聞き取り調査により判明しました。現在、当人にパスワードの使い回しの禁止と2段階認証の導入を指導し、Twitter社のご協力により当該のTwitterアカウントは復旧済みです。本件についてユーザーのみなさまにご心配とご迷惑をおかけしたことをお詫び申し上げます。
なお、弊社では従来より当人に顧客情報ならびに運用システムへのアクセス権を付与しておらず、統計処理された情報に関しても同様に管理画面へのアクセス権を有しておりません。アクセスログ等の確認ならびに当人への聞き取り調査により、当人はそれらの情報を保存しておらず、当人及び当人に関連する情報以外の他のユーザーのみなさまの情報が流出した事実がないことを確認しております。
また、不正アクセスの実行者と思われる第三者により以下の画像がGyazoのデータベースであるとして公開されましたが、現在弊社ではGyazoの顧客情報をAmazon AWS S3に保存しておりません。以下は当人が個人で所有するAmazon AWSアカウント上でdata.gyazo.comという名称を設定したものであり、弊社とは一切関係のない画像です。Amazon AWS S3ではバケット名を自由に設定でき、当人への聞き取り調査により当人が実験的に付与した名称であることを確認しています。
弊社では顧客情報管理のセキュリティ強化を進めておりましたが、役員である当人の情報管理に問題があったことを深く反省しております。今後このような事態を起こさないよう、再発防止に努めてまいる所存です。
なお、本件を踏まえて弊社では運営するWebサービスでの2段階認証の導入を含めた、ユーザーのみなさまにご利用いただけるセキュリティ強化機能の追加を予定しております。リリース次第順次、当ブログならびに弊社運営のTwitterアカウント等でご報告させていだきます。
みなさまに、ご心配とご迷惑をお掛けいたしましたこと、重ねて深くお詫び申し上げますとともに、今後もGyazoならびにScrapboxをご愛顧たまわりますようお願い申し上げます。