pictBLand・pictSQUAREで不正アクセスが発生、パスワードや口座情報などが流出した模様

みつき@原稿中 @hopscotch_3101

凍結前に見てたからスクショとれたけど、よくよくみたらこれ込みで住所バレ口座バレって、ピクブラどう責任取るつもりなん？ ※もともとは一部モザイク 変えられるものは早く変えてくれみんな pic.twitter.com/IYjDyI787V

拡大

まるてん @ckbthbr

@pictBLand ヤバい。pictBLand利用者と思われる方のアカウントが次々に乗っ取られてるっぽい。 pic.twitter.com/K7L5vVhfmQ

拡大

otk☄️ @otk_space

なぜお金を払わなかったのですか？ あなたにとって、お客様よりもお金が大切なのですか？ 終わりだ, ピクブラとピクスク. という文面のツイートが複数人のXアカウントから投稿されている……。 ピクプラだかピクスクだかに登録済みの人は、Xのメールアドレスとパスワードを今すぐ見直してください。

秋雨 @aki_same

「なぜお金を払わなかったのですか」で検索したら怖すぎた…これ全部乗っ取り？？？怖い…URLは絶対踏まないよう気をつけて…

┆ @_rukah

ピクブラは犯人から脅迫されてたの……？ その辺は公式が何も触れてないからよく分からないけど、経緯説明はしてほしいかな……。それはそれとして登録削除はしますが

えいや @eystc

ピクブラ、パスワードを忘れたときに生パスワードをメールで送ってきたので理由にそれ書いて即退会した。数年後にもう一度登録したときも変わってなかったので今も平文管理してる可能性は普通にあるよ。少なくとも数年前はやってた。

えいや @eystc

少なくとも2017年の時点では生パスワードをメールで送ってきてたよ。さすがに平文管理はないんじゃないかな…という話題を見たので…。 pic.twitter.com/w4uZRztAcW

拡大

noon🐥 @noonworks

いくらなんでもパスワード平文保存してるわけないから、このお知らせで流出の可能性があるって言ってるのはハッシュ化済みパスワードで、ハッシュ化済みでもsaltやpepperごと盗まれたなら時間をかければ解読は可能だから早めにパスワード変えてねってアナウンスだと思う（平文保存言説を見た）

みょん @parfa_15

ピクブラのパスワード平文送信問題、2020年には再設定式に変わってたっぽいから今は平文管理はしてない、と思いたい…… それでも今回の情報漏洩は酷すぎるけど

二本松哲也 ♢ qualias.eth @t_nihonmatsu

pictSquareのデータベースに不正アクセスが行われ、3時間ほど前にリークサイトに公開されました。 登録ユーザーは、パスワードの使い回しが狙われております。至急パスワードの変更をして下さい。 "pictSQUAREはオタク文化に関連したサービスなので、Pixivなどでも同じ認証情報を試すことができる。これは、多くのユーザーがURLでPixiv/Twitter/etcを明記していることで、より簡単になりました。 最大3人にデータを売るつもりだ。 609,000人のユーザー - メール 667,000人のユーザー - パスワード（unsalted MD5、半分を自分で解読） ニックネーム ~650,000人のユーザー - 電話番号 + 電話コード + 完全な電話番号 アカウントに表示されたURLを3つまで（description + URL） 20万人のユーザーには、配達情報（個人名、郵便番号、配達先住所、配達先電話番号）がある。 1,000人分の日本の銀行情報 Twitter ID/token/token secret（pictSQUAREでアカウントを認証したため）、アプリの公開/非公開トークンもあるが、これらはすぐに使えなくなる。"

拡大

かすみ📶 @now_kasumi

これ、ピグプラ（pictBLand/pictSquare）の不正アクセスの公式アナウンスにはかかれていない 「電話番号」の流出部分もかなり重要かと思うわよ 電話番号は早々変更しにくいし、電話番号わかればSMSフィッシングかけれて犯罪の応用範囲広いので twitter.com/t_nihonmatsu/s…

noon🐥 @noonworks

長いけど、ピクブラにアカある全員すぐやった方がいいのは2つ >・他サービスで、当サービスと同じパスワードを使用されている場合、他サービスでのパスワード変更をお願い致します。 >・万が一、よくわからないメールが来た場合、メール内に記載されているリンクはクリックしないようお願い致します。

noon🐥 @noonworks

「ピクブラのパスワードを変える」じゃなくて「ピクブラと同じパスワードを使ってたサービスのパスワードを変える」なので注意。 例えばピクブラとXで同じパスワード使ってたなら、Xのパスワードを変えるのよ

鏡音遊楽 @KagamineYuraku

アプリのバージョンによって違うかもしれませんが「設定とプライバシー→セキュリティとアカウントアクセス→アプリとセッション」から、Twitter連携しているアプリの確認・編集ができます。 pictSquareと連携している場合は解除をお勧めします。 twitter.com/t_nihonmatsu/s…

さわの @sawa_nwa_no

ピクブラの不正アクセスと情報漏洩の件、ピクブラだけの話だと思ってる人結構いそうなんだけどピクスクでオンラインイベント参加したり決済したりした人も余裕で対象だから心当たりのある人はちゃんと確認してな！！！！！！！！！！！

えりー @ellyhpoosk

ピクブラの件、口座情報を登録している人は誤振込と組戻しは絶対に気をつけた方がいいです。通帳記帳やネットバンキングで履歴を確認して、不審な（身に覚えのない）動きがあれば必ず入出金の前に金融機関へ連絡してください。詐欺などに使われた場合、当該口座は凍結となります。元金融機関職員より

pictBLand＠BL特化SNS @pictBLand

皆様には大変なご迷惑とご不便をお掛けしており、誠に申し訳ありません。 現在の状況についてお伝えいたします。 ■サーバー状況について 現在、pictBLand、pictSQUARE、pictSPACEサーバーは停止しております。 ■現在の各関係機関との連絡状況について ８月１５日：警察（サイバー犯罪対策課）に通報 ８月１６日：個人情報保護委員会へ本件の速報を報告 ８月１６日：デジタルフォレンジック調査会社に調査の問い合わせ中 ■今後のスケジュールについて デジタルフォレンジック調査会社の調査（攻撃内容の正確な把握）が完了次第、弊社社内・関係会社からのみ接続できる環境にて同サーバー環境を構築します。 この環境にて、停滞している配送作業や振込作業を行わせていただきます。 同時にデジタルフォレンジック調査会社の報告内容をもとに、対策を立てたプログラム＋サーバーの再構築を行い、別の第三者機関による脆弱性診断を受ける予定です。 第三者機関による診断に問題が無いことを確認したのち、サービスの再開を予定しております。 調査結果や修正内容により異なりますが、現在の段階では約２週間〜1ヶ月程度の見込みでサービスを一部または全部開放する予定です。（各調査機関などにて問題ない、という確証が得られてからとなります） 詳細な再開日に関しましては、改めてご案内いたします。 誠に申し訳ございませんが、この期間中はご利用いただけませんことを深くお詫び申し上げます。お客様にはご不便とご心配をおかけし、誠に申し訳ございません。 なお、各サービスにおける弊社からの補償内容について、後述させて頂きました。 何卒ご一読賜りますようお願い申し上げます。 ■各サービスにおける対応内容 ・pictBLand（pictMaflem） システム停止期間中にプレミアム会員の退会をご希望の場合は、お支払い明細の決済番号を添えてサポートセンターへお問い合わせください。 プレミアム会員を継続していただける方に対しては、サービス再開後に会員費のご返金手続きを行います。ご返金金額については、停止期間に応じて決定させていただきます。 ・pictSPACE 運営事務局に届いている頒布物の配送業務および、売上精算・返金申請中の精算については振込業務を行います。 未申請の精算については、サービス再開後に受付させていただきます。 商品をご注文された方で返金を希望される場合は、お支払い明細の決済番号または注文IDを添えてサポートセンターへご連絡ください。 ・pictSQUARE 売上精算・返金申請中の精算については、振込業務を行います。未申請の精算については、サービス再開後に受付させていただきます。 イベント主催・サークル参加をされている方については以下をご確認ください。 システム停止期間中のイベントのサークル参加料金については、弊社にて決済の取消処理を行います。 システム停止期間中のイベント主催者の売上については、サービス再開後に売上精算をお願いいたします。 なお、システム停止期間中にお振込みをご希望の場合は、キャンセルしたいイベント名と開催日を添えてサポートセンターへご連絡ください。 その他イベント主催者、サークル参加をされている方については、以下の通りです。 【イベント主催者の方で、イベントをキャンセルしたい場合】 キャンセルしたいイベント名と開催日を添えてサポートセンターへご連絡ください。イベントのキャンセルおよび、サークル参加者全員の決済取消をさせていただきます。 【サークル参加者の方で、サークル参加をキャンセルしたい場合】 お支払い明細の決済番号または、サークル参加申込IDを添えてサポートセンターへご連絡ください。決済の取消をさせていただきます。 また、これ以外にも必要な補填がある場合、追って追記させていただきます。 実際にお支払い頂いた料金以外にも、損失の補填と対応について引き続き協議しておりますので、今しばらくお待ちいただきますようお願いできればと思います。 ■サポートセンター窓口 pictBLand（pictMaflem） https://t.co/b7EBP1JfYU pictSQUARE https://t.co/FPWVF3yu2v pictSPACE https://t.co/1sW0ZHwUup ご利用の皆様には、ご不便とご心配をおかけしてしまい誠に申し訳ございません。 皆様に、より安全で安心していただけるよう、全力で努力してまいります。 何卒ご理解とご協力を賜りますようお願い申し上げます。