よつまお

雑記と過去ログ置き場。時々担当が入れ替わりながら、ゆるーく不定期更新していきます。

Canva不正アクセス事件で考える「Canvaでアイキャッチをわざわざ作る必要性」

 

最近なぜかブログ記事のアイキャッチ作りで多用されるようになったCanva(キャンバ。私は今でもカンバって呼んでるw)。

そんな中、突然「ご利用中の Canva アカウントについての重要なお知らせ」っていうタイトルで不正アクセス&情報流出発生に関するメールが送られてきたわけだけど。

※私のメーラー上では受信日時2019/05/27 4:44。なんか不吉な時間ww

 

というわけで、今回はまずざっくりした事件の内容共に、あわせて「アイキャッチ(サムネ)作りのための運用」についてもぼやーっと考えてみた。

f:id:yotsumao:20190527201541p:plain

一体何が起こってるんです?

一言で言えばメール内容の通り、2019年 5月 24日(金)

Canva をご利用のユーザー様の「ユーザー名」、「メールアドレス」、「暗号化されたパスワード」が不正アクセスされた

 ってこと。

 

原因については今のところ明らかにされていないんだけれど(セキュリティ上の問題という言及)、

Canva にログインする時に必要となるパスワードはすべて暗号化されているため、第三者によって不正に使用されることはありませんが、お客様の安全を期すため、Canva のアカウント設定ページにて Canva のパスワードを変更することをお勧めいたします

ってことで、暗号化されているから大丈夫って言いながら、パスワード変更がすすめられていて、一体どうしたらええねん!って思うと思うんだけど。

 

いわゆる「平文」のパスワードが流出しちゃったとかいうことはないので、まず落ち着いて、ここでは公式のアナウンスページの英語原文の内容を見てみようね。

May 24 Security Incident FAQs - Canva Help Center

 

このページの中で重要な点をいくつか引用。まずこれ。

Passwords in their encrypted form were also obtained (for technical people: all passwords were salted and hashed with bcrypt)

パスワードは暗号化されてたよ、と。そしてさらに大切な部分がカッコ内。

ソルト&ハッシュ化されていたのよー、と。

 

これは大雑把に言ってしまえば、平文のパスワードが単にハッシュ化されていただけじゃなく、それに際して、

ソルト(つまりお塩をふるかの如くランダムデータを付加)していたので、より安全なのよーってこと。

 

だから「パスワードそのもの」が解読されるってことは、まずないと思ってもらっていいわけよ。

 

ただし今回の場合、ユーザー名とメールアドレスはそのまま漏れちゃってるので、

他のサイトでも同じ(簡単な)パスワードを使いまわしている場合は、総当たりで不正にログインされる可能性だってあるわけだね。

と、言うことで結局のところ、パスワードはより強力なものに変更しておくことが推奨されているわけ。

 

ちなみにー。FacebookやGoogleアカウントでの認証、つまりオープンIDでログインしていた場合は?ってことに関しては、

If you use Facebook or Google to log into Canva, rest assured those credentials are also encrypted and unreadable by external parties, so you do not have to change your password on Facebook or Google.

もちろん暗号化されてるので、わざわざFBやGoogleのパスワードを変える必要はないぜ、ってこと。

 

そしてさらに、Canvaでクレカ課金していた有料ユーザーの人向けに、

At Canva, all our online payments are confidential and secure which provide encrypted connections for all debit card and credit card transactions. We do not keep any credit card information on Canva.

そもそもCanvaではお客のクレジット情報なんて持ってないので、心配しないでクレメンス。ってことなので安心しておk。

 

まぁ現状はサイバー犯罪対策に特化したチームとFBIと連携しながら、原因究明と再発防止策を講じていくそうな。

もしその後の最新情報が気になる人は、下記リンクでチェックしてみよう。

Canva Status

まだCanvaで消耗してるの?

やたらと最近はブログ記事のアイキャッチ(サムネ画像)で、「あ、これCanva使ってるわ」っていう作りの画像を、まるでみんながみんな使ってるかの如く見かけるようになったんだけれど、

あれってそもそもなんで流行ったんだろうね?ってか最初はどこかの有名なブロガーやインフルエンサーがやり始めたんだろうか?

 

例えば、KDDIなんかと業務提携したのは2017年の5月だけれど、その頃にここまで名が知れていたか?or/andブログで(サムネで)Canva使ってる人がいたか?というと微妙に疑問なんだよね。

 

シャレオツなフライヤーなりポスターなり、いわゆる「デザイン性あふれた文書」を作るには結構便利だし私も使っていた時期もあるけれど、

なんとなくブログ内で使ってる人を見ると「単に画像に文字を入れたい」から使ってる感じがすさまじいんだけれど、その用途ってわざわざCanva使う必要あるんかなー?って思うわけよ。

 

少なくともCanvaの動作って決して軽くないしね。その時点で私ならもうめんどくせぇって投げるレベル。(文字修正あったらいちいち繋げんの面倒だし、ぶっちゃけ文字入れるだけならペイントアプリで良くね?って思う。あるいはちょっとしたことならgimpか。私のPCがレガシースペックなだけかもしれないけれどw)

 

まぁ巷に溢れてるフリー画像だけじゃキャッチーで目を引く画像(記事)にはなりにくいし、シャレオツかつ「文字を入れることでざっくり記事内容を伝える」画像に仕上げたいって感じなんだろうね。

(とはいえ機械的なSEOには何ら意味ない話だけど。目を惹くことによって、SNSからの流入特化かな? ※ただしトリミングされる部分を計算してなくて、文字が切れちゃってる画像を見ると残念な気持ちになるw)

 

ただ、あえて針小棒大なことを言えば「無料で便利なWebツールを使う」ってことは、それはすなわち「ネット上のそこにアカウント情報を登録する」ってことと同義なわけよ。

となると、それはそれで先述のような情報流出や不正アクセス事件が起こった時のリスクと、常に隣りあわせだよねって話。(こういった点においても、「オープンID」による認証方式ならまだ良いわけだよね)

フリー画像は特定の場所のものだけ使おう

ここからは完全に蛇足のどうでもいい話。

 

リスク回避って観点から言えば、おそらくこの記事を見ているようなセキュリティ事案に関心のある人にとってはまさに釈迦に説法だけれど、ネット上に落ちてる画像を無作為に拾ってきて記事に載せたりなんかは完全に御法度だよね。

 

あわせて、例えばGoogle様で「無料画像 フリー画像」といったキーワードで画像検索かけて、出てきた画像なんかを使うのももちろんアウト。(それだけじゃ転載可な画像かどうか判別できない。最悪、損害賠償請求もあり得る)

 

ってことでおそらくほとんどの常識的なネットリテラシーを持った人は、いわゆる「フリー画像の専門サイト」を使うと思うんだけれど、

前述のCanvaを利用してオリジナル画像に加工しちゃってる人は、果たしてどういった形で画像の管理・運用をしてるんだろう?

 

なぜそこが疑問かって例えばね、私がブログに載せる画像ってのは、自分で撮影した画像(デバイス画面のスクリーンショット含む)か、ほぼ大手の「ぱくたそ」だけって大体決まってるわけよ。

※サブでごくたまに「足成」、あるいは気まぐれでシャレオツ感を出したかったら「Unsplash」、どうしても珍しい構図のものを見つけたかったら「パブリックドメインQ、GAHAG」(ただしまず使わない)くらい。

ある意味、意地でもぱくたそで済ます(それはそれでリスキーw)。またもしイメージに合うものがなければ、そもそも画像を記事に載せないというスタンス。

 

ということで、一体自分が載せた画像は誰が本来の撮影者なのか?あるいは元の掲載サイトはどこなのか?がおおよそすぐ分かるようにしてるわけ。

これは万々万が一、権利関係の問題が発生したときに対処しやすいし、または画像データが飛んだ際なんかにも探しやすい(頒布先が見当つけば、再DLが比較的容易。そりゃ公開停止はあり得るけど)と思うわけよ。

 

でもCanva使ってる人って、「元がどこの何の画像だったか」分かりにくくならないのかなぁ?(Canva内のテンプレ画像使ってるとしても、時間が経過してから元画像に辿り着けるんだろうか?)

 

っていうか極論、あえてアイキャッチ程度にメインにCanvaを使ってる(そのために使い出した)人は「完全に私的な先入観だけど」Canvaで作ったアイキャッチの元画像を一体どこから引っ張ってきたか分からない、

っていう適当な運用をしてるんじゃないかなぁって勝手に思ってるわけ(or/and「Canva内のデータ」が無くなったら終わり、とかね)。

注:完全に私的な先入観による勝手なイメージです。大事なことなので(ry

 

もし仮にそうだとしたら、もうちょい画像管理考えたほうがいいんじゃね?って思うわけ。(っていうかもはやCanvaはまるで関係ない、意識の持ちようレベルのことw)

 

まぁいずれにしても、Canvaは超絶有用だし便利なツールに間違いない。(でも流行ると流行ったで、誰もが使うとそれは結局「無個性化」になってCanva離れの一因にもなっちゃったりねw)

けれど、わざわざアイキャッチ画像だけにCanva使うなんて、実はそれほど必要無いし、スペックの無駄遣い感がすごいし、っていうか下手したらリスキーなことだってあるんじゃないの?って思ったわけよ。