@@ -7,7 +7,7 @@ date: 2025-09-07 13:21:00+0900
77
88** 月食改革 - Lunar Eclipse Restoration**
99
10- 9/4 に LRA にて発生した Element アカウントの重大インシデント内容の報告と、それを受け LRA 連合全体でアカウント 、セキュリティー、ストレージ、システム全体の再確認を行い、適切な対処を施す方針 。
10+ この資料では、 9/4 に LRA にて発生した Element アカウントのインシデント内容の報告、及びそれを受け LRA 全体でアカウント 、セキュリティー、ストレージ、システム運用全体の確認と問題点の是正を行い、適切な対処を施す方針について記載しています 。
1111
1212## インシデント内容
1313
@@ -25,7 +25,7 @@ date: 2025-09-07 13:21:00+0900
2525| 原因 | 他端末のログイン、セキュリティーキーがない状態でのアカウントのログアウト |
2626| 調査状況 | 調査終了 |
2727| 情報漏えい | なし |
28- | 勧告・意見 | - |
28+ | 勧告・意見 | 月食短期特別計画 ( [ 月食改革 ] ( 20250907-element-incident.md ) ) |
2929| 情報提供 | - |
3030
3131[ ^ mi1 ] : < https://misskey.io/notes/ac90gxahmzie01b7 >
@@ -34,7 +34,7 @@ date: 2025-09-07 13:21:00+0900
3434
3535### 重要事項
3636
37- ** セキュリティーインシデントではなく ** 、意図せず SNS の DM 会話記録の一部が喪失したインシデントです。そのため、情報漏えいや資金的影響などの問題は発生していないため、LRA 外部の人に影響はありません。(そもそも、LRA 内部で漏洩して困るデータはほとんどありませんが )
37+ 今回のインシデントは ** セキュリティー関連ではなく ** 、意図せず SNS の DM 会話記録の一部が喪失したインシデントです。そのため、情報漏えいや資金的影響などの問題は発生していないため、LRA 外部の人に影響はありません。(そもそも、LRA 内部で漏洩して困るデータはほとんどありません )
3838
3939### 経緯
4040
@@ -57,23 +57,38 @@ date: 2025-09-07 13:21:00+0900
5757- 公開ルームの情報は暗号化されていないため、特に被害がなかった
5858- DM の相手は1人のみだった
5959
60- ため、最小限に済んだ 。
60+ ため、最小限に済みました 。
6161
6262### 復旧
6363
64- 唯一の被害であった、DM の会話については、以前の会話内容すべてのスクリーンショットをいただき、以前とほとんど変わらない程度まで復旧することができた 。
64+ 唯一の被害であった、DM の会話については、以前の会話内容すべてのスクリーンショットをいただき、以前とほとんど変わらない程度まで復旧することができました。彼からはスクリーンショットに加え、復旧の助言をいただけたため、非常に感謝しています 。
6565
6666### 問題点
6767
68- 人為的ミス。
68+ 人為的ミスです。
69+
70+ 具体的には、以下の問題が挙げられます。
6971
70721 . 複数端末の用意ができていなかった (問題発生以前に携帯端末を利用しようと試していたが、ブラウザによるエラーによりログインできていなかった)
71731 . 突如のサーバーダウンと、ログイン時にその情報を確認することができなかった点 (当初はアカウント側のエラーだと考えていた)
72741 . セキュリティーキーが何故かなかった (理由は不明)
7375
76+ ### 問題以降
77+
78+ 1 . 認証を新しく作り直すことで、アカウントの復旧を完了 (これにより、DM のデータは抹消された)
79+ 1 . DM の相手に事情を説明し、スクリーンショットを送ってもらうことで、事実上の復旧
80+ 1 . セキュリティーキーを作成、保存
81+ 1 . 携帯に Element アプリケーションをダウンロードし、別端末からの認証ができるように (この際に、Opera GX で認証していたから携帯のログインエラーが起こっていたことを発見、Chrome で認証することで使えるようになる)
82+
7483## 対策方針
7584
76- 以上の重大インシデントの内容を踏まえ、LRA では対策方針を決定することとした。
85+ 以上のインシデントの内容を踏まえ、Element 以外の SNS でも同様の問題が起こることを危惧し、LRA では以下の方針で対策を行うことを決定しました。
86+
87+ ### 期限、結果公表日
88+
89+ - 期限: 2025/9/30
90+ - 扱い: 短期特別計画
91+ - 結果公表日: 2025/10/1 (2025Q4 中期基本計画)
7792
7893### 概要
7994
@@ -86,13 +101,7 @@ date: 2025-09-07 13:21:00+0900
86101 - 作成したコードやイラストのバックアップ方針の具体化
87102 - Nix への移行の具体化 (dotfiles)
88103
89- ### 期限、結果公表日
90-
91- - 期限: 2025/9/30
92- - 扱い: 短期特別計画
93- - 結果公表日: 2025/10/1 (2025Q4 中期基本計画)
94-
95- ### 具体的な内容・ステップ
104+ ### 具体的な内容
96105
97106| 推定時間 | 内容 |
98107| -- | -- |
@@ -105,4 +114,8 @@ date: 2025-09-07 13:21:00+0900
105114| 2day | Nix 移行への具体化 |
106115| 3day | Nix の部分的導入 (dotfiles) |
107116
108- 主要事項に関しては終了を義務づける。関連事項については推奨に留めるが、特に Nix 関連は今回の事例との関連性が低いため、優先度を低くして対応する。
117+ 主要事項に関しては終了を義務づけます。関連事項については推奨に留めますが、特に Nix 関連は今回の事例との関連性が低いため、優先度を低くして対応します。
118+
119+ ## 最後に
120+
121+ 今回は DM のデータ喪失というやや大きなインシデントが起こってしまったことについて、バックアップへの意識が不足していることを認識させられました。このインシデントを踏まえ、具体的な対策に動くことで、組織全体として脆弱性を減らせると信じています。これをただのミスとして終わらせるのではなく、バックアップや再現性の高い環境を目指して行動する良い機会だと考えるべきです。
0 commit comments