360 は Sogou がユーザーのパスワードを収集した証拠を公開、Sogou はライバルを中傷キャンペーンで非難

新浪科技は11月7日午後、360社が本日午後記者会見を開き、Sogouによるユーザーのプライバシー情報の収集と漏洩に関する関連データを発表し、今回の重大なセキュリティ事件はSogouの漏洩によって引き起こされたと述べたと報じた。しかし、SogouはSina Technologyに声明を送り、Sogouブラウザに問題はなく、脆弱性事件は完全に360による慎重な計画と舞台裏での操作の結果であると主張した。

360社の副社長である屈暁東氏は、11月5日に360社がユーザーから、個人のQQアカウントを使用してSogou Browserにログインすると、他のユーザーのアカウントとパスワードが大量に表示され、それらのアカウントとパスワードを使用してこれらのアカウントに直接ログインできるというフィードバックを受け取ったと述べた。これらのフォーラムでは、一部のユーザーが事故の詳細、特に他のユーザーのアカウントとパスワードを取得する詳細な手順を投稿しました。360はすぐに技術担当者を組織し、この重大なセキュリティ事故を検証しました。検証の結果、関連情報は完全に真実でした。

瞿暁東氏は、Sogou の流出はまれなインターネットセキュリティインシデントだと述べた。流出したユーザーアカウント情報は、主に、ログインアカウントとパスワード、お気に入りデータ、インターネット閲覧履歴の 3 つのカテゴリが含まれていた。

まず、360社による予備検証とネットユーザーからの情報フィードバックに基づく不完全な統計によると、漏洩したユーザーアカウントの種類は主に、電子メール、ソーシャルメディア、電子商取引、電子決済、モバイルアプリケーションアカウント、通信事業者、政府、大学、企業の内部管理システムなどです。

第二に、今回流出したデータを入手できたバージョンはSogou Browser 4.2であったが、Sogou Browser 4.2を使用しているユーザーのパソコンには、他のバージョンのSogou Browserのログインアカウントやパスワードが流出している可能性がある。 Sogou ブラウザの自動入力機能はデフォルトでオンになっており、Sogou ブラウザ 4.2 が正式版として宣伝されているため、このセキュリティインシデントの影響は非常に広範囲にわたります。

第三に、Sogouブラウザには数千万人のユーザーがおり、漏洩したアカウントとパスワードの種類は非常に幅広く、漏洩は少なくとも1週間以上続きました。現在、これほど大規模なユーザー情報漏洩問題を経験した製品は他になく、インターネットブラウザの歴史上稀なセキュリティインシデントです。

記者会見で、360はメディアにビデオ（ビデオアドレス）を再生しました。ビデオでは、基本的なアプリケーションのみを搭載したコンピューターでSogou Browserをダウンロードしてインストールし、Sogou Browserアカウントをクリックしてシステムにログインし、QQアカウントとパスワードを使用して登録してログインし、ダブルクリックしてシステムを終了しました。次に、ツールバーの「スマートフォーム入力」をクリックし、「フォームデータの管理」を選択すると、Web ページにフォームがポップアップ表示されます。クリックし続けると、さまざまなユーザーの個人アカウントのパスワードやその他の情報が大量に表示されます。ビデオでは、これらのアカウントとパスワードを使用して、ユーザーの Taobao、電子メール、QQ などのシステムにアクセスできることが示されています。

360の技術者は、漏洩の原因はSogouブラウザの自動フォーム入力機能であり、ユーザーのアカウントとパスワードがSogouサーバーにアップロードされることであるとその場で分析した。ユーザーが Sogou ブラウザを再度使用する場合、ユーザーの便宜を図るため、Sogou はサーバーから収集したユーザーアカウントとパスワードをブラウザに送り返します。

「しかし、Sogouのソフトウェアの同期設計に欠陥があり、ユーザーがログアウトすると、設計エラーがトリガーされ、サーバーが他のユーザーの大量のアカウントとパスワードをブラウザに送り返します。アカウントとパスワードに加えて、他のユーザーのお気に入り情報、履歴記録なども含まれます」と技術者は述べた。

360 技術スタッフは、Sogou ブラウザの自動フォーム入力機能を使用したユーザーは、電子メール、ソーシャルメディア、電子商取引、電子決済プラットフォーム、モバイルアプリケーションアカウント、政府情報管理システム、公共事業 (1633.095、-7.54、-0.46%) 情報プラットフォーム、通信サービス、大学の内部管理情報システム、企業の内部管理システムなど、ログインまたは保存されているすべてのアカウントのパスワードをすぐに変更することを推奨しています。

「インターネットソフトウェアサービスを提供する企業は、ユーザーの個人データ、特にアカウントのパスワードを収集する際には注意を払い、ユーザーの個人情報が解読されないように、また異なるユーザー間のデータが隔離されるように、高レベルのセキュリティ暗号化対策を講じるべきである。また、インターネットソフトウェアは、低レベルのソフトウェアの欠陥によって個人情報が漏洩しないように、高レベルのソフトウェア設計アーキテクチャを採用すべきである」と、上記関係者は述べた。

11月5日午後、脆弱性報告プラットフォームWooYunがSogou Browserに脆弱性があるというニュースを発表したと報じられている。「24 Hours」「News Live Room」「Hotspot Scan」「Transaction Time」などのCCTV番組では、記者が脆弱性情報を検証する全過程が詳細に報道された。

ソゴウは答えた

360の行為に対して、SogouはSina Technologyに公式声明（全文）を送り、11月5日から360は綿密な計画と指示を通じて、フォーラムID、Weibo水軍、メディアを操作し、360ナビゲーション、ポップアップなどの手段を使用して、Sogouブラウザの信用を再び失墜させたと述べた。

Sogouは「Sogouブラウザは安全で信頼性が高く、いわゆる脆弱性は存在しないことをお約束します。どうぞご自由にお使いください。今回の脆弱性事件は360が舞台裏で完全に計画し、操作したものです」と強調した。

360がメディアに再生した証拠ビデオに対して、Sogouは、360のビデオは中傷的な主張を裏付ける証拠を提供できないと述べました。アカウント同期機能を使用する限り、コンピュータAで特定のQQアカウントを使用してブラウザにログインした後、コンピュータBのブラウザで同じQQアカウントにログインすると、フォームデータがインポートされ、コンピュータAに同期されます。これは、アカウント同期メカニズムの正常な機能です。

Sogouによると、事件発生後、360 Security GuardsはまずWeiboに投稿してユーザーに注意を促し、その後360の公式Weiboアカウントが短期間で一斉にメッセージを転送し、その後360 Security Guardsはポップアップウィンドウを立ち上げてユーザーにSogouの使用をやめるよう求めたという。 360も自社のウェブサイトで関連ニュースを発表し、多くのユーザーから報告されたSogouブラウザのセキュリティ脆弱性をリストアップした。しかし、これらのユーザーはすべて偽アカウントであり、彼らが公開したWeibo投稿の形式は非常に似ていた。

Sogouは、Sogouの投稿がKafanフォーラムに掲載された後、360はSogouに連絡したり問題の性質を確認したりすることなく、Weiboに告知を掲載したり、インターネット上のユーザーにポップアップウィンドウを表示したり、ビデオを公開したりして、いわゆる脆弱性の詳細を公開したと考えています。この行為はセキュリティ業界のルールに違反し、競合他社を攻撃する意図がありました。（愛）