4月21日23時頃にVer.4を仕掛けたはまちやさんにmixi運営側からメールが。

先日迷惑行為に関してご案内差し上げましたが、本日になりましてもご対応いただけず、多数のユーザー様より苦情をいただいております。

mixiではサーバーに負担をかける行為、および他のユーザーのアクセスまたは操作を妨害する行為を禁止しております。

4月20日の時点で運営側はトラップの設置をやめるようにメールしていたらしいのですけども、はまちやさんが大量のマイミクリクエストメールに埋もれた警告に気付いていなかった。結局4月23日土曜日正午をもってはまちやさんのアカウントは削除されることになったもよう。招待メールを誰かに送ってもらえばすぐに戻ってこられるので、これは日記やメールその他のデータをいったん無にするという懲罰的意味があるっぽい。それはそれで企業として正しい選択だと思いますけども、それとは別に、せめてCSRF脆弱性があったことと対策を施したことについてのアナウンスはmixiユーザーに対してあってしかるべきだと思った。これからあるのかもしれませんが。

また未確認情報ながらも、はまちやさん以前にCSRF脆弱性をmixi運営側に報告した人がいたのに、対応がほとんどなされなかったという話もある。

あとこのアカウント削除に対して抗議のコミュが立ってる。「やる気であればもっと甚大な被害を与える攻撃も有り得たのに、実害のない悪戯にとどめて脆弱性を指摘した」部分を情状酌量するべきだというスタンスのコミュ、というよりは全部含めてネタ化？(はまちやさん本人も参加してる)。

実際にある程度の被害(トラフィックの増大)を与えないとmixi運営側は動かなかったわけで、ここで抵抗するよりは「アカウント削除も覚悟の上の義勇軍だった」という顔をして、粛々と天に召された方が物語としては美しいというかおさまりがいいのでは？ 「そして伝説へ……」なのでは？ と無責任に思った。

参考記事
id:kowagari:20050419:1113897459
id:kowagari:20050420:1113968020
http://www.itmedia.co.jp/enterprise/articles/0504/23/news005.html

この事件がITmediaにまで取り上げられるとは思わなかった。