パスワードを忘れた? アカウント作成
5658 story

Hotmailと.NET Passportにアカウント乗っ取りの大穴 197

ストーリー by Oliver
なぜこんな駄仕様 部門より

マイクロソフトの.NETアカウントの管理システムにアカウントが簡単に乗っ取れる重大なセキュリティホールが発見された。具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう、というものだ。この様にパスワードが再設定されれば、攻撃者はそのパスワードを使って、アカウントを完全に手中に納めたことになり、アカウントの悪用だけでなく、もし保存されていれば、被害者の誕生日やクレジットカードといった個人情報すらも盗めてしまう。特筆すべきはHotmailがこの.NETアカウントを使っていて、Hotmailユーザはメールも読まれてしまうことだ。
発見者は何度もマイクロソフトやHotmailにコンタクトをとろうとしたが、反応が得られず、Full-Disclosureメーリングリストに詳細を投稿した。手口があまりにも簡単なことから、大きな被害が予想される。もし、こんなもんを使っていたら、いますぐ個人情報を削除すべきだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by GSone (8994) on 2003年05月09日 2時29分 (#312000) 日記
    他でよくある
    >任意のコードを実行できる
    ってのとはちょっと違いますね、危機レベルが。
    任意のコードを実行できる穴というものは、
    結局それなりにコンピューターのことが分かってないと
    「悪用」する「方法」を思いつかないわけです。
    どのようなプログラムコードを走らせればいいか分からないレベルの
    人間(私のような)には悪用は出来ないわけです。
    でも、
    >具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを
    >再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう
    なんていうのは、「特定のURL」の作り方さえわかっていれば、メーラーとブラウザの使い方しか
    わからないようなレベルの人間にも悪用が出来るわけですね。
    ヤバいことには、個人情報が漏れるだけでなく、そいつのHotmailをつかうことで
    「なりすまし」なんてことも出来てしまうわけですね。ターゲットが顔見知りだったら、
    人間関係をグダグダに壊すことも可能ということですね。ターゲットがHotmailを頻繁に使う人であれば。

     
    速攻、個人情報削除しました。 
    • by ruriha (15694) on 2003年05月11日 13時57分 (#313592)
      他でよくある
      >任意のコードを実行できる
      ってのとはちょっと違いますね、危機レベルが。
      「危機レベルが違う」とは私も思いますが、 その理由は、Passportが単独の製品ではなく、認証サービス であり、れっきとしたセキュリティ 製品であり、他の製品・サービスから共通に利用されるミドルウェアであり、これを利用する他の製品・サービスすべての安全性の基盤であるからです。Passportを利用する他の商品購入、代金請求とかのサービスの安全性はPassportが正しく動作することに依存します。

      セキュリティ製品がセキュリティ上の穴を もってるというのは、問題の深刻さとして ランクが違うと思うのです。

      セキュリティ製品を作る人は通常の開発者よりも セキュリティについて詳しい人であるべきで、 その開発は他の製品よりもより厳しい製造設計監査 プロセスを経ているべきであり、 おそまつな設計ミスがあったってことは、 これらがしかるべく機能していない可能性があるという ことを意味しています。

      親コメント

    • 結局それなりにコンピューターのことが分かってないと
      「悪用」する「方法」を思いつかないわけです。

      そ、そうかな。
      「それなり」にはいろんな解釈が可能ではあるけど、任意の
      コードを実行できるような穴の場合、とりあえずソフトを
      ダウンロードしてインストールして実行できる程度の知識が
      あれば、悪用は出来る
      んじゃないの。
      繋がってさえいれば、悪用の詳しい手順を自分で発明する必要は
      ないんだから。誰か一人だけは発明する必要があるだろうが。

      URLの方は、設定によっては自動的に開くブラウザや、相手に
      開かせるテクニックがかなり存在するとはいえ、実行には一応
      ワンステップあると思う。
      親コメント
  • by nidak (2008) on 2003年05月09日 6時36分 (#312060) ホームページ 日記
    victim@hotmail.comユーザーとattacker@attacker.comユーザーだそうです。
    --

    There is no spoon.
  • by Anonymous Coward on 2003年05月09日 3時22分 (#312026)
    MS が対処したといっている [microsoft.com]ので、
    ここに方法を公開します。


    ♪手順1: あなたの好きなブラウザを使って
    https://register.passport.net/emailpwdreset.srf?lc=1033&em=(ここに相手のメールアドレスを入れてね!)&id=&cb=&prefem=(ここにあなたのメールアドレスを入れてね!)&rst=1
    にアクセスします☆

    ♪手順2: あなたにメールが届くので、そのメールの指示に従って相手のパスワードをリセットしちゃおう!

    ここで注意!!手順1で相手のメールアドレスとあなたのメールアドレスを逆にすると、相手にあなたのパスワードをリセットされちゃうよ!
  • by coco-natade (13903) on 2003年05月09日 4時23分 (#312043)
     私はネットワークの素人ですが(つまりそれ関連のプログラムを組むだけの知識がない)、素人なりに工夫しております。

    1.ファイヤーウォールやウィルススキャンの導入。

    2.Webアプリの選定
    ブラウザは、私の場合キャッシュも使用するため(仕方なく)IEを使用しておりますが、キャッシュに用がなければ、普及率の低いブラウザがおすすめ。
    メーラーは、テキストオンリーのフリーメーラーです。
    当然、マクロやHTML入りは即刻削除(読めないからすぐわかる)。
    ちなみにHotmailは使っていません。なんかめんどくさそうで。

    3.個人情報は極力隠す。
    パスワードデータは圧縮やら偽装やらを仕掛けて、探す側がうんざりするような場所に分散して保管。
    おかげでこっちも難儀しております。(^_^;

    4.携帯電話の電話帳に相手の個人情報を登録しない。
    もし紛失したら、相手にも迷惑がかかるもん。

    ささやかな工夫の一部ですが、初心者さんには参考になったでしょうか?
    (もちろんこれで完璧だとは思わないけど)

    もし、その工夫にも問題があったらご指摘願います。m(_ _)m
    • by volvox (6843) on 2003年05月09日 6時39分 (#312062)

      ちなみにHotmailは使っていません。なんかめんどくさそうで。
      これが「対策」でないとすると今回の穴は、挙げられたどの対策でも防げないものですよね。一般的な心構えという事なんでしょうか。
      私はそれほど用心深いわけでもないんですが、不用意に個人情報を入力しない、とくに
      マイクロソフトおよびその供給者は、.NET Passport サービスの使用、性能、使用不能、遅滞、サービスの提供もしくはその違反、または .NET Passport サービスを通じて取得された情報、ソフトウェア、製品、サービスおよび関連のグラフィックス、またはその他 .NET Passport サービスの使用から生じ、または これに関連する、いかなる直接損害、間接損害、懲罰損害、偶発損害、特別損害、派生損害、その他の使用の逸失、データもしくは利益の逸失を含む、いかなる損害についても、それが契約、不法行為、過失、厳格責任その他のいずれに基づくものであろうとも、またたとえ、マイクロソフトまたはそのいずれかの供給者が、かかる損害の発生を知らされていた場合であっても、一切責任を負わないものとします。国あるいは司法管轄によっては、派生損害および偶発損害の除外または制限を認めませんので、上記の制限がお客様に適用されないこともあります。お客様が、.NET Passport サービスの一部またはこれらの使用の条項に対してご不満の場合の処置は、.NET Passport サービスの使用を中止することに限定されます。
      「Microsoft .NET Passport 使用条件および通知」より抜粋
      このような免責条項(有効かどうかはさておき)のあるサービスには、と言うのには賛成です。
      # で、そうするとどこのサイトにも情報を入力できないので、ネットで買い物ができない…。結局住所氏名はあきらめて、代引きにして、カード番号は晒さないようにしとります。

      あと、ついでながら

      2.Webアプリの選定
      ブラウザは、私の場合キャッシュも使用するため(仕方なく)IEを使用しておりますが、キャッシュに用がなければ、普及率の低いブラウザがおすすめ。
      ここら辺、意味不明です。
      webアプリ [google.co.jp] キャッシュ [google.co.jp] キャッシュ [google.co.jp]

      親コメント
      •  まずは、内部構造がまるっきり理解していないのでドンブリ勘定です。(^^;

         Webからデータを引っ張り出すとき、とくにFlashデータは「保存」メニューがきかない場合が多かったんで、キャシュから直接引っ張り出しています。
        ところがNetscapeだと、バージョンごとにキャッシュの位置が違うみたいで、Netscape6用キャッシュ操作プログラムがNetscape7では通用しなかったんです。
        IEでは、IE5用キャッシュ操作プログラムがIE6でも通用しちゃいまして、「たぶん、キャッシュの位置は同じだろう」と思った次第です。(なんといいかげんな)

         そのキャッシュ操作をする必要がないなら(ふつーは不要だと思う)、Netscapeあたりにしたいところですね。
        クラッカーは普及率の高いプログラムを優先的に狙いますから(消極的対策)。
        親コメント
        • 布教活動(?) (スコア:2, 参考になる)

          by volvox (6843) on 2003年05月09日 23時14分 (#312754)

           Webからデータを引っ張り出すとき、とくにFlashデータは「保存」メニューがきかない場合が多かったんで、キャシュから直接引っ張り出しています。 ところがNetscapeだと、バージョンごとにキャッシュの位置が違うみたいで、Netscape6用キャッシュ操作プログラムがNetscape7では通用しなかったんです。
          私が使っているのはmozilla 1.2.1なので、どこまでNetscapeに適用できるものか分かりませんが…。
          ロケーションバー(アドレスバー)に about:cache と打ち込めば、キャッシュを見る事ができます(ついでにキャッシュがどこのディレクトリに在るかも分かります)。
          あと、flashを保存したいなら[表示]>[ページの情報]>[メディアのタブ]([ctrl+I]>[メディアのタブ])で、必要な情報を選んで、[名前をつけて保存]で、多分大丈夫だと思います(* mozillaに「日本語ランゲージパック」を適用したものなので、Netscapeの日本語版とはメニューの用語は多少違うかもしれません)。もし、Netscapeを使ってないけどインストールはしてる、という状態ならお試しください。

          親コメント
        • 現行もじらでは右クリックのメニューから

          [ページの情報を表示] > 「メディア」タブを選択

          該当の flash を選択、「名前をつけて保存」ボタンで
          大抵のFlashの保存ができますけど、それでは駄目ですか?
          親コメント
    • Re:ささやかな対策 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年05月09日 11時47分 (#312202)
      今回のこのトピックの問題だと、あなた自身のマシンをガードしたところで無意味です。
      親コメント
    • by Shidho (5649) on 2003年05月09日 12時12分 (#312225) 日記
      >4.携帯電話の電話帳に相手の個人情報を登録しない。
      >もし紛失したら、相手にも迷惑がかかるもん。

      一部(いや、大部分かも)の人にとっては、
      携帯電話番号もしくはメールアドレスとその人の名前の組み合わせは、
      十分不特定少数への漏洩に関して脅威となりえる個人情報になります。
      携帯電話の電話帳機能は使うなって事かな?

      いや、わかっちゃいるけどやっぱ使っちゃうんだけどね。
      親コメント
  • Mac用Officeを中心としたMicrosoftのサイトである
    『Mactopia』
    http://www.microsoft.com/japan/mac/default.asp
    では、Slash Jと同様に情報メール配信を受けようとすると、自動的に.NET Passportへの登録が必要となります。

    登録しなくて良かった。
    --
    ----------- 一生勉強を続けなきゃ!
  • ZDNetの記事 [zdnet.co.jp]によると、昨年のPassportのセキュリティ問題でMSはFTCとの和解条件で違反1件につき最大1万1000ドルの罰金を支払うとなっており、Passportの総アカウント数2億人を掛けると、2兆2000億ドルの罰金の可能性があるとのことです。単純な機能設計ミスにしては、ずいぶん高くつきそうですね…。
  • by Anonymous Coward on 2003年05月09日 18時34分 (#312501)
    MSのOSやその付属アプリケーションの「穴」「大穴」は、MSのOSの世界的に多大な普及率からして、大声で報道されてしかるべきこと。「アンチMS」だろうが「アンチ・アンチMS」であろうが、知らされなかったら怖いものであることに変わりはない。

    MS自身も「緊急」というお知らせを載せているものがあるし、この報道自身を否定はすることは、あってはいかんな。

    最近、MSもこういったたぐいのセキュリティ関連のUpdateをかなり迅速にやるようになってきたし、それは評価していいことだと思う。でも、大きな穴が同社に自覚されずにいて、かつ報道もされていない場合は、はやり外部からの騒ぎもあって然るべき。

    「おれはMSが嫌いだー!」
    「おれはMSが好きだー!」

    の言い合いは、それ以前の話として

    醜い

    だけ。

    もっとも、醜くなりたいっ!というくらい欲求不満ためてる人たちがこういうことしてるんだろうね。まぁ、どっちもどっち。

    「目くそ鼻くそを笑う」。
  • これって想像してみたんですけれど、

    httpsであるにもかかわらずセッションのチェックもせず、
    GETメソッドのパラメータも無効にせず、
    https://register.passport.net/emailpwdreset.srf という
    リマインダー機能を持ったサーバアプリケーションが稼動してしまう設定になっていた、
    ってことじゃないんでしょうか?

    「技術的に何が問題だったのか」が詳しく説明されていないのですが、
    これは本当に「脆弱性」だったのでしょうか?
    それとも単純な「設定ミス」ではないんでしょうか?
    --
    COBOLerが作ったJavaアプリを引き継いで鬱になりまくり。・゚・(ノД`)・゚・。
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...