パスワードを忘れた? アカウント作成
10609 story

携帯ブラウザのScopeに情報漏洩問題隠蔽の疑い 33

ストーリー by GetSet
包み隠さずにいこう 部門より

scope_nanashi曰く、"ITmediaのPlanet Geek blogにて知ったが、 携帯ブラウザ「Scope」の PC メール機能のバグにより、 メール本文経由のURLアクセスでのリファラに 「pop3サーバ」「ユーザー名」「パスワード」が残ってしまうという ことがあったらしい。この情報を元に、Scopeからその 漏洩した情報でメールを読めるわけで非常に致命的な欠陥 だったのだが、現在提供元のプログラマーズファクトリーが 配布しているバージョンでは修正されているとのことだ。
だが、 まとめサイトの情報によれば、問題はバージョンアップが 行われたことは公表されず、情報が漏れる可能性があったことに ついても言及されていないということらしい。まとめサイトでは「事実隠蔽ではないか」との指摘もされており、既にImpressとITmediaに調査を依頼しているとのことだ。/.Jの皆さんに被害はないだろうか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by SaySet (18192) on 2005年08月05日 14時31分 (#777548) 日記
    整理すると、↓の3点に絞られるみたいですね。

    a. Scopeのメール接続機能にバグがあり、アカウント情報・パスワードが漏洩した疑いがある。
       - 新バージョンでは対処済み → 解決?
    b. a. について、開発元からの情報提供がない
       - アプリのバージョンアップで修復されたが、公式アナウンスがない
       - バージョンアップは任意なので、旧バージョンでそのまま利用される恐れがある。
    c. 掲示板などでa.を指摘した書き込みが削除された。
       - 情報隠蔽にあたるのか?

    このなかでa.については、(すべての元凶ではあれど)一応解決済みということでいいんですよね。
    b,cについては、「情報隠蔽」ということであればそのことの是非、という話になるわけですが...
    まあ公式アナウンスなり、ITmediaの取材結果なりを待ちたいところですね。
    • >一応解決済みということでいいんですよね
      まだわかって無いですよ。

      結局、「アプリのバージョンアップ」で対処したのか
      「(ScopeProxy)サーバ側」で対処したのか。
      それがわからないのが怖い。

      携帯の技術的な背景を考えると
      ProxyServerを直せば終わりだと思うけど
      実際にはアプリのバージョンアップが(も?)必要?

      ということは、やはり旧バージョンを使っている人は
      今でも、駄々漏れ状態?

      そこのところをはっきりと解答してほしいなぁ。

      「サーバ側で対処いたしましたので、今後一切(旧バージョンも含めて)
      情報漏えいは起こりません。」
      なのか
      「旧バージョンでは今後も情報漏えいがありますので、早急にバージョンアップをお願いします」
      なのか。
      親コメント
      • by Anonymous Coward on 2005年08月06日 5時36分 (#777846)
        >ということは、やはり旧バージョンを使っている人は
        >今でも、駄々漏れ状態?

        ケータイWatchに書いてあります。

        >編集部では8月5日、問題とされるバージョンを用いてアクセスを試みたが、
        >既に同バージョンからのメール送受信機能は利用できない状況となっている。
        親コメント
    • by Anonymous Coward on 2005年08月05日 19時12分 (#777672)
      親コメント
    • >c. 掲示板などでa.を指摘した書き込みが削除された。
      >   - 情報隠蔽にあたるのか?

      削除した上にアクセス禁止ですからねぇ。
      そんなことで隠し通せると思ってる辺り、非常に香ばしいですがね。
  • by Elbereth (17793) on 2005年08月05日 13時42分 (#777524)
    ・Exciteが提携したときのニュース。
    エキサイト、携帯電話向けフルブラウザ「Scope」を独占提供 [nikkeibp.jp]

    ・一ヶ月前の記事ですが、携帯向けフルブラウザ市場の状況。
    フルブラウザ戦争が勃発--デファクトを狙うアプリ事業者の戦い [cnet.com]
    これ、プログラマーズファクトリの社長の写真まで出ちゃってますね。
    外に出歩いているときにScopeユーザーから石投げられんといいけど。

    ちなみにプログラマーズファクトリのサイト見たら、デザインはともかくとして
    構成はHTML3.2でテーブルレイアウトという古典的なものでした。
    • そういう事書くから、みんなに顔が知られちゃうんでしょ!

      #と、あえてこういう話題の時に言ってみる。
      --
      --
      「なんとかインチキできんのか?」
      親コメント
    • by hdk (8408) on 2005年08月05日 17時39分 (#777625)
      > ちなみにプログラマーズファクトリのサイト見たら、デザインはともかくとして
      > 構成はHTML3.2でテーブルレイアウトという古典的なものでした。

      この文章の意図が判らないので教えて頂けますか?
      親コメント
      • >この文章の意図が判らないので教えて頂けますか?

        こういうときはいつも、どういう会社なのかを判断する基準の一つとして、
        Webサイトのデザインとか中身(HTMLの記述パターンや利用している技術等)を
        見ています。

        デザインは私が判断するには悪くないというか、いいんじゃないですかって
        感じなんですが、人それぞれ好みというものがあるので、「ともかくとして」
        と判断は保留。

        HTMLは個人的にはいまどき3.2で書くなよなと思いますが、これもその会社独自の
        方針はありますし、HTML3.2の仕様から激しく逸脱した記述をしているわけでも
        ないので、特にケチつけるようなところもないなということで、こんな
        ワケワカラン文章なンですよ。

        ついでに付け加えると、特にSEOしてないようなのであまりやる気が感じられません
        みたいな。
        親コメント
  • なぜ隠す? (スコア:1, 参考になる)

    by Anonymous Coward on 2005年08月06日 13時35分 (#778058)
    それが理解できない。そういう態度が

    1. セキュリティホールを見つけたので問題点を指摘した
    2. 相手は隠蔽した
    3. じゃあ実際に問題を起こしてやれば相手は動くだろう

    という事態を招きかねないのだ。

    って、どこかで聞いたような話だぞ!!!!
  • by Anonymous Coward on 2005年08月05日 12時01分 (#777466)
    セキュリティーホールを公表しないのも、ひとつの対策だったのでは?
    修正してから事後報告したほうが被害が少ないと思いますが。
    • Re:悪用対策 (スコア:4, 参考になる)

      by ampleAmp (26562) on 2005年08月05日 13時20分 (#777514) 日記

      修正しても事後報告していないのが問題の一つかと。
      それに、仮に公表しないのがひとつの対策だったとしても、
      問題を指摘したユーザをアクセス禁止にしている [itmedia.co.jp]のは
      ちょっとやりすぎに思えます。

      親コメント
    • Re:悪用対策 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2005年08月05日 12時14分 (#777473)
      外部から意図的に攻撃される場合にはそういう意見もあるかもしれませんが
      今回はユーザーが意図せずに行う行為で情報が漏れてしまうので
      公開しない事によるメリットは何も無いと思いますが
      親コメント
    • Re:悪用対策 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2005年08月05日 12時12分 (#777472)
      2ちゃんねるに書かれた時点でメーカが望んでいなくても「公表前の対処」の段階は終わってしまったと思います。
      焦点はそうなってしまったあとの対応がまずかったということでは。
      親コメント
    • Re:悪用対策 (スコア:1, 参考になる)

      by Anonymous Coward on 2005年08月05日 12時09分 (#777469)
      >現在提供元のプログラマーズファクトリーが配布しているバージョンでは修正されているとのことだ。
      >だが、 まとめサイトの情報によれば、問題はバージョンアップが行われたことは公表されず、
      > 情報が漏れる可能性があったことについても言及されていないということ
      親コメント
  • by Anonymous Coward on 2005年08月05日 12時20分 (#777476)
    えー、まとめサイト見ても載っていなかったので伺いますが、
    Scopeって携帯ブラウザだそうですけど、どうやって入手するブラウザなんでしょ?
    どこかの端末にデフォルトで載っているのか、ユーザーが明示的にダウンロードするのか、ダウンロードするならプラットフォームは何なのか、等等。
    影響範囲を判断するのには必要な情報なので、セキュリティホール報告には合わせてもらえるとありがたいです。
    • Re:Scope? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2005年08月05日 12時27分 (#777483)
      そういうことをご自身で調べずに、どうやって影響範囲を判断するのですか?
      親コメント
      • by Anonymous Coward
        影響の及ぶ範囲って項目は脆弱性情報に必ず載ってますよね。
        なぜ載ってるのか考えてみてください。
      • by Anonymous Coward
        タレコミに必要な情報が欠けてるということを指摘したかったのではないでしょうか。

        ただ言い方には問題があると思うので、ここで指摘すべきは
        「遠まわしに言わずにはっきり言いたいことを言え」
        ではないでしょうか。
        • by Anonymous Coward
          はっきり書くと
          「脆弱性情報報告、ひいてはユーザー保護が目的ならば、重要な点が抜けている。ユーザー保護を意識しているなら忘れるはずはない。
          本当の目的は、プログラマーズファクトリを罵りたいだけんじゃなないのか? ユーザー保護を隠れ蓑にして。」
          となり、内容でなくて言い方で怒るような人はさらに怒っただけだと思われます。
    • by SaySet (18192) on 2005年08月05日 12時37分 (#777489) 日記
      いろいろ書こうかと思ったけど、やめとこ。
      配布元 [programmer.co.jp]
      親コメント
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...