パスワードを忘れた? アカウント作成
Close
5675764 journal
日記

chuukaiの日記: ケータイ脳、あるいは脆弱性を指摘したら会員の責任にされたでござるの巻

日記 by chuukai

先日、私は以下の引用のとおり某Webサービスに脆弱性を指摘するメールを送りました。
サポートからはその次の引用のとおり返信がありましたが、その内容は会員に連絡するということだけでした。
URLにIDとPASSWORDを入れておけば、cookieを使えない携帯電話のブラウザでログイン画面で再度IDとPASSWORDを入れなくても編集画面に行けるので、仕様として残しておくのですかね。とんだケータイ脳ですなあ。
IPAへ連絡するかどうかはもう少し成り行きを見ながら検討したいと思っています。
プライバシー配慮のため一部を省略しております。

まず私から会員サポートへのメールから一部を抜粋します。

はじめまして。(私の実名)と申します。
私は御社サービスの会員ではない一般人です。
御社との取引関係もなく、敵対的な関係もない、また指導を行う行政庁や研究者、IT技術者でもないことを先にお伝えします。

御社のサービスである○○において、会員IDとパスワードがネットで閲覧できる状態になっていることを見つけましたので、ご連絡をいたします。

1.閲覧の方法
(yahoo.co.jp)
上記のURLをブラウザで開くと、2012/07/22 21:00現在では194件が検索結果として表示されます。
それぞれの結果には○○の会員IDとパスワードを文字列として含むURLが含まれており、クリックして××にまで行き着くものが97件、削除やパスワード違いにより××にまで行きつけなかったものが97件ありました。
添付ファイルの○○.csvでは、検索結果でのURLを上から順に貼り付けて、××に行きつけたものの後ろに「,OK」を、行きつけなかったものの後ろに「,NG」を付け加えています。

2.××から取得できる情報について
××まで行き着いた場合には、管理者と同等にほぼすべての情報について閲覧が可能であることを当方で確認しました。
その情報は、トップページの内容であることが共通としてありますが、多くのホームページで××(いわゆるブログの閲覧)、××(画像ファイルの閲覧)や××(メール保存箱にあるメールの閲覧)を備えており、それらが特定の人にしか公開しないように設定されていたとしても、××の内容、画像、メールのすべてを閲覧できることを確認しました。また、××で保存されていた画像ファイルには中学生以上の女性が被写体となっている写真(いわゆるプリクラを含む)が大量に存在していました。これらには、本人の実名や所属する学校名と思われる文字を写真加工によって埋め込まれているものも多く、その年代の通常の女性であればそのような情報は公開されないことを望むことが正当な利益として保護されるべきだと思われました。

3.会員IDとパスワードがネットで閲覧できる状態になった原因について
上記のように通常公開されるべきではない情報が閲覧できてしまう原因については、私は専門家ではないのではっきりはわからず、推測するしかありません。拙い推測ですが、何かの参考になればと思い、お伝えします。
上記URLに含まれているパスワードの文字列に共通する特徴として、全く可読性がないということがあります。おそらく、初期パスワードとして機械的に割り振られたものではないでしょうか。
さらに想像をたくましくすれば、初期パスワードが割り振られた後、サイトを新しく作るための編集画面に遷移した時においてもURLにIDと初期パスワードがそのまま残されていて、その編集画面を会員が(略-一般に公開していた)という結論が推測できます。しかし、なぜIDとパスワードをURLに入れるという大変危険な実装をしたのかについては、当方では理解や推測が及ぶ範囲ではありません。

4.今後の対応について
××から取得できる情報が流出すると、個人のプライバシーや権利利益に重大な侵害がもたらされることになります。その防御策として、「サイトを改修する」「すでに閲覧できるようになっているページについては情報が流出した可能性があるとして連絡をとる、同時に相談窓口を設ける」等の方策が考えられますが、最低限セキュリティを専門とする企業や弁護士に連絡を取ることをおすすめします。なお、私はそのような団体等については通じておりませんので、念のため申し上げておきます。

5.私自身の対応について
今回は個人情報流出の顕著な事例となりますので、個人の権利利益に反しない範囲で事例の公開を行うことがあります。

以上、取り急ぎご連絡申し上げます。

以下はそのメールに対する会員サポートからの返事。

○○サポートです。
ご連絡頂きまして、ありがとうございます。

各ユーザー様の編集ページが公開されている原因を調査しました。
弊社の会員様が××に自分の編集ページを一般に公開していることが原因でした。
恐らくは、わからないまま利用し公開してしまったものと考えられます。

各ユーザー様には現在、弊社から連絡しております。

ご連絡ありがとうございました。

この議論は、chuukai (18189)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。

ケータイ脳、あるいは脆弱性を指摘したら会員の責任にされたでござるの巻 More

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond