最近一週間ほどのえび日記
2010年4月3日(土曜日)
URLを知られたらアウトな管理画面
更新: 2010年4月3日23時20分頃
メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。
- 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)
- PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)
- メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)
Internet Watch の記事には追記がありますね。
なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。
ほう、最新版を使用していなかったのが悪い……ということなのでしょうか?
その「WEBインベンター」のサイトを見ると、ショッピングカートCGIの紹介ページ (wb-i.net)があり、サンプルが公開されています。たとえば、Contents-Mall (148,000円) のサンプルは以下のURLで見られます。
- http://wb-i.kir.jp/sample/Contents_Mall/ (wb-i.kir.jp)
左メニューの下の方に「管理者用」という項目があり、クリックするとログイン画面にたどり着きます。
これはサンプルなので、誰でもログインできるようにログイン画面にパスワードが書いてあります。パスワードは「1234」なので、パスワードを入力して「認証」ボタンを押します。すると管理用のメニューが出るので、適当に「会員管理」あたりを選んで右クリックし、別ウィンドウ (あるいは別タブ) で表示してみます。アドレスバーのURLはこうなります。
URLの末尾に燦然と輝くpass=1234の文字。その後、適当に会員の情報を見て行くとURLは次々変わりますが、末尾には常に pass=1234 がついてまわります。また、pass=1234の部分を削ってアクセスしてみると、パスワード入力を求められる画面になります。
つまり、URLにパスワードをつけて引き回しているわけです。何らかの事情でどこかのURLを知られると、それだけで管理画面の全ての機能にアクセスされてしまいます。……これ、パスワードによる認証というより、秘密のURLによる管理に近いですね。
通常、URLは秘密情報としては扱われません。ブラウザはURLにパスワードが含まれているなんてことは知らないわけですから、普段どおりにRefererを送りますし、履歴にも残します。行動履歴を取るようなツールバーを入れていれば、パスワード入りのURLが外部に送出されることにもなります。利用者にしても同じです。「この管理画面を使うときには、絶対にURLを漏らしてはならない」と言い渡されているのならともかく、そうでなければURLを慎重に取り扱うようなことはしないでしょう。ブックマークするかもしれませんし、メールで誰かに送るかもしれません。
「どうして漏れたのか?」という疑問の答えは、ほとんど明白だと思います。
そして、ベンダー(?)のWEBインベンターは、この事件を受けてこんな文書を出しています。
さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。(問題のプログラムは2004年ごろのプログラムのようです。)
(~中略~)
可能なら、最新のプログラムに差し替えることをお勧めいたします。少なくとも管理用のプログラムに下記のMETAタグを挿入すると良いと思います。
print "<meta name='robots' content='noindex,nofollow,noarchive'>\n";
えっ、meta要素の追加? そこですか? そこなんですか?
確かに、上記のようなmeta要素を入れれば、行儀の良い検索エンジンはインデックスしないようにしてくれるでしょう。ただ、それは検索エンジンにそういう動作が期待されるというだけです。行儀の悪い検索エンジンもあるかもしれませんし、そもそも、人間はmetaになんか従ってくれませんから、URLが人に知られれば管理画面にアクセスされてしまいます。
検索エンジンにインデックスされるということは、問題の本質ではないでしょう。問題は「URLが漏れると管理画面の全ての機能にアクセスされてしまう」という点です。ここを解決しない限り、安心して使うことは難しいのではないかと思うのですが……。
※ここから追記:
それから、読売の記事で言及されているCSVファイルなのですが、現在は魚拓からも削除されているようです。そのURLは、"http://www.messe-sanoh.co.jp/cgi/shopweb/csv_lock/order_user.csv"というものだったようで。パスワードすら含まれていないうえに、他の秘密情報も含まれておらず、かなり推測しやすそうですね……。
※ここまで追記
悩ましいのは、このアプリケーションを採用している企業がメッセサンオーだけではないという点です。利用者が指示どおりの対応をしたとして、それで大丈夫なのかというと……。この辺、どうアクションすれば良いのでしょうかね。
- 「URLを知られたらアウトな管理画面」にコメントを書く
2010年4月2日(金曜日)
次期Firefoxでは:visited疑似クラスのスタイルが制限される
公開: 2010年4月3日16時50分頃
「visited疑似クラスのビーコンを拾うサービスが登場」という話がありましたが、Firefoxでの対応方針が決まったようで……「CSS によるブラウザ履歴の漏えいを防ぐ取り組み - Mozilla Developer Street (modest) (dev.mozilla.jp)」。
具体的には、訪問済みリンクは、文字、背景、アウトライン、ボーダー、SVG の線と塗りといった、配色のみ変えられるようにします。
(~中略~)
次に、Gecko レンダリングエンジンの実装にいくつかの変更を加え、訪問済みと未訪問リンクの表示にかかる時間の違いを最小限にするため、処理プロセスを均一化します。
(~中略~)
Web ページがリンク (とその子孫要素) の算出スタイルを取得しようとすると、Firefox は未訪問リンクのスタイル定義を返すようになります。
というわけで、:visited の挙動が色の変更のみに制限されるようですね。
セキュリティ的には歓迎なのですが、影響は結構ありそうです。background-image を使ってリンクにアロー (三角画像) を表示しているスタイルは多くのサイトで見かけます (このサイトも例外ではありません) が、:visited のときにアローの色が変わらなくなります。まあ、アローの場合は色が変わらなくてもさほど問題ないと言えば問題ないと思いますが……。
※たとえばPanasonicのサイト (panasonic.co.jp)のように、そもそもアローの色は変えていないサイトもあります。これはこれで、それほど違和感ないと思います。
ただ、本当に背景画像を敷いているような場合、テキストの色が変わったのに背景画像が変わらないと、読めなくなるケースもありそうですね。
2010年3月31日(水曜日)
2010年版 10大脅威
公開: 2010年4月3日12時35分頃
今年の10大脅威、出ましたね。
- 「2010年版 10大脅威 あぶり出される組織の弱点!」を公開 (www.ipa.go.jp)
お疲れ様でした。私も参加させていただいておりまして、p.36で名前を出していただいています。
ちなみにInternet Watchにも記事が出ているのですが、
情報処理推進機構(IPA)は31日、「2010年版 10大脅威 あぶり出される組織の弱点!」と題した資料を公開した。2009年にIPAに届け出のあったウイルスや不正アクセスの情報や報道などをもとに、情報セキュリティ分野の研究者ら120名で構成する「情報セキュリティ検討会」がとりまとめた。
実は「情報セキュリティ検討会」という名前だったのは去年までで、今年は「10大脅威執筆者会」という名前になっているのですね。
※これは一説によると事業仕分けの影響だとか。本当なのか冗談なのかは良く分かりませんが。
2010年3月30日(火曜日)
OAuthが活用されない
公開: 2010年4月2日17時15分頃
こんなサイトがあるようで……つぶやきタカ!ボード (wing.softbankhawks.co.jp)。
アクセスすると、いきなりログイン画面になり、「Powered by Twitter」と書いてあってtwitterのパスワードの入力を求められますね。その際のドメインは http://wing.softbankhawks.co.jp/ で、twitterとは縁もゆかりもないドメインです。
こういうことをしなくても良いように、OAuth という仕組みが用意されています。OAuthを使うと、IDとパスワードをtwitterのドメインで入力して認証を行うようにすることができます。
せっかくそういう機能があるのですから、活用してほしいですよね。
※逆に利用者としては、「twitterにはOAuthという仕組みがあるのだから、まともなサイトがこんなことをするはずがない。これはフィッシングサイトに違いない」などと考えるべきなのでしょう。
2010年3月29日(月曜日)
もし高校野球の女子マネージャーがドラッカーの『マネジメント』を読んだら
公開: 2010年3月31日23時50分頃
読み終わったのでメモ。
- もし高校野球の女子マネージャーがドラッカーの『マネジメント』を読んだら (www.amazon.co.jp)
他の部活や学校、地域の人々のためにいろいろなことをして、その結果として大勢の人が応援に……というエピソードがありますが、これは要するにCSR (Corporate Social Responsibility、企業の社会的責任) なんですね。ある程度の規模の企業はほとんどの場合組織的にCSRに取り組んでいて、それ専用のコンテンツも持っています (サイトガバナンス的にはIRと並ぶ要注意コンテンツだったりしますが、それはまた別の話)。
逆に、CSRはお金に余裕のある大企業のすることだ……なんてイメージもあったりしますが、よく考えれば、どんな小さな組織にもできることはあるわけですね。何がCSRなのかという定義の話もあるでしょうが、派手なことばかりがCSRではないということで。
関連する話題: 本
2010年3月28日(日曜日)
ひだまりスケッチ5
公開: 2010年3月30日21時5分頃
出ていたので購入。
- ひだまりスケッチ5 (www.amazon.co.jp)
http://morimoriyama.macchi.bou.com/dokidokiq.html というURLは存在しない (というかドメイン屋さんのものになっている) 模様。あと、ゲイツさんはハード屋さんではないです。:-)
しかし、どれだけキャラが増えても宮子一人に勝てない気がしますね。
- 前(古い): 2010年3月27日(土曜日)のえび日記