セブンスポットに接続してログインすると周囲の第三者がセッションを奪ってメールアドレス、年齢、性別の登録情報を閲覧できる可能性があります。パスワードの確認があるため、登録情報の変更・退会は不可能です。
セブンスポットとは
セブンイレブン等のセブン&アイグループの対応店舗内では"7SPOT"という無線APが飛んでおり、セブンスポット限定特典やインターネット接続サービスが簡単な会員登録をすれば無料で利用できます。
無線APに暗号化は設定されていませんが、それ自体は問題ではありません。WPA2-PSK等の暗号化を設定しても、公衆無線LANのように事前共有鍵が周知の場合は誰でも復号できてしまいます。鍵のありかを実はみんな知ってるのに、金庫に入れておけば安全という偽りの安心をするぐらいなら、初めから金庫に入れないほうがマシですよね。
インターネット接続サービスの利用
セブンスポットのインターネット接続サービスは1日3回、1回60分までの制限が付きで利用できます。
インターネットはセブンスポットに接続して、ログインしただけでは利用できません。利用開始前に必ず利用規約に同意する必要があります。
問題
セブンスポットのログインページはhttpsで暗号化されていますので、パスワードが漏れることはありません。ログインや登録情報の変更など暗号化の必要なページではhttps、それ以外はhttpといった具合にhttpとhttpsのページが混在しています。こういった運用では、通常セッション情報の漏洩を防ぐためにCookieにSecure属性を付けます。
しかし調べたところ、セッションのCookieにSecure属性が付いていませんでした。そのため、http通信時でもセッションCookieが送信されます。前述のように7SPOTは暗号化されていないため、パケットキャプチャソフトで簡単に傍受できます。
ログインするだけでセッション情報が漏れる
ログイン画面の"https://webapp-ap.7sppt.jp/authentications/login_form_7spot"からログイン完了後は"http://webapp-ap.7spot.jp" に飛ばされるため、ログインするだけで、セッション情報が平文で書いてある電波が流れていることになります。
今度はセッション情報を入手した攻撃者の立場です。Chromeをシークレットモードで起動し、Cookie "WFSESSION"をセットします。
そしてセブンスポットのアカウント情報変更ページにアクセスします。
セッションを乗っ取り、メールアドレスを閲覧することができています。画面ではセブンスポットではないモバイル回線からアクセスしているのですが、セブンスポットで発行されたセッションIDはインターネット側の管理画面でも有効で、セッションIDをセットしたモバイル回線から閲覧できてしまいます。
登録情報の変更には確認用パスワードが必要なため、勝手に変更される心配はありませんが、セブンスポットにログインするだけでメールアドレスが第三者に閲覧できる可能性があるのは十分脅威なのではないでしょうか。