J416DY
@j416dy
万博予約サイト、最後まで修正されなかった脆弱性 パビリオン入場もほぼ終わったことなので公開。 万博予約サイトは、チケットIDさえわかればQRコードと予約情報が取り放題な脆弱性がありました。 チケットの追加登録のcheck用APIが、他アカウントに紐ついている場合にエラーを返しますが、その際にチケットの詳細情報を全て開示していました。 入場・パビリオン両方の予約内容とQRコードが入手可能なので、チケットIDさえわかれば誰でもなりすまし可能な状態でした。 現在も確認可能だと思いますので、各自確認してみてください。 お問い合わせしたものの回答・修正は最終的に行われないままでした。 #EXPO2025Forever #万博 #脆弱性
2025-10-13 20:00:02
J416DY
@j416dy
補足 ・QRコードとチケットIDは予約に関係なく1:1です ・チケットIDは紐付け後であっても入場・パビリオン予約は代理登録できる仕様ですが、登録後の参照、キャンセル等は本来外部から見えない仕様です ・個人情報は漏れませんが万博の入場やパビリオン予約の履歴が漏れます。通期パスなら全期間です
2025-10-13 22:41:33
J416DY
@j416dy
補足3 上記で公開している私の通期パスの応答結果を晒しておきます。 gist.github.com/j416dy/7bc5137… 私が行ったパビリオン予約や訪問時刻を確認できます。
2025-10-14 08:21:22
Asa
テスト用
@testerdebug
@j416dy 英数字36種類×10桁なので、組み合わせは約3000兆通りあり、よほどのことが無い限りチケットIDが合致してしまうことはない(=それだけで悪用できない)と思えますが、実際どうなのでしょう?
2025-10-14 08:49:53
J416DY
@j416dy
@testerdebug 総当たり耐性が怪しそうだというのはさておき。 同行者といっしょに予約のシステムがあり、チケットIDは友人間では教え合う可能性がある運用です。 また、QRがない画面でも都度表示されることもあり、意図せず漏らしてしまう人も多々いました。
2025-10-14 08:52:53
Ray Tea 
@ray_tea_t
入場予約日時、パビリオン予約日時、実際に入った時間...などなど、チケットに紐づく情報をもりもりに返してきますね
pic.x.com/HajPL34avv x.com/j416dy/status/…
おむかれー
@OmeletteCurry19
チェックAPIが最低限のレスポンスではなく、詳細情報を返すってことね。画面を見る限り、ログインしたあとの話ね。 x.com/j416dy/status/…
2025-10-13 21:40:36
ぽも
@west321kei
こんなガバAPIなら過去予約の情報も見れないかな?と思ったら余裕で見れて草 予約ID直叩きすれば詳細ページも見れる pic.x.com/SosDokIHC0 x.com/j416dy/status/…
2025-10-14 07:12:22
そらりす(soralis.org)さんと他128億人のみな
@soralis_0912
実はコレで券種とか入場履歴とかパビリオン予約歴分かってしまうので、チケットID晒しちゃってる人がどんな券種でどこに入ったかがわかっちゃうんだよなぁ... ヤバすぎる x.com/j416dy/status/…
2025-10-13 20:49:46
エンジェルちゃん【東証上場企業社長】
@angelinvestchan
「チケットIDさえわかれば、他人の予約情報もQRコードも丸見え」── 万博公式予約サイト、最後まで修正されなかった深刻な脆弱性があった様子。 深刻な脆弱性を放置したまま公開・運用された場合、瑕疵担保責任で開発ベンダーが損害賠償責任を負う可能性は十分にありそう。 x.com/j416dy/status/…
2025-10-14 08:51:04
ゆりこネット@7月からITMベース
@lilyfanjp
チケットIDが他人にバレると予約取り放題なのは「仕様」なので仕方ないけど、既存の予約内容もバレるとは。 x.com/j416dy/status/…
2025-10-13 22:30:57
Shin-ya Ohnishi
@shinyaohnishi
@j416dy 手元のチケット複数枚見ると、チケットIDのユニーク部って6桁か7桁ぐらいしか無いように見えるんですよね... これは実害出てるんじゃないでしょうか?
2025-10-13 22:35:11
青ポス
@bluepost700
つまりうっかりSNSで「予約取れた!」スクショ等でチケットIDを公開してしまうとそのチケットが乗っ取られる可能性があったわけか... x.com/j416dy/status/…
2025-10-13 20:14:33
ほっし〜
@hosshii_na
万博最終日
ゲートでチケ(一日券)提示したらなぜか入場済みになってて入れんかった
スタッフと話しても無理の一点張り、しまいには不正入場を疑われ、めんどくさいんで入らずに帰りました。
半年60回くらい通って最後がこれ
RPのやつか不具合か原因わからんけどシステムは最後までクソだった
x.com/j416dy/status/…
素晴と7匹の何か
@subarunrunrun
悪用するためには 1デーパスで予約を取ったチケットIDを見つける 本人よりも先に入場する だろうからそれなりにはハードル高そうですが、本人側では対処不可能なのが痛い 悪用側は誰のチケットでも良いので「チケットIDを知られないようにする」は対策にならない 一方通期パスは顔認証があるからセーフ x.com/j416dy/status/…
2025-10-13 21:25:47
現地採用A君@
Bangkok
@thaideoshigoto
[悪用方法] 前提:他人の"QRコード"と"チケットID"が必要 準備:『チケットの追加登録』からtargetのチケットIDを入力/予約情報を把握 実行:targetのQRを印刷し盗んだ予約情報の通りにパビリオンに訪れるだけ 制限:通年パスは顔認証のため入場横取りは無理? 疑問:チート級全通しQRとかあるかも?(願望 pic.x.com/0Y6AKEQmUM x.com/j416dy/status/…
2025-10-14 02:04:27
㍓@25博+オールナイト
@nanashiyossy
そもそも、公式機能で他人に受け渡してもQRコードが変わらないというのはどうかと思ってた(だから運営は、譲渡は知り合いまでってしてたんだろう)けど これはうーん… そもそもこんなのすぐ直せないか? x.com/j416dy/status/…
2025-10-14 06:30:41
エンジニアM168
@masaru21
@j416dy 脆弱性の公開について、方法をご存じないのですね。 ipa.go.jp/security/todok… 前回あるシステムでマスコミなどが脆弱性の報道するなどした際に問題がありました。そのため脆弱性を発見した際の取り扱いが決まったと私は、理解しています。 手順に従って相談するなど行動されることをお勧めします。
2025-10-13 22:17:00
Togetter編集部
X(旧Twitter)に日々流れる情報の中から、編集部がさまざまなポストを選び出し、わかりやすい形でお届けすることを大切にしています。新たな視点や世間の反応を添えることで、読者の皆様にとって安心・安全で価値あるコンテンツとすることを目指しています。詳しくは編集方針をご覧ください。
あわせて読みたい
もう開催まで四ヶ月を切っているのに大阪万博に行ったら何が見られるのかさっぱり分からんので盛り上がりようがないのでは?
82 302 253 users 1
「チケットIDは友人間では教え合う可能性がある運用です」それ友人関係が脆弱性やろ
最終日に行ったらなぜか入場済で入れなかった。これはツライ