個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる

個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる 34

ストーリー by hylom 2008年10月01日 13時29分
さすがGoogle！俺たちにできないことを平然とやってのけるッ！部門より

あるAnonymous Coward 曰く、

メールアドレスなどを含む楽天メールマガジンの設定変更画面がGoogleによってクロールされ、そこから個人情報が漏洩する、という事件が起きている（セキュリティホール memo）。

この件については「水無月ばけらのえび日記」が詳しいが、「site:emagazine.rakuten.co.jp」というキーワードでGoogle検索を行うと、ユーザーごとのメールマガジン設定変更画面が検索結果として一覧表示されてしまう。設定画面自体は検索結果をクリックするだけでは確認できないが、Googleのキャッシュ機能を使ってその内容が見えてしまうものもある。

また、GoogleだけでなくWindows Live Searchでも同様のものがヒットするということで、原因はまだ分かっていないようだ。

「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記によると、ソーシャルブックマークに間違って（もしくは無意識に）設定変更ページを登録してしまったのが原因の1つではないか、と推測されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索34コメント Log In/Create an Account

もっと怖い話 (スコア:5, 興味深い)

by Anonymous Coward on 2008年10月01日 13時57分 (#1429556)

原因についてですが、

http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi [rakuten.co.jp]...
URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。

この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。
Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。
4文字は何でしょうね。鍵でしょうか。どうせろくでもない独自暗号ではないかと思われます。もし暗号アルゴリズムがバレていたら、どんなことになっていたか……
……メールアドレスからどのユーザの情報でも引き出せていたと考えられます。Googleにキャッシュされてないものも全部。
楽天はそういうことが起きてなかったか確認する義務があるんじゃないですかね。
- Re:もっと怖い話 (スコア:4, おもしろおかしい)
  
  by FRAGILE (8034) on 2008年10月01日 14時02分 (#1429561)
  
  >4文字は何でしょうね
  
  「楽天」をダブルバイトでと推理してみる。
  
  シェア
  
  親コメント
  - Re:もっと怖い話 (スコア:2, おもしろおかしい)
    
    by elderwand (34630) on 2008年10月01日 14時40分 (#1429596) 日記
    
    つまりは、皆様、晒そうが晒されようが、とっても 楽天的 なんですね。
    
    ＃そんな昔に戻りたい。
    
    シェア
    
    親コメント
- Re:もっと怖い話 (スコア:1)
  
  by dokusuke (36955) on 2008年10月01日 15時20分 (#1429635) 日記
  
  日付か時間でしょう
  単にキーの重複を防ぐ為のものでは？
  
  元の暗号化も単なるハッシュを変換しただけどか
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    メールアドレスと暗号文の長さがほとんど一緒ということなんで、単純に足したり引いたりした暗号化。
    その暗号文のHMAC 4byteをくっつけて改ざん防止。
    というところではないでしょうか。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  URLにセッション情報を埋め込むなんて、最低すぎ。
  
  携帯サイトなら、しかたがない部分もありますが。。。
  
  社会的にどーのこーの以前に、日本を代表する(知名度的な意味で)IT企業の技術力の低さに腹が立ちます。
  
  # また、「楽天のせいじゃありません」っていうんだろうなぁ。^^;
NTTドコモは cookie 対応にするべき (スコア:4, すばらしい洞察)

by Anonymous Coward on 2008年10月01日 15時10分 (#1429627)

こういう被害を出さないためにも、iモードは一刻も早く cookie 対応にするべき。
さすがにGoogleの責任じゃないでしょう (スコア:2, 興味深い)

by yukichi (12361) on 2008年10月01日 13時37分 (#1429535) ホームページ

T/O
- Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)
  
  by Stella_NF (16117) on 2008年10月01日 14時29分 (#1429585)
  
  楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ) [spicebox.jp]によるとGoogleだけではなくWindows Live Searchや百度でも出てきますから、Googleだけが悪いという事はないようです。
  公開ブックマークに不用意に登録した結果だけでなく、掲示板などに本人が書き込んだ（cf.「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記 [bakera.jp]）ものもあるようです。
  一番悪いのは、URLにセッション追跡や認証のための情報を埋め込んだ楽天のような気がします。
  
  シェア
  
  親コメント
- Re:さすがにGoogleの責任じゃないでしょう (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2008年10月01日 13時55分 (#1429551)
  
  現時点ではまだわからない。
  
  GoogleChromeが犯人という説もまだ否定できないし、ソーシャルブックマーク
  という線も確定ではないよ。
  検索してみた限りでは、ソーシャルブックマークらしきページは出なかった。
  
  少なくとも、セッション管理をやっていない楽天のシステムが悪いというのは
  確定しているけど。
  楽天の技術力って、こんなもんなんですかね。
  お金だけ持ってても仕方ないな。
  
  シェア
  
  親コメント
  - Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)
    
    by Anonymous Coward on 2008年10月02日 9時09分 (#1430168)
    
    何年か前に楽天の某システムに関わったことがあるのですが、
    担当者も、間に入ったSIもひどかったです。
    
    システムに結構大規模な変更を行うというのに、
    ・同等システムでの事前検証は(時間もコストも無いから)やらない
    ・連絡が来たのが変更の10日前
    ・「重要なシステムなので、当日は現地で待機して、何かあったらよろしく」
    てな感じでした。
    
    純粋な技術的なスキルのほどは分かりませんが、システムの管理/運用スキル
    というかリスク管理というか、その辺りは同規模/同重要度のシステムを運用する
    他の会社よりもかなり劣る、という印象でした。
    もっとも、それは必要なコストもケチるという体質の表れというだけなのかも
    知れませんが。
    ＃今も余り変わってないのかなあ。
    
    シェア
    
    親コメント
  - Re:さすがにGoogleの責任じゃないでしょう (スコア:1)
    
    by Kazzanov (33541) on 2008年10月01日 16時05分 (#1429671) 日記
    
    場所貸し
    販売
    仲介
    金融
    楽天の主要なサービスは最下段のやつだとおもうので、そんな会社に技術力を期待しても無駄では？
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    この方 [srad.jp]の技術力に疑いを持ってるのですか（風評被害か
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      事実として楽天はいろんなシステムを持っているけど、トラブルが多いよね。
      トラブルが多すぎて監督官庁から指導を何度も食らったり。
      
      Matzが研究員になったからって、それが一斉に直るとは思えない。
      風評被害も何も、露呈している事実だけで技術力が足りてないと断言できるし。
      
      今回の検索エンジンにクロールされて公開されたセッションハイジャックの
      ぜい弱性の対応だって、とりあえずの対応がrobot.txtに追加してクロール
      されないように宣言しただけではないかという疑惑が。
      
      なんで脆弱性を直すとか、とりあえずインターフェースをアクセス停止にする
      とかいう対応ができないのかな。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      少なくともWebシステムのセキュリティー管理という分野においては、技術力に疑いを持たざるを得ないと思います。
他にロボット検索で晒される例 (スコア:1)

by deleted user (29334) on 2008年10月01日 13時43分 (#1429539) ホームページ日記

以前に比べてだいぶ減ってきた様ですが、
アクセスログ解析結果がいろいろと検索で引っ掛かる事もありますね。

--
=-=-= The Inelegance（無粋な人） =-=-=
とりあえず (スコア:1, 興味深い)

by Anonymous Coward on 2008年10月01日 13時56分 (#1429554)

とりあえず楽天も必死こいてrobots.txtでDisallowを設定したらしいっぽい [rakuten.co.jp]
ので、早晩キャッシュから削除されるでしょうが、さすがにちょっと無防備
すぎましたな(´ー｀)y-~~

#でも、robots.txtを読まない系のチキンなクローラーが来たりすると……
- Re:とりあえず (スコア:3, 参考になる)
  
  by Anonymous Coward on 2008年10月01日 20時12分 (#1429874)
  
  robots.txt で弾いてしまうと、ページが無効になったかどうかを判別できないんで残ってしまうらしいです。
  
  ＃念のためACで
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  楽天って以前から技術にうといです。
  信頼とは逆の方向に突っ走っているのを何度もみたので。
  あまり近づかないほうがいいって感じしかしないんですが。
楽天メルマガのリンクはユーザー毎に異なるがスタティックリンク (スコア:1, 参考になる)

by Anonymous Coward on 2008年10月01日 15時07分 (#1429623)

3年前に取得したメルマガ設定のリンクが今でも使えます。
なので、このURLが漏洩すれば私が取得しているメルマガがすべてわかるわけです。

これがダイナミックリンクで有効期限があれば、問題はかなり薄まると思うのですが………
- Re:楽天メルマガのリンクはユーザー毎に異なるがスタティックリンク (スコア:1)
  
  by Namany (19002) on 2008年10月04日 13時06分 (#1431804) 日記
  
  そういう仕様だから、定期的に楽天のメルマガを解除するスクリプトが容易に作成できたりするのです。
  これで仕様変更があるとしたら、面倒だけど作り直しだなぁ。
  
  #一時期5分ごとに実行してキャンペーンとかで自動登録されるタイミングを割り出そうとしたりしたっけな
  
  シェア
  
  親コメント
楽天メールマガジン情報漏洩続き (スコア:1)

by greentea (17971) on 2008年10月01日 17時47分 (#1429753) 日記

そんなにしょっちゅうやらかしてたのかと思ってしまった

--
1を聞いて0を知れ!
つまり、自分でブックマークした人だけなの？ (スコア:0)

by Anonymous Coward on 2008年10月01日 14時12分 (#1429576)

漏れた人ってのは

まー、幸か不幸か、楽天市場のIDと、メールマガジンは別々ですから、
メールマガジンのアドレスが漏れるだけで、それほど被害はないと思いますがね
- Re:つまり、自分でブックマークした人だけなの？ (スコア:2, 参考になる)
  
  by JeanneNet (26602) on 2008年10月01日 14時55分 (#1429610) ホームページ
  
  検索エンジンのクロールによってだと思いますので、被リンクのあるページだけになると思います。
  
  害についてですが「本名」と「メールアドレス」がセットでバレるのは人によっては結構いたいです。
  
  --
  C# と VB.NET の入門サイト [wankuma.com]
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    バレて困るようなことをするときに、本名や、他でも使ってるメールアドレスを使うなんて、脇が甘いのでは?
- Re: (スコア:0)
  
  by Anonymous Coward
  
  >メールマガジンのアドレスが漏れるだけで、それほど被害はないと思いますがね
  
  メールアドレスと、購読しているメールマガジンから個人の（性的）志向がセットでバレるのは問題だと思いますけどね
  前にあったamazonのほしい物リスト騒動に近いかと
  - Re:つまり、自分でブックマークした人だけなの？ (スコア:1, 参考になる)
    
    by Anonymous Coward on 2008年10月01日 15時02分 (#1429619)
    
    つーわけで何で関連リンクに無いのか疑問なのでおいてみる。
    
    Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 [srad.jp]
    
    シェア
    
    親コメント
- 自分がやっちゃいそうな操作ミスを書いてみる (スコア:0)
  
  by Anonymous Coward
  
  Firefox>=3にブックマークをソーシャルブックマークと同期させる拡張を入れた状態で
  ロケーションバーの★印をクリックしてしまう。
  この★はfeedボタンかURLドロップダウンと近いので押してしまうことがある。
  
  # ソーシャルブックマークも楽天も使ってません念のため。
  # ミスるのも拡張入れるのもユーザーなのでFirefoxが悪いとは思いませんが、
  # 拡張開発者は未分類フォルダ内のものをソーシャルにぶっこまない設定できるようにはするべきか
以前あったけど (スコア:0)

by Anonymous Coward on 2008年10月01日 15時11分 (#1429628)

サイボウズのログイン画面がGoogleにクロールされていたのがあったな。
あれ、使い方にもよるけど部署名と個人名が晒されるんだよね…

少なくとも最近のでは META よけしてるはずなんだけど、なんで引っかかる
サイトがあったのやら… まあ自分のところは引っかかってなかったから
それ以上気にもしなかったんだけどさ。
誰? (スコア:0)

by Anonymous Coward on 2008年10月01日 15時36分 (#1429653)

この場合誰が不正アクセス??

検索エンジン
検索エンジンのキャッシュを見た人?
- Re:誰? (スコア:1)
  
  by soltiox (25610) on 2008年10月01日 17時39分 (#1429749) 日記
  
  http://www.ipa.go.jp/security/ciadr/law199908.html [ipa.go.jp]
  不正アクセス行為の禁止等に関する法律
  第三条　何人も、不正アクセス行為をしてはならない。
  
  ２　前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。　
  
  一　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
  当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、
  当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
  （当該アクセス制御機能を付加したアクセス管理者がするもの及び
  当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。）　
  
  二　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
  当該アクセス制御機能による特定利用の制限を免れることができる情報
  （識別符号であるものを除く。）又は指令を入力して当該特定電子計算機を作動させ、
  その制限されている特定利用をし得る状態にさせる行為
  （当該アクセス制御機能を付加したアクセス管理者がするもの及び
  当該アクセス管理者の承諾を得てするものを除く。次号において同じ。）
  
  三　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能により
  その特定利用を制限されている特定電子計算機に電気通信回線を通じて
  その制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、
  その制限されている特定利用をし得る状態にさせる行為
  
  //　改行は引用者が付加
  
  いかにも法律っぽい、くどい言い回しにもめげずに、
  ５分ぐらい眺めていると、何となく意味が分ります。
  
  これを見ると、sbmから「アクセス制御機能に係る他人の識別符号」
  を引っ張ってきて、サーバにハンドル名や購読メルマガを表示させた
  って事で、検索エンジンが一号に該当するような気が。
  
  『メルマガの登録urlが「識別符号」になるの？』とか、
  『そんな物騒な「識別符号」をsbmに貼り付けるのって、どうよ？』
  みたいな話とか出てくると思うけど、そこら辺は識者にまかせた！
  
  シェア
  
  親コメント
(ノ∀｀) (スコア:0)

by Anonymous Coward on 2008年10月01日 18時04分 (#1429772)

登録情報の変更画面が晒されている人がいるね。誰とは言わないけど。
氏名，生年月日，性別，都道府県までわかるんだからSPAM屋が大喜びですね(ノ∀｀)
公開される想定すると... (スコア:0)

by Anonymous Coward on 2008年10月02日 21時49分 (#1430798)

セッションIDにしろ、ワンタイム・トークンにしろ、意図せず公開してしまう人を想定すると、
PCサイトの場合、URLリライティングを使うなで、済むかもしれませんが、
携帯サイトの場合、かなり、面倒な話になりませんか？
おそらく、端末識別IDと組み合わせる案があると思いますが、ウィルコムはだめでしょ？
Cookieとの併用にすると、iモードがだめだし...

現状で、見ると、携帯サイトで、URL公開されても大丈夫なんて仕様で作ってるところもあるとも思えない。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる 34

個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる More ログイン

もっと怖い話 (スコア:5, 興味深い)

Re:もっと怖い話 (スコア:4, おもしろおかしい)

Re:もっと怖い話 (スコア:2, おもしろおかしい)

Re:もっと怖い話 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

NTTドコモは cookie 対応にするべき (スコア:4, すばらしい洞察)

さすがにGoogleの責任じゃないでしょう (スコア:2, 興味深い)

Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)

Re:さすがにGoogleの責任じゃないでしょう (スコア:1, すばらしい洞察)

Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)

Re:さすがにGoogleの責任じゃないでしょう (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

他にロボット検索で晒される例 (スコア:1)

とりあえず (スコア:1, 興味深い)

Re:とりあえず (スコア:3, 参考になる)

Re: (スコア:0)

楽天メルマガのリンクはユーザー毎に異なるがスタティックリンク (スコア:1, 参考になる)

Re:楽天メルマガのリンクはユーザー毎に異なるがスタティックリンク (スコア:1)

楽天メールマガジン情報漏洩続き (スコア:1)

つまり、自分でブックマークした人だけなの？ (スコア:0)

Re:つまり、自分でブックマークした人だけなの？ (スコア:2, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re:つまり、自分でブックマークした人だけなの？ (スコア:1, 参考になる)

自分がやっちゃいそうな操作ミスを書いてみる (スコア:0)

以前あったけど (スコア:0)

誰? (スコア:0)

Re:誰? (スコア:1)

(ノ∀｀) (スコア:0)

公開される想定すると... (スコア:0)

スラド