パスワードを忘れた? アカウント作成
36379 story
情報漏洩

個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる 34

ストーリー by hylom
さすがGoogle! 俺たちにできないことを平然とやってのけるッ! 部門より

あるAnonymous Coward 曰く、

メールアドレスなどを含む楽天メールマガジンの設定変更画面がGoogleによってクロールされ、そこから個人情報が漏洩する、という事件が起きている(セキュリティホール memo)。

この件については「水無月ばけらのえび日記」が詳しいが、 「site:emagazine.rakuten.co.jp」というキーワードでGoogle検索を行うと、ユーザーごとのメールマガジン設定変更画面が検索結果として一覧表示されてしまう。設定画面自体は検索結果をクリックするだけでは確認できないが、Googleのキャッシュ機能を使ってその内容が見えてしまうものもある。

また、GoogleだけでなくWindows Live Searchでも同様のものがヒットするということで、原因はまだ分かっていないようだ。

「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記によると、ソーシャルブックマークに間違って(もしくは無意識に)設定変更ページを登録してしまったのが原因の1つではないか、と推測されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年10月01日 13時57分 (#1429556)
    原因についてですが、

    http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi [rakuten.co.jp]...​

    URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。

    この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。

    Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。

    4文字は何でしょうね。鍵でしょうか。どうせろくでもない独自暗号ではないかと思われます。もし暗号アルゴリズムがバレていたら、どんなことになっていたか……

    ……メールアドレスからどのユーザの情報でも引き出せていたと考えられます。Googleにキャッシュされてないものも全部。

    楽天はそういうことが起きてなかったか確認する義務があるんじゃないですかね。

    • Re:もっと怖い話 (スコア:4, おもしろおかしい)

      by FRAGILE (8034) on 2008年10月01日 14時02分 (#1429561)

      >4文字は何でしょうね

      「楽天」をダブルバイトでと推理してみる。

      親コメント
    • by dokusuke (36955) on 2008年10月01日 15時20分 (#1429635) 日記
      日付か時間でしょう
      単にキーの重複を防ぐ為のものでは?

      元の暗号化も単なるハッシュを変換しただけどか
      親コメント
      • by Anonymous Coward
        メールアドレスと暗号文の長さがほとんど一緒ということなんで、単純に足したり引いたりした暗号化。
        その暗号文のHMAC 4byteをくっつけて改ざん防止 。
        というところではないでしょうか。

    • by Anonymous Coward
      URLにセッション情報を埋め込むなんて、最低すぎ。

      携帯サイトなら、しかたがない部分もありますが。。。

      社会的にどーのこーの以前に、日本を代表する(知名度的な意味で)IT企業の技術力の低さに腹が立ちます。


      # また、「楽天のせいじゃありません」っていうんだろうなぁ。^^;
  • by Anonymous Coward on 2008年10月01日 15時10分 (#1429627)
    こういう被害を出さないためにも、iモードは一刻も早く cookie 対応にするべき。
    • by Stella_NF (16117) on 2008年10月01日 14時29分 (#1429585)
      楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ) [spicebox.jp]によるとGoogleだけではなくWindows Live Searchや百度でも出てきますから、Googleだけが悪いという事はないようです。
      公開ブックマークに不用意に登録した結果だけでなく、掲示板などに本人が書き込んだ(cf.「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記 [bakera.jp])ものもあるようです。
      一番悪いのは、URLにセッション追跡や認証のための情報を埋め込んだ楽天のような気がします。
      親コメント
    • by Anonymous Coward on 2008年10月01日 13時55分 (#1429551)
      現時点ではまだわからない。

      GoogleChromeが犯人という説もまだ否定できないし、ソーシャルブックマーク
      という線も確定ではないよ。
      検索してみた限りでは、ソーシャルブックマークらしきページは出なかった。

      少なくとも、セッション管理をやっていない楽天のシステムが悪いというのは
      確定しているけど。
      楽天の技術力って、こんなもんなんですかね。
      お金だけ持ってても仕方ないな。
      親コメント
      • by Anonymous Coward on 2008年10月02日 9時09分 (#1430168)
        何年か前に楽天の某システムに関わったことがあるのですが、
        担当者も、間に入ったSIもひどかったです。

        システムに結構大規模な変更を行うというのに、
        ・同等システムでの事前検証は(時間もコストも無いから)やらない
        ・連絡が来たのが変更の10日前
        ・「重要なシステムなので、当日は現地で待機して、何かあったらよろしく」
        てな感じでした。

        純粋な技術的なスキルのほどは分かりませんが、システムの管理/運用スキル
        というかリスク管理というか、その辺りは同規模/同重要度のシステムを運用する
        他の会社よりもかなり劣る、という印象でした。
        もっとも、それは必要なコストもケチるという体質の表れというだけなのかも
        知れませんが。
        #今も余り変わってないのかなあ。
        親コメント
      • 場所貸し
        販売
        仲介
        金融
        楽天の主要なサービスは最下段のやつだとおもうので、そんな会社に技術力を期待しても無駄では?
        親コメント
      • by Anonymous Coward
        この方 [srad.jp]の技術力に疑いを持ってるのですか(風評被害か
        • by Anonymous Coward
          事実として楽天はいろんなシステムを持っているけど、トラブルが多いよね。
          トラブルが多すぎて監督官庁から指導を何度も食らったり。

          Matzが研究員になったからって、それが一斉に直るとは思えない。
          風評被害も何も、露呈している事実だけで技術力が足りてないと断言できるし。

          今回の検索エンジンにクロールされて公開されたセッションハイジャックの
          ぜい弱性の対応だって、とりあえずの対応がrobot.txtに追加してクロール
          されないように宣言しただけではないかという疑惑が。

          なんで脆弱性を直すとか、とりあえずインターフェースをアクセス停止にする
          とかいう対応ができないのかな。
        • by Anonymous Coward
          少なくともWebシステムのセキュリティー管理という分野においては、技術力に疑いを持たざるを得ないと思います。

  • 以前に比べてだいぶ減ってきた様ですが、
    アクセスログ解析結果がいろいろと検索で引っ掛かる事もありますね。
    --
    =-=-= The Inelegance(無粋な人) =-=-=
  • とりあえず (スコア:1, 興味深い)

    by Anonymous Coward on 2008年10月01日 13時56分 (#1429554)
    とりあえず楽天も必死こいてrobots.txtでDisallowを設定したらしいっぽい [rakuten.co.jp]
    ので、早晩キャッシュから削除されるでしょうが、さすがにちょっと無防備
    すぎましたな(´ー`)y-~~

    #でも、robots.txtを読まない系のチキンなクローラーが来たりすると……

    • Re:とりあえず (スコア:3, 参考になる)

      by Anonymous Coward on 2008年10月01日 20時12分 (#1429874)
      robots.txt で弾いてしまうと、ページが無効になったかどうかを判別できないんで残ってしまうらしいです。

      #念のためACで

      親コメント
    • by Anonymous Coward
      楽天って以前から技術にうといです。
      信頼とは逆の方向に突っ走っているのを何度もみたので。
      あまり近づかないほうがいいって感じしかしないんですが。
  • by Anonymous Coward on 2008年10月01日 15時07分 (#1429623)
    3年前に取得したメルマガ設定のリンクが今でも使えます。
    なので、このURLが漏洩すれば私が取得しているメルマガがすべてわかるわけです。

    これがダイナミックリンクで有効期限があれば、問題はかなり薄まると思うのですが………
  • そんなにしょっちゅうやらかしてたのかと思ってしまった
    --
    1を聞いて0を知れ!
  • by Anonymous Coward on 2008年10月01日 14時12分 (#1429576)
    漏れた人ってのは

    まー、幸か不幸か、楽天市場のIDと、メールマガジンは別々ですから、
    メールマガジンのアドレスが漏れるだけで、それほど被害はないと思いますがね
  • by Anonymous Coward on 2008年10月01日 15時11分 (#1429628)
    サイボウズのログイン画面がGoogleにクロールされていたのがあったな。
    あれ、使い方にもよるけど部署名と個人名が晒されるんだよね…

    少なくとも最近のでは META よけしてるはずなんだけど、なんで引っかかる
    サイトがあったのやら… まあ自分のところは引っかかってなかったから
    それ以上気にもしなかったんだけどさ。

  • by Anonymous Coward on 2008年10月01日 15時36分 (#1429653)
    この場合誰が不正アクセス??

    検索エンジン
    検索エンジンのキャッシュを見た人?
    • by soltiox (25610) on 2008年10月01日 17時39分 (#1429749) 日記
      http://www.ipa.go.jp/security/ciadr/law199908.html [ipa.go.jp]
      不正アクセス行為の禁止等に関する法律

      第三条 何人も、不正アクセス行為をしてはならない。

      2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。  

      一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
      当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、
      当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
      (当該アクセス制御機能を付加したアクセス管理者がするもの及び
      当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)  

      二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
      当該アクセス制御機能による特定利用の制限を免れることができる情報
      (識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、
      その制限されている特定利用をし得る状態にさせる行為
      (当該アクセス制御機能を付加したアクセス管理者がするもの及び
      当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

      三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能により
      その特定利用を制限されている特定電子計算機に電気通信回線を通じて
      その制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、
      その制限されている特定利用をし得る状態にさせる行為

      // 改行は引用者が付加

      いかにも法律っぽい、くどい言い回しにもめげずに、
      5分ぐらい眺めていると、何となく意味が分ります。

      これを見ると、sbmから「アクセス制御機能に係る他人の識別符号」
      を引っ張ってきて、サーバにハンドル名や購読メルマガを表示させた
      って事で、検索エンジンが一号に該当するような気が。

      『メルマガの登録urlが「識別符号」になるの?』とか、
      『そんな物騒な「識別符号」をsbmに貼り付けるのって、どうよ?』
      みたいな話とか出てくると思うけど、そこら辺は識者にまかせた!
      親コメント
  • by Anonymous Coward on 2008年10月01日 18時04分 (#1429772)
    登録情報の変更画面が晒されている人がいるね。誰とは言わないけど。
    氏名,生年月日,性別,都道府県までわかるんだからSPAM屋が大喜びですね(ノ∀`)
  • by Anonymous Coward on 2008年10月02日 21時49分 (#1430798)
    セッションIDにしろ、ワンタイム・トークンにしろ、意図せず公開してしまう人を想定すると、
    PCサイトの場合、URLリライティングを使うなで、済むかもしれませんが、
    携帯サイトの場合、かなり、面倒な話になりませんか?
    おそらく、端末識別IDと組み合わせる案があると思いますが、ウィルコムはだめでしょ?
    Cookieとの併用にすると、iモードがだめだし...

    現状で、見ると、携帯サイトで、URL公開されても大丈夫なんて仕様で作ってるところもあるとも思えない。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...