管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 20

ストーリー by nagazou 2022年10月28日 14時27分
アクセスしただけでモロみえ仕様ですか部門より

マニュライフ生命保険は、一部契約者へ「マイページわくわくログインキャンペーン」のアンケートを回答するためのURLをメールで案内しようとしたところ、誤って管理者用サイトのURLを送信してしまったという。誤送信されたURLを開くと、アンケート回答者のメールアドレス2万1622件と回答結果を閲覧できる状態だったとしている。氏名やクレジットカード情報、契約情報などは含まれていないという。この管理者用サイトに対して複数のアクセスが判明しており、最大571件のメールアドレスを閲覧された可能性があるとしている（マニュライフ生命保険リリース、Security NEXT）。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索20コメント Log In/Create an Account

非公開URLによるアクセス制御 (スコア:0)

by Anonymous Coward on 2022年10月28日 14時57分 (#4351511)

非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  一見そうかもだが、お使いのウェブブラウザがアクセスしたURLをどっかに送ってる可能性もあるわけで。
  実際こうやって誤ってURLをどっかに送ってしまったときに、パスワードが設定されてれば情報そのものを見られることはなかったわけで、
  全然「同じ」じゃないわけですが。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    PWだってキーロガーが収集してる可能性があるし、間違ってどっかに送ってしまったりするし、
    PW方式だと逆に認証URLや管理者IDはサービスによって固定で既知だったりで、PW漏洩しただけでアクセスされてしまうことあるし、
    一見全然別のように見えるけど本質は同じだよ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      URLの場合は、誰も間違ってなくても、収集する意図がなくても、Refererから漏れ出るものだよ。
      - Re:非公開URLによるアクセス制御 (スコア:2, 参考になる)
        
        by Anonymous Coward on 2022年10月28日 18時10分 (#4351612)
        
        反論とかじゃなくただの指摘だけど。
        今どきのブラウザは Referrer-Policy の既定値が strict-origin-when-cross-origin だから
        意図して設定変えない限り Referer で漏れるのはドメインぐらいだよ。
        https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Referrer-Policy [mozilla.org]
        ドメインは Referer 以前の話で、ドメイン取得すればそれだけでアクセス来るね。
        サブドメインに機密情報含めるようなアホなサイトなら Referer で漏洩にはなるか。
        
        シェア
        
        親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      パスワードとＵＲＬとパスワードを全部一回でご送信するアホは早々おらんだろう
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Proxy サーバのアクセスログ見てると、ウイルス対策ソフトがよく URL をウイルス対策会社のサーバに投げてますね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    一見？どう観てもバカは休み休み言えだろ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  総当たり攻撃の容易さが違う。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      >試行の繰り返しを検出してブロックしてもいいし
      普通のユーザアクセスとどうやって区別すんの？
      1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。
      「1分以内に100回アクセスがあったら」とかいう条件にするの？
      なら1IPアドレスで100回までは簡単に試せるね。
      パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        何桁のURLを試行するつもりなのか知らんがまぁがんばれ。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        普段から検索サイトが常時やってることなんだから、頑張る必要なんかないわな。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        そこはパスワードでの認証でも同じじゃない？
        仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード（Basic認証でもフォームログインでも）」にする。いずれでもそれ以外（/index.htmlなど）は制限なくアクセス可能にする。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        DOS攻撃し放題ですね
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        仮定の話なんだから、いろいろ雑なのは許してくださいよ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  一番の違いはパスワードならpasswo@dみたいな下らないのであっても不正アクセス禁止法違反に問えるのに対し
  非公開URLは悪用されても何の罪にもならないってところ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  普通パスワードとURLセットで流出させないだろう
限定公開URL (スコア:0)

by Anonymous Coward on 2022年10月28日 15時18分 (#4351535)

ようつべで見た！！！！
鉄道 (スコア:0)

by Anonymous Coward on 2022年10月29日 10時56分 (#4351957)

アプリで列車の現在位置が分かるのが定番ですが、一部マニアの間では社員用の(列車の番号や試運転などが詳しく分かる)非公開のURLが流通してて、PWやログインIDも全部割れてるみたいです。

分かった所で(お召列車の場所でも漏れない限り)大した問題にはならないのですが。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 20

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 More ログイン

非公開URLによるアクセス制御 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:非公開URLによるアクセス制御 (スコア:2, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

限定公開URL (スコア:0)

鉄道 (スコア:0)

スラド