2010年4月3日(土曜日)

URLを知られたらアウトな管理画面

更新: 2010年4月3日23時20分頃

メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。

秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)
ＰＣゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)
メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)

Internet Watch の記事には追記がありますね。

なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。

以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出より

ほう、最新版を使用していなかったのが悪い……ということなのでしょうか?

その「WEBインベンター」のサイトを見ると、ショッピングカートCGIの紹介ページ (wb-i.net)があり、サンプルが公開されています。たとえば、Contents-Mall (148,000円) のサンプルは以下のURLで見られます。

http://wb-i.kir.jp/sample/Contents_Mall/ (wb-i.kir.jp)

左メニューの下の方に「管理者用」という項目があり、クリックするとログイン画面にたどり着きます。

これはサンプルなので、誰でもログインできるようにログイン画面にパスワードが書いてあります。パスワードは「1234」なので、パスワードを入力して「認証」ボタンを押します。すると管理用のメニューが出るので、適当に「会員管理」あたりを選んで右クリックし、別ウィンドウ (あるいは別タブ) で表示してみます。アドレスバーのURLはこうなります。

http://wb-i.kir.jp/sample/Contents_Mall/member.cgi?pass=1234 (wb-i.kir.jp)

URLの末尾に燦然と輝くpass=1234の文字。その後、適当に会員の情報を見て行くとURLは次々変わりますが、末尾には常に pass=1234 がついてまわります。また、pass=1234の部分を削ってアクセスしてみると、パスワード入力を求められる画面になります。

つまり、URLにパスワードをつけて引き回しているわけです。何らかの事情でどこかのURLを知られると、それだけで管理画面の全ての機能にアクセスされてしまいます。……これ、パスワードによる認証というより、秘密のURLによる管理に近いですね。

通常、URLは秘密情報としては扱われません。ブラウザはURLにパスワードが含まれているなんてことは知らないわけですから、普段どおりにRefererを送りますし、履歴にも残します。行動履歴を取るようなツールバーを入れていれば、パスワード入りのURLが外部に送出されることにもなります。利用者にしても同じです。「この管理画面を使うときには、絶対にURLを漏らしてはならない」と言い渡されているのならともかく、そうでなければURLを慎重に取り扱うようなことはしないでしょう。ブックマークするかもしれませんし、メールで誰かに送るかもしれません。

「どうして漏れたのか?」という疑問の答えは、ほとんど明白だと思います。

そして、ベンダー(?)のWEBインベンターは、この事件を受けてこんな文書を出しています。

さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。（問題のプログラムは2004年ごろのプログラムのようです。）
(～中略～)
可能なら、最新のプログラムに差し替えることをお勧めいたします。少なくとも管理用のプログラムに下記のMETAタグを挿入すると良いと思います。
print "<meta name='robots' content='noindex,nofollow,noarchive'>\n";

以上、管理プログラムがGoogleにインデックスされないようにするより

えっ、meta要素の追加? そこですか? そこなんですか?

確かに、上記のようなmeta要素を入れれば、行儀の良い検索エンジンはインデックスしないようにしてくれるでしょう。ただ、それは検索エンジンにそういう動作が期待されるというだけです。行儀の悪い検索エンジンもあるかもしれませんし、そもそも、人間はmetaになんか従ってくれませんから、URLが人に知られれば管理画面にアクセスされてしまいます。

検索エンジンにインデックスされるということは、問題の本質ではないでしょう。問題は「URLが漏れると管理画面の全ての機能にアクセスされてしまう」という点です。ここを解決しない限り、安心して使うことは難しいのではないかと思うのですが……。

※ここから追記:

それから、読売の記事で言及されているCSVファイルなのですが、現在は魚拓からも削除されているようです。そのURLは、"http://www.messe-sanoh.co.jp/cgi/shopweb/csv_lock/order_user.csv"というものだったようで。パスワードすら含まれていないうえに、他の秘密情報も含まれておらず、かなり推測しやすそうですね……。

※ここまで追記

悩ましいのは、このアプリケーションを採用している企業がメッセサンオーだけではないという点です。利用者が指示どおりの対応をしたとして、それで大丈夫なのかというと……。この辺、どうアクションすれば良いのでしょうかね。

※続き: WEBインベンターがCookieを使うようになった

「URLを知られたらアウトな管理画面」へのコメント (6件)

関連する話題: Web / セキュリティ / WEBインベンター

前(古い): 2010年4月2日(Friday)のえび日記
次(新しい): 2010年4月6日(Tuesday)のえび日記