2010年5月26日(水曜日)
Twitterのパスワードを入れさせるUNIQLO LUCKY LINE
公開: 2010年6月6日15時35分頃
Twitterで「UNIQLO LUCKY LINE」というサービスが話題になったようで。関連するつぶやきが以下にまとめられています。
- UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について (togetter.com)
※ちなみにタイトルはパスワードが漏れているという意味ではなく、パスワードが本当に本物サイトに送られるのか、送られた後どう扱われているか、といったことを確認するすべがないという意味です (たぶん)。
UNIQLO LUCKY LINEは、Twitterユーザーが店の前に並んで「行列」をつくることができるというサービスで、並ぶと何人かに一人の割合でクーポン券やTシャツがもらえます。このサービスは当初、以下のように動作していました。
- ユニクロのトップページ http://www.uniqlo.com/jp/ にアクセスすると、UNIQLO LUCKY LINEというFlashコンテンツがあり、行列の先頭が表示されている
- クリックすると画面が右に広がってスクロールし、行列を眺めることができる
- 右端まで行くと「最後尾」という札があり、クリックすると並ぶことができる
- 並ぼうとすると、Twitterのアカウント名とパスワードの入力を求められる (!)
- IDとパスワードを入力して「ツイートして行列に並ぶ」ボタンをクリックすると、http://uniqlo-happy-line.s2factory.co.jp/system/stand_in_line.php に password=twitterパスワード&(中略)&username=twitterアカウント名のようなデータがPOSTされる
- パスワードが合っていれば、行列に追加されると同時に、そのTwitterアカウントで「UNIQLO LUCKY LINEに行列なう! ####番ゲット! http://www.uniqlo.com/jp/#line #uniqlo?line」というつぶやきが投稿される。
また、Flashで行列を表示する際には http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt にアクセスし、行列の先頭400人、最後尾400人分のTwitterアカウント名、つぶやき文などを取得します。
複数の問題が絡み合ってややこしいのですが、整理すると、ポイントは4つあります。
行列しているユーザのIDのリストが取得できる
http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt にアクセスすると、行列しているユーザのIDのリストを取得することができました。これはFlashで行列を表示するのに必要なデータです。
これは特に問題ではないと思います。あえて言うなら、行列しているユーザーのIDを一気に取得できるので悪用される可能性がある……というところでしょうが、行列しているユーザのIDは普通に表示されているわけで、もとより公開されている情報です。単に、簡単にリストが取れるか取れないかという違いでしかないでしょう。
※なお、パスワードが公開されているという噂が流れたようですが、このリストにはパスワードは含まれていませんでした。「IDのリストが公開されている」という話が、伝言ゲームで「パスワードのリストが公開されている」に変わったのでしょうか?
HTTPSではない画面でパスワードを入力させている
パスワードを入力する画面がHTTPSではないため、私が見ているこのサイトが本当にユニクロのものであるという保証がありません。攻撃者によって改竄された偽サイトを見せられている可能性があります。その場合、パスワードは攻撃者のところに送られるでしょう。
ユニクロと関係ないドメインにパスワードを送信している
一般の利用者には確認するすべがありませんが、入力されたパスワードは uniqlo-happy-line.s2factory.co.jp というサーバに送られています。s2factory.co.jp というドメインはユニクロのものではありません。他サイトにパスワードを送るのはどうなのでしょうか?
ここでユニクロのプライバシーポリシーを確認したいところです。トップページのフッタには「プライバシーポリシー」というリンクがあるのですが、リンク先はhttp://faqnavi12a.csview.jp/faq2/userqa.do?user=frgroup&faq=uniqloec&id=5139&parent=3866 (faqnavi12a.csview.jp)というURLになっています。このドメインcsview.jpがまたしてもユニクロではありません……(調べるとNECの所有になっています)。
なんだかよく分かりませんね。もっとも、前述のようにHTTPSではありませんから、私が見ているコンテンツは改竄されている可能性があります。本来はユニクロのドメインにパスワードを送信するようになっているのに、コンテンツが改竄されて別ドメインに送信するように改造されたSWFを受け取っていた……という可能性も否定することはできません。
他サービスのパスワードを入力させている
これが最大にして根本的な問題です。そもそも、他サービスのパスワードを自サイトで入力させようとしていること自体が問題です。
以前にもnwitterというサービスが現れて批判の的になりましたが (高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる (takagi-hiromitsu.jp))、当時はまだOAuthの仕組みがなかったため、仕方ない面もありました。しかし、今ではOAuthが使えるわけで……。
そもそも、このサービスで本当にTwitterのパスワードを取得する必要があったのかどうかも疑問です。
さて、そんなUNIQLO LUCKY LINEですが、26日のうちにプレスリリースが出ました。
- UNIQLO LUCKY LINEに関するお知らせ (www.uniqlo.com)
- ユニクロの行列キャンペーン「Twitterパスワードは保存していない」と説明 (internet.watch.impress.co.jp)
- 「パスワード漏えいはない」 ユニクロのTwitter連携“行列”サイト、登録者のIDリスト公開される事態に対処 (www.itmedia.co.jp)
行動が早いのは良いと思うのですが、「漏れていません」と宣言して終了というのはどうなのでしょうね。まあ、期間限定のキャンペーンサイトなのですから、いまさらOAuthで作り直すというのもナンセンスですけれど。
- 「Twitterのパスワードを入れさせるUNIQLO LUCKY LINE」へのコメント (2件)
岡崎市立中央図書館のDoSで逮捕者
公開: 2010年6月5日22時15分頃
こんな記事が……「図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 (www.asahi.com)」。
県警生活経済課と岡崎署によると、中川容疑者は、4月2日から15日にかけて、岡崎市立中央図書館のホームページに、計約3万3千回のアクセスを繰り返し、ホームページを閲覧しにくい状態にした疑いがある。
同図書館のホームページ管理用サーバーには、3月中旬からの約1カ月間に、中川容疑者の自宅のパソコンなど特定の端末から計約6万4千回のアクセスがあり、その影響でホームページの閲覧は21回停止されていた。
14日間で3万3千回のアクセス、6万4千回で21回の停止……って、1回あたり3,000回くらいのアクセスで死んでいる計算ですね。まあ、悪意を持って攻撃をしたのなら犯罪だというのは分かるのですが、それにしても、サーバ弱すぎませんか?
※ちなみに、bakera.jpは同一IPアドレスから1日に106,146回のアクセスを受けたことがあります。参考までにそのときのログ (16MB以上あるので注意!) : dos20070407.txt
同課によると、中川容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。中川容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。
はあ。1秒に1回って、昔の某サーチエンジンのクローラと変わらないですね。というか、サーバを殺しに行くのならもっと激しくアクセスすると思うわけで、むしろサーバが死なないようにウェイトをかけているように思えますが……。サーバの死因も、逮捕された経緯も良く分からないですね。
関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack
- 前(古い): 2010年5月25日(Tuesday)のえび日記
- 次(新しい): 2010年5月27日(Thursday)のえび日記
