水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2012年のえび日記 > 2012年2月 > 2012年2月11日(土曜日)

2012年2月11日(土曜日)

OCNで他人のメールパスワードが変更できた話

公開: 2012年2月24日23時20分頃

こんな話が……「「OCNマイページ」のシステム不具合に伴いOCNメールパスワードが別のお客さまによって変更された事象について (www.ntt.com)」。

パスワードが、別のユーザーによって変更されたという、なかなかインパクトのある話ですね。

1.発生事象(別紙)

「OCNマイページ」上で、お客さま(Aさま)がOCNメールパスワードを再設定する際、ご自身のOCNメールアドレスとは異なる別のお客さま(Bさま)のOCNメールアドレスを誤って入力してしまったケースにおいて、BさまのOCNメールパスワードが変更されてしまう事象が発生しました。これにより、Bさまがメールを利用できなくなるとともに、AさまにBさまのメールを閲覧されてしまう可能性がありました。

(~中略~)

3.OCNメールパスワードが別のお客さまに変更された件数

236件

原因は以下のように書かれていますね。

4.原因

「OCNマイページ」のシステムの不具合により、メールパスワード再設定申請時のメールアドレスと申請確認時のメールアドレスとの整合性チェックが実施されていなかったため。

これだけだと良く分からないのですが、実はよく見ると「1.発生事象(別紙)」という見出しの「別紙」の部分がリンクになっています。リンク先はPDFですが、画面キャプチャ付きの詳しい説明があって分かりやすいです。

パスワード再設定のフローはこんな感じのようです。

この3.のプロセスで改めてメールアドレスを入力するのですが、ここで他人のメールアドレスを入力してもログインできてしまい、そのまま他人のメールアドレスを変更できてしまったようで。メールアドレスのドメインの部分はocn.ne.jpで固定なので、ユーザー名部分をタイプミスした場合、たまたまそのメールアドレスが存在する可能性はそれなりに高いでしょう。そして実際、そういうケースがけっこうあって、パスワードが変更されてしまったということのようです。

通常、ログイン時にはIDとパスワードの両方をチェックするわけですが、この3.のプロセスではIDに相当するメールアドレスをチェックせず、パスワードだけを見て通してしまっていたように見えます。

しかし、この仮パスワードはユーザーが任意に設定するもので、もとより他のユーザーとかぶる可能性があるものです。それではユーザーを識別できないので、そういう設計はしないでしょう。想像ですが、おそらくURLにIDのようなものが含まれていて、そのIDでユーザーを識別していたのだと思います。仮にそうだとすると、そもそも3.でメールアドレスを入力させる必要がありません。あるいは、当初ここではメールアドレスを入れない設計になっていて、後から変更したのでしょうか……?

いずれにしてもひどいバグで、どうして事前に分からなかったのかという疑問はあります。テストはしているのでしょうが、「存在しないメールアドレスを入れる」というテストはしていても、「存在する他人のメールアドレスを入れる」というテストはしていなかったのかも。

関連する話題: セキュリティ / OCN

最近の日記

関わった本など