水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > メールマガジン乗っ取り?

メールマガジン乗っ取り?

2004年5月26日(水曜日)

メールマガジン乗っ取り?

また情報漏洩系の話が……「顧客情報流出、メルマガ改ざん配信の被害 自転車のツノダ (www.asahi.com)」。

自転車メーカーのツノダ(角田重夫社長、本社・愛知県小牧市)が新製品の紹介などを行うメールマガジンに登録している約1万6000人分の顧客情報が流出していたことが、分かった。また、メールマガジンが改ざんされて配信されたうえ、リンク先として掲載した同社のホームページのアドレスが改ざんされ、ウイルス感染する仕組みにもなっていた。同社は告訴も含め、対応を検討している。

以上、顧客情報流出、メルマガ改ざん配信の被害 自転車のツノダ より

……って、ざっと読んでもなんだか良く分からないですね。

ツノダのサイト (www.tu-bicycle.co.jp)に行ってみると、リリースが出ていない上に「メール会員登録」という部分を押しても何も起きずに閉口するわけですが、ソースを解析するとメール会員登録のリンク先は http://www.tu-bicycle.co.jp/touroku.html のようです。さらにそのフォームのソースを見ると、「メール配信システムASP CombzMail (regist.combzmail.jp)」を利用していることが伺えます。

そのサイトのトップを見ると、管理用のログインフォームがあるようなのですね。何らかの方法でこのメールマガジンの管理者としてログインすることができれば、ユーザの一覧を見たり、任意の内容のメールマガジンを発行できたりするのでしょう。そこで既存のメールマガジンのデータにユーザの一覧をくっつけて、サイトの URL 部分を悪意あるものに改竄して送信、というシナリオを想像しました。

とりあえず HTTPS じゃないところにログインフォームがあったり、「パスワード取り寄せ」というチェックボックスがあったりするのが気になるところですが、実際の所はどうなのでしょうね。

関連する話題: セキュリティ / 情報漏洩

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト