水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > mailto: URL で Bcc: が指定できてしまう問題

mailto: URL で Bcc: が指定できてしまう問題

2005年5月26日(木曜日)

mailto: URL で Bcc: が指定できてしまう問題

更新: 2005年5月27日

JVN で「JVN#FCAD9BD8 メールクライアントソフトにおける mailto URL scheme の不適切な解釈 (jvn.jp)」が公開されました。

Shuriken Pro (www.amazon.co.jp) についてはアップデートモジュールが公開されています……「特殊な mailto: URL を利用する際、お客様が意図しないメールが送信されてしまう現象について (www.justsystem.co.jp)」。Pro でない Shuriken はノーサポートのようですが、それはもうライフサイクルが終わっているということなのでしょうね。

実はこの話、ニフティの FPROG で「mailto: URL で From: を指定する方法ってありますか?」という質問が出たのがきっかけだったりします。脊髄反射で「そんなことできたら脆弱性ですよね」みたいなコメントを書いたのですが、その後実際に鶴亀メールで試してみたらなんと指定できてしまったという。といっても「From: がダブっている」という旨の警告が出て送信はできませんでしたので、鶴亀メールについては問題ないと判断しましたが……他の MUA はどうだろうということでいろいろ検証してみたところ、ほとんどの MUA では From: は指定できないものの、Bcc: が指定できることが分かりました。

多くの MUA では Bcc: が必ず表示されるという実装になっており、RFC2368 には反していますがまあ問題はないかな、と判断したのですが、Shuriken (Pro ではない、古いモノ) では Bcc: が表示されないまま送信されてしまうことが発覚したという次第です。

その後 Shuriken Pro を使用している方にご協力いただいて Pro でも再現することを確認しました。そして Shuriken Pro の脆弱性として届け出たのですが、それがいきなり不受理。IPA の方曰く:

届出にありました「Bcc: の内容が表示されないこと」により第三者による悪用が可能になるということは認識しております。

ただし、以下の告示、ガイドラインの定義と照らし合わせた際に、今回の届出内容はソフトウェアにおける正規の挙動の一部であるため、ソフトウェアの機能や性能を損なうわけではなく、脆弱性ではないと判断しました。

まあそんなものなのかな、と思っていたのですが、何がどうなったものか、一週間ほどして

しかし、私どもで再度検討しましたところ、mailto スキームにおいて Bcc: を指定できてしまうこと自体は RFC 2386 に準拠しておらず、セキュリティ上好ましくない実装であり、この点において脆弱性であると判断し、取扱うことにいたしました。

と、突如方針転換。そうして現在に至った感じです。

※2005-05-27 追記:「RFC2386」は原文ママ。"The mailto URL scheme" の RFC は RFC2368 です。

そんなわけなので、実は当初の届出者の意図とはちょっと違う形で公開されていますが、まあそれはそれで良いかなと思います。

前にも書きましたが、こういうのは「不受理」にはカウントされないみたいですね。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / ジャストシステム / RFC

最近の日記

関わった本など