水無月ばけらのえび日記

はてなが不正アクセスされた?

公開: 2009年10月3日16時35分頃

「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。

つまり、こういうことですね。

• docomo端末でログインした場合、URLにセッションIDを付加することによってアクセス制御を行うようになっていた
• その際、他のページへのリンクの箇所には、セッションIDつきのURLが出力されていた

これ自体はよくあることです。PCサイトであればCookieを使うところですが、現状、docomo端末の多くはCookieに対応していません。そのため、セッションIDを引き継ぐためにはURLに含めるか、hiddenを使うことになります。hiddenを使うとすべての遷移をPOSTにする必要があり、画面の設計が大幅に制限されるため、URLに含めてしまうのが一般的です。

そしてどうやら、こういうことが起きたらしい?

• 他のページへのリンクを含むページをサーバ側でキャッシュしていた
• ユーザがアクセスした際に生成されたキャッシュが、別のユーザに対して表示されてしまった

こうなると、単にリンクを辿っただけで、他のユーザのセッションIDを含むURLにアクセスすることになります。これであっさりセッションハイジャックが起きるわけですね。ただ、この場合、故意にセッションハイジャックが行われたという話ではないように思います。はてな側の不具合で、たまたま他人のセッションを乗っ取ってしまった人がいたという話のような……。

そうだとすると理解できないのはこれ。

何度も書いているような気がしますが、不正アクセス禁止法の言う「不正アクセス」は世間一般のイメージとは異なるもので、「管理者の想定していないことをしたら不正アクセス」なんてことにはなりません。基本的には、他人の識別符号(パスワードなど)を使うか、あるいは不正な指令などでアクセス制御を突破することが要件となります。また、過失や未遂を罰する規定はありません。

今回のケースでは、アクセス制御機能はあったと言って良いと思うのですが、他人の識別符号を入れたとか、何らかの指令を送ってそれを回避したとか、そういった事実は無いように思うのですけれど。

※とはいえ、実際には別途不正アクセスが行われているけれども詳細は公表していない、という可能性もありますね。こういうケースでは、警察から情報を公表しないように指導されている事も多いので……。

• 「はてなが不正アクセスされた?」にコメントを書く

関連する話題: セキュリティ