水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > はてなが不正アクセスされた?

はてなが不正アクセスされた?

2009年10月2日(金曜日)

はてなが不正アクセスされた?

公開: 2009年10月3日16時35分頃

「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。

はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。

つまり、こういうことですね。

これ自体はよくあることです。PCサイトであればCookieを使うところですが、現状、docomo端末の多くはCookieに対応していません。そのため、セッションIDを引き継ぐためにはURLに含めるか、hiddenを使うことになります。hiddenを使うとすべての遷移をPOSTにする必要があり、画面の設計が大幅に制限されるため、URLに含めてしまうのが一般的です。

そしてどうやら、こういうことが起きたらしい?

こうなると、単にリンクを辿っただけで、他のユーザのセッションIDを含むURLにアクセスすることになります。これであっさりセッションハイジャックが起きるわけですね。ただ、この場合、故意にセッションハイジャックが行われたという話ではないように思います。はてな側の不具合で、たまたま他人のセッションを乗っ取ってしまった人がいたという話のような……。

そうだとすると理解できないのはこれ。

本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。

何度も書いているような気がしますが、不正アクセス禁止法の言う「不正アクセス」は世間一般のイメージとは異なるもので、「管理者の想定していないことをしたら不正アクセス」なんてことにはなりません。基本的には、他人の識別符号(パスワードなど)を使うか、あるいは不正な指令などでアクセス制御を突破することが要件となります。また、過失や未遂を罰する規定はありません。

今回のケースでは、アクセス制御機能はあったと言って良いと思うのですが、他人の識別符号を入れたとか、何らかの指令を送ってそれを回避したとか、そういった事実は無いように思うのですけれど。

※とはいえ、実際には別途不正アクセスが行われているけれども詳細は公表していない、という可能性もありますね。こういうケースでは、警察から情報を公表しないように指導されている事も多いので……。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト