水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Twitterのパスワードを入れさせるUNIQLO LUCKY LINE

Twitterのパスワードを入れさせるUNIQLO LUCKY LINE

2010年5月26日(水曜日)

Twitterのパスワードを入れさせるUNIQLO LUCKY LINE

公開: 2010年6月6日15時35分頃

Twitterで「UNIQLO LUCKY LINE」というサービスが話題になったようで。関連するつぶやきが以下にまとめられています。

※ちなみにタイトルはパスワードが漏れているという意味ではなく、パスワードが本当に本物サイトに送られるのか、送られた後どう扱われているか、といったことを確認するすべがないという意味です (たぶん)。

UNIQLO LUCKY LINEは、Twitterユーザーが店の前に並んで「行列」をつくることができるというサービスで、並ぶと何人かに一人の割合でクーポン券やTシャツがもらえます。このサービスは当初、以下のように動作していました。

また、Flashで行列を表示する際には http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt にアクセスし、行列の先頭400人、最後尾400人分のTwitterアカウント名、つぶやき文などを取得します。

複数の問題が絡み合ってややこしいのですが、整理すると、ポイントは4つあります。

行列しているユーザのIDのリストが取得できる

http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt にアクセスすると、行列しているユーザのIDのリストを取得することができました。これはFlashで行列を表示するのに必要なデータです。

これは特に問題ではないと思います。あえて言うなら、行列しているユーザーのIDを一気に取得できるので悪用される可能性がある……というところでしょうが、行列しているユーザのIDは普通に表示されているわけで、もとより公開されている情報です。単に、簡単にリストが取れるか取れないかという違いでしかないでしょう。

※なお、パスワードが公開されているという噂が流れたようですが、このリストにはパスワードは含まれていませんでした。「IDのリストが公開されている」という話が、伝言ゲームで「パスワードのリストが公開されている」に変わったのでしょうか?

HTTPSではない画面でパスワードを入力させている

パスワードを入力する画面がHTTPSではないため、私が見ているこのサイトが本当にユニクロのものであるという保証がありません。攻撃者によって改竄された偽サイトを見せられている可能性があります。その場合、パスワードは攻撃者のところに送られるでしょう。

ユニクロと関係ないドメインにパスワードを送信している

一般の利用者には確認するすべがありませんが、入力されたパスワードは uniqlo-happy-line.s2factory.co.jp というサーバに送られています。s2factory.co.jp というドメインはユニクロのものではありません。他サイトにパスワードを送るのはどうなのでしょうか?

ここでユニクロのプライバシーポリシーを確認したいところです。トップページのフッタには「プライバシーポリシー」というリンクがあるのですが、リンク先はhttp://faqnavi12a.csview.jp/faq2/userqa.do?user=frgroup&faq=uniqloec&id=5139&parent=3866 (faqnavi12a.csview.jp)というURLになっています。このドメインcsview.jpがまたしてもユニクロではありません……(調べるとNECの所有になっています)。

なんだかよく分かりませんね。もっとも、前述のようにHTTPSではありませんから、私が見ているコンテンツは改竄されている可能性があります。本来はユニクロのドメインにパスワードを送信するようになっているのに、コンテンツが改竄されて別ドメインに送信するように改造されたSWFを受け取っていた……という可能性も否定することはできません。

他サービスのパスワードを入力させている

これが最大にして根本的な問題です。そもそも、他サービスのパスワードを自サイトで入力させようとしていること自体が問題です。

以前にもnwitterというサービスが現れて批判の的になりましたが (高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる (takagi-hiromitsu.jp))、当時はまだOAuthの仕組みがなかったため、仕方ない面もありました。しかし、今ではOAuthが使えるわけで……。

そもそも、このサービスで本当にTwitterのパスワードを取得する必要があったのかどうかも疑問です。

さて、そんなUNIQLO LUCKY LINEですが、26日のうちにプレスリリースが出ました。

行動が早いのは良いと思うのですが、「漏れていません」と宣言して終了というのはどうなのでしょうね。まあ、期間限定のキャンペーンサイトなのですから、いまさらOAuthで作り直すというのもナンセンスですけれど。

関連する話題: Web / セキュリティ / Twitter

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト