水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > OCNで他人のメールパスワードが変更できた話

OCNで他人のメールパスワードが変更できた話

2012年2月11日(土曜日)

OCNで他人のメールパスワードが変更できた話

公開: 2012年2月24日23時20分頃

こんな話が……「「OCNマイページ」のシステム不具合に伴いOCNメールパスワードが別のお客さまによって変更された事象について (www.ntt.com)」。

パスワードが、別のユーザーによって変更されたという、なかなかインパクトのある話ですね。

1.発生事象(別紙)

「OCNマイページ」上で、お客さま(Aさま)がOCNメールパスワードを再設定する際、ご自身のOCNメールアドレスとは異なる別のお客さま(Bさま)のOCNメールアドレスを誤って入力してしまったケースにおいて、BさまのOCNメールパスワードが変更されてしまう事象が発生しました。これにより、Bさまがメールを利用できなくなるとともに、AさまにBさまのメールを閲覧されてしまう可能性がありました。

(~中略~)

3.OCNメールパスワードが別のお客さまに変更された件数

236件

原因は以下のように書かれていますね。

4.原因

「OCNマイページ」のシステムの不具合により、メールパスワード再設定申請時のメールアドレスと申請確認時のメールアドレスとの整合性チェックが実施されていなかったため。

これだけだと良く分からないのですが、実はよく見ると「1.発生事象(別紙)」という見出しの「別紙」の部分がリンクになっています。リンク先はPDFですが、画面キャプチャ付きの詳しい説明があって分かりやすいです。

パスワード再設定のフローはこんな感じのようです。

この3.のプロセスで改めてメールアドレスを入力するのですが、ここで他人のメールアドレスを入力してもログインできてしまい、そのまま他人のメールアドレスを変更できてしまったようで。メールアドレスのドメインの部分はocn.ne.jpで固定なので、ユーザー名部分をタイプミスした場合、たまたまそのメールアドレスが存在する可能性はそれなりに高いでしょう。そして実際、そういうケースがけっこうあって、パスワードが変更されてしまったということのようです。

通常、ログイン時にはIDとパスワードの両方をチェックするわけですが、この3.のプロセスではIDに相当するメールアドレスをチェックせず、パスワードだけを見て通してしまっていたように見えます。

しかし、この仮パスワードはユーザーが任意に設定するもので、もとより他のユーザーとかぶる可能性があるものです。それではユーザーを識別できないので、そういう設計はしないでしょう。想像ですが、おそらくURLにIDのようなものが含まれていて、そのIDでユーザーを識別していたのだと思います。仮にそうだとすると、そもそも3.でメールアドレスを入力させる必要がありません。あるいは、当初ここではメールアドレスを入れない設計になっていて、後から変更したのでしょうか……?

いずれにしてもひどいバグで、どうして事前に分からなかったのかという疑問はあります。テストはしているのでしょうが、「存在しないメールアドレスを入れる」というテストはしていても、「存在する他人のメールアドレスを入れる」というテストはしていなかったのかも。

関連する話題: セキュリティ / OCN

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト