OCNで他人のメールパスワードが変更できた話
2012年2月11日(土曜日)
OCNで他人のメールパスワードが変更できた話
公開: 2012年2月24日23時20分頃
こんな話が……「「OCNマイページ」のシステム不具合に伴いOCNメールパスワードが別のお客さまによって変更された事象について (www.ntt.com)」。
パスワードが、別のユーザーによって変更されたという、なかなかインパクトのある話ですね。
1.発生事象(別紙)
「OCNマイページ」上で、お客さま(Aさま)がOCNメールパスワードを再設定する際、ご自身のOCNメールアドレスとは異なる別のお客さま(Bさま)のOCNメールアドレスを誤って入力してしまったケースにおいて、BさまのOCNメールパスワードが変更されてしまう事象が発生しました。これにより、Bさまがメールを利用できなくなるとともに、AさまにBさまのメールを閲覧されてしまう可能性がありました。
(~中略~)
3.OCNメールパスワードが別のお客さまに変更された件数
236件
原因は以下のように書かれていますね。
4.原因
「OCNマイページ」のシステムの不具合により、メールパスワード再設定申請時のメールアドレスと申請確認時のメールアドレスとの整合性チェックが実施されていなかったため。
これだけだと良く分からないのですが、実はよく見ると「1.発生事象(別紙)」という見出しの「別紙」の部分がリンクになっています。リンク先はPDFですが、画面キャプチャ付きの詳しい説明があって分かりやすいです。
パスワード再設定のフローはこんな感じのようです。
- 1. パスワードを再設定したいメールアドレスと、再設定用の仮パスワードを入力
- 2. メールが届くので、URLをクリック
- 3. ログインフォームが表示され、メールアドレスとパスワードの入力欄がある。メールアドレスと最初に設定した仮パスワードを入力
- 4. パスワードの入力欄があるので、新たなパスワードを入力して設定
この3.のプロセスで改めてメールアドレスを入力するのですが、ここで他人のメールアドレスを入力してもログインできてしまい、そのまま他人のメールアドレスを変更できてしまったようで。メールアドレスのドメインの部分はocn.ne.jpで固定なので、ユーザー名部分をタイプミスした場合、たまたまそのメールアドレスが存在する可能性はそれなりに高いでしょう。そして実際、そういうケースがけっこうあって、パスワードが変更されてしまったということのようです。
通常、ログイン時にはIDとパスワードの両方をチェックするわけですが、この3.のプロセスではIDに相当するメールアドレスをチェックせず、パスワードだけを見て通してしまっていたように見えます。
しかし、この仮パスワードはユーザーが任意に設定するもので、もとより他のユーザーとかぶる可能性があるものです。それではユーザーを識別できないので、そういう設計はしないでしょう。想像ですが、おそらくURLにIDのようなものが含まれていて、そのIDでユーザーを識別していたのだと思います。仮にそうだとすると、そもそも3.でメールアドレスを入力させる必要がありません。あるいは、当初ここではメールアドレスを入れない設計になっていて、後から変更したのでしょうか……?
いずれにしてもひどいバグで、どうして事前に分からなかったのかという疑問はあります。テストはしているのでしょうが、「存在しないメールアドレスを入れる」というテストはしていても、「存在する他人のメールアドレスを入れる」というテストはしていなかったのかも。
- 「OCNで他人のメールパスワードが変更できた話」にコメントを書く
- 前(古い): さよなら! 僕らのソニー
- 次(新しい): !importantの誘惑