水無月ばけらのえび日記

OCNで他人のメールパスワードが変更できた話

公開: 2012年2月24日23時20分頃

こんな話が……「「OCNマイページ」のシステム不具合に伴いOCNメールパスワードが別のお客さまによって変更された事象について (www.ntt.com)」。

パスワードが、別のユーザーによって変更されたという、なかなかインパクトのある話ですね。

原因は以下のように書かれていますね。

これだけだと良く分からないのですが、実はよく見ると「1.発生事象(別紙)」という見出しの「別紙」の部分がリンクになっています。リンク先はPDFですが、画面キャプチャ付きの詳しい説明があって分かりやすいです。

パスワード再設定のフローはこんな感じのようです。

• 1. パスワードを再設定したいメールアドレスと、再設定用の仮パスワードを入力
• 2. メールが届くので、URLをクリック
• 3. ログインフォームが表示され、メールアドレスとパスワードの入力欄がある。メールアドレスと最初に設定した仮パスワードを入力
• 4. パスワードの入力欄があるので、新たなパスワードを入力して設定

この3.のプロセスで改めてメールアドレスを入力するのですが、ここで他人のメールアドレスを入力してもログインできてしまい、そのまま他人のメールアドレスを変更できてしまったようで。メールアドレスのドメインの部分はocn.ne.jpで固定なので、ユーザー名部分をタイプミスした場合、たまたまそのメールアドレスが存在する可能性はそれなりに高いでしょう。そして実際、そういうケースがけっこうあって、パスワードが変更されてしまったということのようです。

通常、ログイン時にはIDとパスワードの両方をチェックするわけですが、この3.のプロセスではIDに相当するメールアドレスをチェックせず、パスワードだけを見て通してしまっていたように見えます。

しかし、この仮パスワードはユーザーが任意に設定するもので、もとより他のユーザーとかぶる可能性があるものです。それではユーザーを識別できないので、そういう設計はしないでしょう。想像ですが、おそらくURLにIDのようなものが含まれていて、そのIDでユーザーを識別していたのだと思います。仮にそうだとすると、そもそも3.でメールアドレスを入力させる必要がありません。あるいは、当初ここではメールアドレスを入れない設計になっていて、後から変更したのでしょうか……?

いずれにしてもひどいバグで、どうして事前に分からなかったのかという疑問はあります。テストはしているのでしょうが、「存在しないメールアドレスを入れる」というテストはしていても、「存在する他人のメールアドレスを入れる」というテストはしていなかったのかも。

• 「OCNで他人のメールパスワードが変更できた話」にコメントを書く

関連する話題: セキュリティ / OCN