Twitterのパスワードを入れさせるUNIQLO LUCKY LINE
2010年5月26日(水曜日)
Twitterのパスワードを入れさせるUNIQLO LUCKY LINE
公開: 2010年6月6日15時35分頃
Twitterで「UNIQLO LUCKY LINE」というサービスが話題になったようで。関連するつぶやきが以下にまとめられています。
- UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について (togetter.com)
※ちなみにタイトルはパスワードが漏れているという意味ではなく、パスワードが本当に本物サイトに送られるのか、送られた後どう扱われているか、といったことを確認するすべがないという意味です (たぶん)。
UNIQLO LUCKY LINEは、Twitterユーザーが店の前に並んで「行列」をつくることができるというサービスで、並ぶと何人かに一人の割合でクーポン券やTシャツがもらえます。このサービスは当初、以下のように動作していました。
- ユニクロのトップページ http://www.uniqlo.com/jp/ にアクセスすると、UNIQLO LUCKY LINEというFlashコンテンツがあり、行列の先頭が表示されている
- クリックすると画面が右に広がってスクロールし、行列を眺めることができる
- 右端まで行くと「最後尾」という札があり、クリックすると並ぶことができる
- 並ぼうとすると、Twitterのアカウント名とパスワードの入力を求められる (!)
- IDとパスワードを入力して「ツイートして行列に並ぶ」ボタンをクリックすると、http://uniqlo-happy-line.s2factory.co.jp/system/stand_in_line.php に password=twitterパスワード&(中略)&username=twitterアカウント名のようなデータがPOSTされる
- パスワードが合っていれば、行列に追加されると同時に、そのTwitterアカウントで「UNIQLO LUCKY LINEに行列なう! ####番ゲット! http://www.uniqlo.com/jp/#line #uniqlo?line」というつぶやきが投稿される。
また、Flashで行列を表示する際には http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt にアクセスし、行列の先頭400人、最後尾400人分のTwitterアカウント名、つぶやき文などを取得します。
複数の問題が絡み合ってややこしいのですが、整理すると、ポイントは4つあります。
行列しているユーザのIDのリストが取得できる
http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt にアクセスすると、行列しているユーザのIDのリストを取得することができました。これはFlashで行列を表示するのに必要なデータです。
これは特に問題ではないと思います。あえて言うなら、行列しているユーザーのIDを一気に取得できるので悪用される可能性がある……というところでしょうが、行列しているユーザのIDは普通に表示されているわけで、もとより公開されている情報です。単に、簡単にリストが取れるか取れないかという違いでしかないでしょう。
※なお、パスワードが公開されているという噂が流れたようですが、このリストにはパスワードは含まれていませんでした。「IDのリストが公開されている」という話が、伝言ゲームで「パスワードのリストが公開されている」に変わったのでしょうか?
HTTPSではない画面でパスワードを入力させている
パスワードを入力する画面がHTTPSではないため、私が見ているこのサイトが本当にユニクロのものであるという保証がありません。攻撃者によって改竄された偽サイトを見せられている可能性があります。その場合、パスワードは攻撃者のところに送られるでしょう。
ユニクロと関係ないドメインにパスワードを送信している
一般の利用者には確認するすべがありませんが、入力されたパスワードは uniqlo-happy-line.s2factory.co.jp というサーバに送られています。s2factory.co.jp というドメインはユニクロのものではありません。他サイトにパスワードを送るのはどうなのでしょうか?
ここでユニクロのプライバシーポリシーを確認したいところです。トップページのフッタには「プライバシーポリシー」というリンクがあるのですが、リンク先はhttp://faqnavi12a.csview.jp/faq2/userqa.do?user=frgroup&faq=uniqloec&id=5139&parent=3866 (faqnavi12a.csview.jp)というURLになっています。このドメインcsview.jpがまたしてもユニクロではありません……(調べるとNECの所有になっています)。
なんだかよく分かりませんね。もっとも、前述のようにHTTPSではありませんから、私が見ているコンテンツは改竄されている可能性があります。本来はユニクロのドメインにパスワードを送信するようになっているのに、コンテンツが改竄されて別ドメインに送信するように改造されたSWFを受け取っていた……という可能性も否定することはできません。
他サービスのパスワードを入力させている
これが最大にして根本的な問題です。そもそも、他サービスのパスワードを自サイトで入力させようとしていること自体が問題です。
以前にもnwitterというサービスが現れて批判の的になりましたが (高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる (takagi-hiromitsu.jp))、当時はまだOAuthの仕組みがなかったため、仕方ない面もありました。しかし、今ではOAuthが使えるわけで……。
そもそも、このサービスで本当にTwitterのパスワードを取得する必要があったのかどうかも疑問です。
さて、そんなUNIQLO LUCKY LINEですが、26日のうちにプレスリリースが出ました。
- UNIQLO LUCKY LINEに関するお知らせ (www.uniqlo.com)
- ユニクロの行列キャンペーン「Twitterパスワードは保存していない」と説明 (internet.watch.impress.co.jp)
- 「パスワード漏えいはない」 ユニクロのTwitter連携“行列”サイト、登録者のIDリスト公開される事態に対処 (www.itmedia.co.jp)
行動が早いのは良いと思うのですが、「漏れていません」と宣言して終了というのはどうなのでしょうね。まあ、期間限定のキャンペーンサイトなのですから、いまさらOAuthで作り直すというのもナンセンスですけれど。
- 「Twitterのパスワードを入れさせるUNIQLO LUCKY LINE」へのコメント (4件)
- 前(古い): 岡崎市立中央図書館のDoSで逮捕者
- 次(新しい): 空の下屋根の中 2
