CMSのタイマー機能の制限に注意
2013年2月12日(火曜日)
CMSのタイマー機能の制限に注意
公開: 2013年9月16日11時20分頃
「国家検定ファイナンシャル・プランニング技能検定試験」の試験問題が事前に「公開」されてしまっていたそうで。
- FP国家検定の試験問題が漏洩、実施前の問題をWebサイトに“公開” (itpro.nikkeibp.co.jp)
- FP検定は「有効」、Webサーバーへの“不慣れ”が試験問題漏洩招く (itpro.nikkeibp.co.jp)
状況としてはこんな感じだったようですね。
研究会の説明によれば、本来なら試験実施後に公開するはずの試験問題のPDFファイルを、前もってWebサーバーにアップロードしていた。アクセス制限はかけておらず、URL(アドレス)さえ分かればインターネットを通じて誰でも閲覧できる状態になっていた。
しかも、PDFファイルのURLは「過去問」を掲載しているURLの試験日の部分を「20130127」と置き換えただけで、研究会のWebサイト利用者にとっては類推が容易だった(画面2)。URLを置き換えて試験問題を閲覧する方法は、ネット掲示板などを通じて一部受検者に知られていたようだ。
ありがちといえばありがちな話ではあるのですが、興味深いのはその原因です。
具体的には、研究会のWebサイト担当者は、事前にサーバーに試験問題のPDFファイルを格納していた。コンテンツ・マネジメント・システム(CMS)のタイマー機能で試験問題の「目次」の公開日時を試験実施後に設定したものの、URL(アドレス)を直接指定すれば閲覧できるという認識は無かったという。
CMSのタイマー機能を使って、試験終了後に公開されるように設定したつもりだったわけですね。
ところが、そのCMSはおそらくHTMLの時限公開だけが可能で、PDFなどのファイルの時限公開はできないタイプだったのでしょう。PDFにリンクするHTMLは試験後まで公開されなかったものの、PDFは先にサーバーに公開状態で置かれてしまい、それが閲覧されてしまったというわけです。
CMSにもいろいろありますが、時限公開機能があるとうたっていても、有効なのはHTMLだけで、PDFなどのリソースはタイマー制御できないものがあります。CMSを使っている方は、HTML以外のリソースを時限公開できるものかどうか、一度確認されると良いと思います。
※ちなみに弊社のインダストリスタンダード (www.industry-std.com)は添付ファイルも制御できるタイプで、リンク元のHTMLが公開されるまではリンク先のPDFも公開されないようになっています。
- 「CMSのタイマー機能の制限に注意」にコメントを書く
- 前(古い): 昔からあったかもしれないステマ
- 次(新しい): 個人を特定できないつもりでも……
