スロイスが勝手にオススメするエントリー

2008.08.20  ナチュラムの個人情報をCookieに保存している件が直ったようです

またまた、ナチュラムの個人情報漏洩問題についてです。
何度もブログのエントリーにしていて、いい加減アレなのですが、自分から色々とふってしまったのでもうしばらくお付き合いください。
それにしてもこういう生の事例を追っかけていくと、非常に勉強になります(笑


さて、この記事『まだまだ危ないぞ、ナチュラムの個人情報漏洩』で指摘した、個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している件がとりあえず直っていたようなので報告。

ナチュラムのお知らせページの『お名前の表示変更につきまして』にあるように、8月14日に今まで登録した本名が表示されていたログイン情報がログインIDに変更になりました。
それと同時に、個人情報をCookieに保存している件も直されたようです。
(暫定対応なのか、仮対応なのかは分かりませんが)


それでは確認してみます。
■まずはログイン
ログイン情報
ログインをしたら、今まで登録した本名が表示されていましたが、今度からはログインIDの表示になっています。

■Cookieの内容
今度はCookieの内容を確認します。
Temporary Internet Filesフォルダを開き、ナチュラムのCookie『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』をエディターで開きます。
そして、ユーザーネームとユーザーIDの部分を探します。
Cookie

今までは%から始まるURLエンコードされた本名と平文(暗号化されていない)のユーザーIDでしたが、今度は20文字以上の英数字になっています。
画像の赤線と青線のwaqwで始まってる部分。
多分セッションID(もしくはキーになる値のハッシュ値)をUSER_NAMEとUSER_IDに入れているようです。

確認した結果、Cookieに個人情報を書き込むようになっていた仕様は改修されたようです。



■それと、雑誌の日経コンピュータ8月15日号に今回の情報漏洩の詳細が書かれていたので物凄いおおまかに引用。

内部スタッフが商品一覧を作成するプログラムがSQLインジェクションで攻撃され、データベースからFTPサーバへのログイン情報が盗まれる。
その、盗んだログイン情報でFTPサーバーにアクセスしバックドアのプログラムを設置。


だそうです。


■日経BPのサイトITProにも雑誌とは多少内容が違いますが【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えいという記事がありました。

>カード与信など向けにカード番号全ケタと有効期限を記録する別のデータベースがあった

漏洩した顧客マスタのカード番号下4桁は保持しておりませんとかナチュラムのサイトには有りましたが、もしかしたらカード番号全桁が漏れた可能性もありそうですね・・・。

2008.08.20 | ナチュラム個人情報漏洩問題 | Comments(0) | Trackback(0)

2008.08.13  ナチュラム個人情報漏洩とシステムのセキュリティについて色々と

■ナチュラムの個人情報漏洩について、『まだまだ危ないぞ、ナチュラムの個人情報漏洩』等で色々と書いてみていたのですが、どうやらスロイスさんの個人情報は流出していなかったもよう。

閲覧された痕跡のあるデータについて』これによると
>2000年5月~2008年7月10日の間にお買い物、もしくは会員登録など、本サイトのサービスを利用されたお客様の個人情報が~・・・
とあります。

で、スロイスさんのナチュラムに会員登録したのが2008年7月11日 0時19分とか。
ものすごい紙一重で、流出ならずでした。
まぁ、ナチュラム大本営発表なので、あまり信じていませんが(笑



■そして今日もまた仕事中に巡回先のサイトを見ていたら興味深いエントリーが。
ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚』 Web屋のネタ帳さん。

普通はMD5とかかけてそのハッシュ値を登録したり、暗号化して登録をするのですが・・・。
(ちなみにsuroisuをMD5にかけると649d630624cbaf815516fb602aa4c769というハッシュ値になります。)
ハッシュ化も暗号化もしていない状態でパスワードが漏洩したら、どうしようもないですね。



■ナチュラムと同じシステムなのかは分かりませんが、ナチュラムの関連会社が出してるGenesis-ECというシステムのサイトが興味深いことが書いてあったので紹介。
Genesis-EC開発ストーリー
Genesis-EC関連のページ

あと、ナチュラムのナチュラムプライバシーポリシーも、今回の情報漏えい問題に係わりそうなことが書いてあるので、一通り見ておくと良いかもしれません。
ナチュラムプライバシーポリシー


次回からは釣りブログに戻ります。(多分)

2008.08.13 | ナチュラム個人情報漏洩問題 | Comments(0) | Trackback(0)

2008.08.11  ナチュラムさんからシステムに関するメールの返信が届きました

昨日のエントリー『まだまだ危ないぞ、ナチュラムの個人情報漏洩』に普段の倍以上のアクセスがありビックリしました。
どうやら某掲示板にここのURLが書かれていたようで(笑
結果としては、そのおかげで多くの人に見てもらうことが出来ました。

それと、『ナチュラム個人情報漏洩問題』なる、まとめサイトにも紹介していただきました。

2008/08/12 追記
華麗なるファミリーキャンプさんにも紹介していただきました。



さて、タイトルの件です。
昨日、私が発見した以下の問題
1.パスワード変更画面の不可解な点。
2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。
についてナチュラムさんにメールを送ったところ、返信が来ましたので紹介します。


まず、私がナチュラムさんに送信したメール本文です。
(※個人情報、セキュリティにかかわる部分は消してあります。)


ナチュラム システム担当者様
ナチュラム セキュリティ担当者様

いつもお世話になっております。ナチュラムを利用しているスロイス(実際には本名を記述)と申します。

システムとセキュリティに関しての報告と確認をしたいと思いメールをいたしました。

まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、Googleの検索にも表示されてしまっています。(aspファイルの拡張子をhtmlにしてしまっている為?)
http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLのクエリー部分はセキュリティー的に略)
上記URLで表示される以外のサイトも公開されているソースコードがあるかも知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。


次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名とユーザーIDが暗号化せずに記録されています。情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、サーバーサイド側で対応したほうがよろしいのではないでしょうか?


最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、旧パスワードと新パスワードが同じ物でも登録できてしまいます。パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が無いのではないでしょうか?

上記3点ですが、対応と確認をしていただければと思います。


メールの内容が言葉足らずで、分かりにくいかも知れません。
私がスロイスのハンドルネームで運営しているブログにも、図入りで詳細を記述したエントリーをアップしました。一度目を通していただけたらと思います。
http://suroisu.blog109.fc2.com/blog-entry-133.html

以上、いきなりのメールですが、ご確認いただけたらと思います。
今後もより良いナチュラムを運営されていくことを願っております。

よろしくお願いいたします。

スロイス(実際には本名を記述)


それに対してのナチュラムさんの返信の抜粋。
(※個人情報、セキュリティにかかわる部分は消してあります。)

> まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、
> Googleの検索にも表示されてしまっています。
> aspファイルの拡張子をhtmlにしてしまっている為?)
> http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLのクエリー部分はセキュリティー的に略)
> 上記URLで表示される以外のサイトも公開されているソースコードがあるかも
> 知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。

こちらにつきましては該当のものを削除いたしました。
他の部分にもないか現在確認中です。




> 次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名と
> ユーザーIDが暗号化せずに記録されています。
> 情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、
> サーバーサイド側で対応したほうがよろしいのではないでしょうか?

こちらにつきましては、現在影響範囲を確認中でございますが、
必ず現状のものとは変更を加えることをお約束いたします。




> 最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、
> 旧パスワードと新パスワード が同じ物でも登録できてしまいます。
> パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が
> 無いのではないでしょうか?

こちらにつきましてもご指摘ありがとうございます。
対応を完了いたしました。


今回の問題に関するところだけ抜粋しました。
なお、ここには載せませんでしたが、メール本文は非常に親切丁寧な文章で書かれていました。
運営側の対応があまり良くないような噂は掲示板やブログなどで色々と見ましたが、このメールを書いた方、および素早い対応を取られたシステムとセキュリティ担当の方々には非常に好印象を抱きました。
これからが大変でしょうが、頑張っていただきたいと思います。

ナチュラムさんのメールの最後に以下のような一文がありました。
こうした皆様の意見は一つ一つが大変貴重なものです。
全社員一同、誠心誠意対応にあたって今後の信頼回復に努めて参ります。

ナチュラムさんと利用者でより良いサイトを目指して行くことができればと思います。




そして、早速なのですが対応していただいた『1.パスワード変更画面の不可解な点。』を試してみました。

■パスワード変更画面で、新パスワードに旧パスワードと同じものを入力して『パスワードを変更する」ボタンを押下してみます。
パスワード変更

■エラー画面が表示されました。
パスワード変更

ナチュラムさん、早速対応していただきありがとうございます。



それにしても眠かったとはいえ、私がナチュラムさんに送信したメールの日本語が酷い・・・(笑

2008.08.11 | ナチュラム個人情報漏洩問題 | Comments(2) | Trackback(0)

2008.08.10  まだまだ危ないぞ、ナチュラムの個人情報漏洩

久しぶりにメールを受信したら、今話題のナチュラムから個人情報が漏洩したとのメールが。
ナチュラムを使ったのは、シマノのスコーピオン Mg 1000を買った1回こっきりなのですが、見事に流出してしまったようです。

そこでナチュラムにログインをして状況を確認しようと思ったところ、気になる点を見つけたのでいくつか記述します。




1.パスワード変更画面の不可解な点。
2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。



1.パスワード変更画面の不可解な点。
まず1つ目の『パスワード変更画面の不可解な点』なのですが、ナチュラムに最初にログインをすると、以下のようなパスワード変更の画面が出てきます。

パスワード変更画面

このパスワード変更画面なのですが、旧パスワードと新パスワードに同じパスワードを入れても登録できてしまいます。
ログインしたユーザーに、強制的にパスワードの変更をさせようとしているのに、新旧同じパスワードが登録できてしまったら意味が無いのではと思います。
ナチュラムさんのシステムが、このような仕様だというのなら仕方がありませんが。



2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
上記パスワード画面の問題を発見して、ナチュラムのサイトが他にも何かありそうなので探してみたら、どうやらナチュラムで動いているシステムのソースコード(プログラム)が外部に公開されているようです。

外部に公開されているのを発見したのは、私が不正アクセスとか法に触れる方法では無く、ごく普通にgoogleの検索で見つけました。
"site:http://www.naturum.co.jp" と とある単語のAND検索で以下のような画面が7件。

Google検索結果


■さらに気になる点がいくつかあるので、以下の画像を見てください。
Google検索結果2

赤丸の拡張子html
実はこのURLで、拡張子の.htmlが.aspなっている部分のみが違う、サイトがナチュラムには存在します。
どうやら、本来はaspで保存しなければならないファイルをhtmlで保存しているようです。
そのため、本来では見えることの無いソースコードが表示されてしまっています。


青線のCookiesXXXXXXX("User_Name")
パッと見ですがCookieの中にユーザー名を保存しているような感じです。
もしCookieの中ユーザー名を保存している場合は、悪意のあるサイトやプログラムによって、情報を盗まれる可能があります。
(詳細は後ほど)

■今度はソースを見てみます。(Googleのキャッシュ→ソースの表示で)
まず最初に、<SCRIPT LANGUAGE=VBScript RUNAT=Server>と有るので、このソースコードはVBScriptで記述されているようです。
VBScriptは使ったことが無いので、関数名や記述方法から判断、またはネットで調べた情報で解析していきます。

次ぎに、コメントの日付が"080709○○追加"、"080709○○ここまで"でくくられている関数があります。(○○は修正者の氏名と思われます)
この日付が本当なら2008年7月9日に修正したこととなり、ナチュラムの不正アクセスの経緯の『クレジットカード会社より、カード情報流出の可能性があるため、弊社へ調査の依頼があった。』の日付と一致します。

そのコメントでくくられている関数を見るとSQLインジェクション対応の処理となっています。
この修正を見ると今回の情報漏洩は、『メンテナンス用サーバーへの進入』ではなく、やはり『SQLインジェクション』が問題だったのではないでしょうか?

その次に前に記述した、CookieへのユーザーIDの保存の件。
どうやらソースコードを見ると、ユーザーID以外にも、ユーザーの本名をCookieに保存しているようです。



3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。
そこで、本当にCookieに個人情報が保存されているか検証してみます。

■まずは、氏名を『山田太郎』に変更します。
変更

■『山田太郎』に変更しました。
更新

■ナチュラムで一度ログアウト後に、『山田太郎』に変更したアカウントでログインをして見ます。
ログイン

■Temporary Internet Filesフォルダを開き、ナチュラムのCookieを探します。
ナチュラムでは『Cookie:●●●●(Windowsのユーザアカウント)@naturum.co.jp』と『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』の2つの
Cookieを使用しています。
そのうちの『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』をエディターで開きます。
Cookie


■ユーザーネームとIDを探します。
Cookie

User%5FNAME=%8ER%93c%91%BE%98Y&User%5FID=●●●●
赤い部分『%8ER%93c%91%BE%98Y』がURLエンコーディングのかかったユーザーネーム。
青い部分『●●●●』(伏てあります)がユーザーIDです。

■ユーザーネームをデコードします。
こちらのサイトを利用してURLエンコードされたユーザーネームをデコードします。

デコード前
デコード前

デコード後
デコード後

■結果
見事に『%8ER%93c%91%BE%98Y』が『山田太郎』に変換されました。
URLエンコードは文字列を別の文字コードに変換しているだけなので、暗号化されていない本名がCookieに保存されていることになります。
ブラウザによっては、任意のCookie情報を盗み見ることが出来る、セキュリティホールがあるらしいので、暗号化されていないユーザーIDや本名がCookieに保存されるのは非常に危険だと思います。
ASPにもセッション変数(サーバー側でユーザーネームやIDなどの値を保持する方式)が有るようなので、セッション変数などを使用して、より安全なサイトにしてもらいたいです。



まとめ
ナチュラムのサイトを少し見ただけで、いくつか怪しい点が出てきました。
まだ、SSLがデフォルトで設定されていないとか、突っ込みどころはたくさん有ります。色々探せばまだまだ出てきそうです。

情報漏洩が起こってしまったことは仕方がありませんが(仕方ないことも無いですが・・・)、この機会を切欠に、被害を受けたユーザーに誠意を持って対応し、今後もより良いシステム運営を行っていってもらいたいものです。

勢いで書き上げたので誤字脱字、私の認識違い、技術的な間違い等があれば指摘していただきたいと思います。



◆追記◆
2008/08/20
ナチュラムの個人情報をCookieに保存している件が直ったようですのエントリーを追加。

2008/08/15
・Cookieへの本名と、ユーザーIDの保存は直った気配。あとで確認してみます。
・日経コンピューター2008年8月15日号に今回の情報漏洩の詳細が書かれています。
 SQLインジェクションで商品メンテナンス用の管理者IDが漏れて、そのIDからFTPサーバにアクセス。FTPサーバにバックドアプログラムを仕込んだとかなんとか。

2008/08/13
ナチュラム個人情報漏洩とシステムのセキュリティについて色々とのエントリーを追加。

2008/08/13
ルアーでポン!さんに紹介していただきました。
・画像を一枚追加しました。

2008/08/12
華麗なるファミリーキャンプさんに紹介していただきました。

2008/08/11
ナチュラム個人情報漏洩問題なる、まとめサイトさんに紹介していただきました。

2008/08/11 23:12
・ナチュラムさんから返信メールが届きました。
内容は別エントリーにしました。

2008/08/10 23:55
・ホームページに関するお問い合わせから、3つの件について確認のメールをナチュラムに送ってみました。

2008/08/10 23:41
・ナチュラムのシステムとセキュリティ担当者に確認メールを送ろうと思って、送信フォームかメールアドレスを探して居るのですが見つからず、ナチュラムのサイト内で迷ってます・・・。

2008/08/10 22:48
こっちのブログにも同内容を記載。

2008.08.10 | ナチュラム個人情報漏洩問題 | Comments(2) | Trackback(0)

«前のページ  | HOME |  »次のページ

 


FC2Ad

まとめ

SUROISUのTwitter

プロフィール

Author:スロイス
さいたま周辺の荒川・入間川・びん沼・新河岸川放水路とかに自転車でブラックバスを釣りに出没中。
たまに登山とか、冬はスノボーとか。

より詳細なプロフィールはこちらから。
スロイスのプロフィール

月別アーカイブ

カウンター

ブログ内検索