スロイスが勝手にオススメするエントリー

2008.08.10  まだまだ危ないぞ、ナチュラムの個人情報漏洩

久しぶりにメールを受信したら、今話題のナチュラムから個人情報が漏洩したとのメールが。
ナチュラムを使ったのは、シマノのスコーピオン Mg 1000を買った1回こっきりなのですが、見事に流出してしまったようです。

そこでナチュラムにログインをして状況を確認しようと思ったところ、気になる点を見つけたのでいくつか記述します。




1.パスワード変更画面の不可解な点。
2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。



1.パスワード変更画面の不可解な点。
まず1つ目の『パスワード変更画面の不可解な点』なのですが、ナチュラムに最初にログインをすると、以下のようなパスワード変更の画面が出てきます。

パスワード変更画面

このパスワード変更画面なのですが、旧パスワードと新パスワードに同じパスワードを入れても登録できてしまいます。
ログインしたユーザーに、強制的にパスワードの変更をさせようとしているのに、新旧同じパスワードが登録できてしまったら意味が無いのではと思います。
ナチュラムさんのシステムが、このような仕様だというのなら仕方がありませんが。



2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
上記パスワード画面の問題を発見して、ナチュラムのサイトが他にも何かありそうなので探してみたら、どうやらナチュラムで動いているシステムのソースコード(プログラム)が外部に公開されているようです。

外部に公開されているのを発見したのは、私が不正アクセスとか法に触れる方法では無く、ごく普通にgoogleの検索で見つけました。
"site:http://www.naturum.co.jp" と とある単語のAND検索で以下のような画面が7件。

Google検索結果


■さらに気になる点がいくつかあるので、以下の画像を見てください。
Google検索結果2

赤丸の拡張子html
実はこのURLで、拡張子の.htmlが.aspなっている部分のみが違う、サイトがナチュラムには存在します。
どうやら、本来はaspで保存しなければならないファイルをhtmlで保存しているようです。
そのため、本来では見えることの無いソースコードが表示されてしまっています。


青線のCookiesXXXXXXX("User_Name")
パッと見ですがCookieの中にユーザー名を保存しているような感じです。
もしCookieの中ユーザー名を保存している場合は、悪意のあるサイトやプログラムによって、情報を盗まれる可能があります。
(詳細は後ほど)

■今度はソースを見てみます。(Googleのキャッシュ→ソースの表示で)
まず最初に、<SCRIPT LANGUAGE=VBScript RUNAT=Server>と有るので、このソースコードはVBScriptで記述されているようです。
VBScriptは使ったことが無いので、関数名や記述方法から判断、またはネットで調べた情報で解析していきます。

次ぎに、コメントの日付が"080709○○追加"、"080709○○ここまで"でくくられている関数があります。(○○は修正者の氏名と思われます)
この日付が本当なら2008年7月9日に修正したこととなり、ナチュラムの不正アクセスの経緯の『クレジットカード会社より、カード情報流出の可能性があるため、弊社へ調査の依頼があった。』の日付と一致します。

そのコメントでくくられている関数を見るとSQLインジェクション対応の処理となっています。
この修正を見ると今回の情報漏洩は、『メンテナンス用サーバーへの進入』ではなく、やはり『SQLインジェクション』が問題だったのではないでしょうか?

その次に前に記述した、CookieへのユーザーIDの保存の件。
どうやらソースコードを見ると、ユーザーID以外にも、ユーザーの本名をCookieに保存しているようです。



3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。
そこで、本当にCookieに個人情報が保存されているか検証してみます。

■まずは、氏名を『山田太郎』に変更します。
変更

■『山田太郎』に変更しました。
更新

■ナチュラムで一度ログアウト後に、『山田太郎』に変更したアカウントでログインをして見ます。
ログイン

■Temporary Internet Filesフォルダを開き、ナチュラムのCookieを探します。
ナチュラムでは『Cookie:●●●●(Windowsのユーザアカウント)@naturum.co.jp』と『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』の2つの
Cookieを使用しています。
そのうちの『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』をエディターで開きます。
Cookie


■ユーザーネームとIDを探します。
Cookie

User%5FNAME=%8ER%93c%91%BE%98Y&User%5FID=●●●●
赤い部分『%8ER%93c%91%BE%98Y』がURLエンコーディングのかかったユーザーネーム。
青い部分『●●●●』(伏てあります)がユーザーIDです。

■ユーザーネームをデコードします。
こちらのサイトを利用してURLエンコードされたユーザーネームをデコードします。

デコード前
デコード前

デコード後
デコード後

■結果
見事に『%8ER%93c%91%BE%98Y』が『山田太郎』に変換されました。
URLエンコードは文字列を別の文字コードに変換しているだけなので、暗号化されていない本名がCookieに保存されていることになります。
ブラウザによっては、任意のCookie情報を盗み見ることが出来る、セキュリティホールがあるらしいので、暗号化されていないユーザーIDや本名がCookieに保存されるのは非常に危険だと思います。
ASPにもセッション変数(サーバー側でユーザーネームやIDなどの値を保持する方式)が有るようなので、セッション変数などを使用して、より安全なサイトにしてもらいたいです。



まとめ
ナチュラムのサイトを少し見ただけで、いくつか怪しい点が出てきました。
まだ、SSLがデフォルトで設定されていないとか、突っ込みどころはたくさん有ります。色々探せばまだまだ出てきそうです。

情報漏洩が起こってしまったことは仕方がありませんが(仕方ないことも無いですが・・・)、この機会を切欠に、被害を受けたユーザーに誠意を持って対応し、今後もより良いシステム運営を行っていってもらいたいものです。

勢いで書き上げたので誤字脱字、私の認識違い、技術的な間違い等があれば指摘していただきたいと思います。



◆追記◆
2008/08/20
ナチュラムの個人情報をCookieに保存している件が直ったようですのエントリーを追加。

2008/08/15
・Cookieへの本名と、ユーザーIDの保存は直った気配。あとで確認してみます。
・日経コンピューター2008年8月15日号に今回の情報漏洩の詳細が書かれています。
 SQLインジェクションで商品メンテナンス用の管理者IDが漏れて、そのIDからFTPサーバにアクセス。FTPサーバにバックドアプログラムを仕込んだとかなんとか。

2008/08/13
ナチュラム個人情報漏洩とシステムのセキュリティについて色々とのエントリーを追加。

2008/08/13
ルアーでポン!さんに紹介していただきました。
・画像を一枚追加しました。

2008/08/12
華麗なるファミリーキャンプさんに紹介していただきました。

2008/08/11
ナチュラム個人情報漏洩問題なる、まとめサイトさんに紹介していただきました。

2008/08/11 23:12
・ナチュラムさんから返信メールが届きました。
内容は別エントリーにしました。

2008/08/10 23:55
・ホームページに関するお問い合わせから、3つの件について確認のメールをナチュラムに送ってみました。

2008/08/10 23:41
・ナチュラムのシステムとセキュリティ担当者に確認メールを送ろうと思って、送信フォームかメールアドレスを探して居るのですが見つからず、ナチュラムのサイト内で迷ってます・・・。

2008/08/10 22:48
こっちのブログにも同内容を記載。

2008.08.10 | ナチュラム個人情報漏洩問題 | Comments(2) | Trackback(0)

コメント

危機管理が甘い通販サイトであることが、よ~くわかりました。幸い、私の場合はカード登録していないから大きな被害にはならないかもしれませんが今後ナチュラムは登録ユーザーにどういった対応をとるんでしょうね。

2008-08-11 月 21:43:36 | URL | 会長 #- [ 編集]

これだけ個人情報を流出してしまい、今だセキュリティが甘いところがあると、危機管理がなってないと思われても仕方がないですね。

色々な掲示板やブログを見て回ると、運営側の対応があまりよろしくないようなことが書かれています。
今後の対応には注目していきたいです。

2008-08-11 月 23:24:44 | URL | スロイス #- [ 編集]

コメントの投稿


秘密にする

«前のページ  | HOME |  »次のページ

 


FC2Ad

まとめ

SUROISUのTwitter

プロフィール

スロイス

Author:スロイス
さいたま周辺の荒川・入間川・びん沼・新河岸川放水路とかに自転車でブラックバスを釣りに出没中。
たまに登山とか、冬はスノボーとか。

より詳細なプロフィールはこちらから。
スロイスのプロフィール

月別アーカイブ

カウンター

ブログ内検索