Hatena::Grouphatena

はてなブックマーク日記 このページをアンテナに追加 RSSフィード

2009-10-01

「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告

11:23

このたび、一部ユーザー様のブックマークコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスが行われていた事実が判明いたしました。

本件につきまして、ユーザー様に対してご迷惑、ご心配をおかけいたしましたことを、深くお詫び申し上げます。また、改ざんの被害に合われたユーザー様には別途個別にご連絡を行っております。

不正アクセスの詳しい状況につきまして、下記の通りご説明させていただきます。

経緯

この脆弱性は、はてなブックマークの一部ページで docomo 端末向けのセッションキーが意図せず第三者に知られてしまう状態になっていたもので、同じく docomo 端末でこのセッションキーつきのリンクを辿った場合に、本人ではない別のアカウントログインした状態になる不具合が発生しておりました。

また、この状態を利用し、別のユーザーになりすまし、データを改ざんすることが可能であり、アクセスログを調査したところ、今回、はてなブックマークで被害を受けたアカウントは、本不具合によりアカウントを利用された可能性が高いことが判明しました。

尚、本脆弱性に関する技術的な事項につきましては文末に付記させていただきます。

被害状況

現時点で、ブックマークコメント改ざんのご報告は2件いただいており、それ以外の被害のご報告はいただいておりません。

しかしながら、上記のような脆弱性の状況から、以下の条件を満たすユーザー様が被害にあわれた可能性があります。

また、本件で第三者がなりすまして利用することが可能であった操作は下記の通りです。

ただし、弊社にてログを調査いたしました結果、第三者がなりすまして携帯メールアドレスの変更を行った事実はないと判断しております。

はてなでは、引き続き、被害状況に関して調査を進めております。恐れ入りますが、上記の条件に該当し、何らかの被害があったと思われる方は、お問い合わせ窓口よりご連絡をいただければ幸いです。その際には、ご利用環境、詳細な被害の状況や被害が発生した時期をお知らせいただきますようお願い申し上げます。

尚、下記のような被害の可能性はないことが確認されておりますので、ご安心ください。

対策状況

本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。

今回の脆弱性については、すでに修正が完了しておりますので、今後は同じ原因での不正アクセスは発生いたしません。さらに、抜本的な対策として、docomo端末の認証のセキュアレベル自体を向上し、万が一、何らかの手段で認証キーが漏れた場合にも、不正アクセスに利用されない仕様を実装いたします。こちらは近日中に対応が完了する予定です。

さらに、今後、社内の開発体制をあらためて見直し、コードレビュー、チェックの徹底といったセキュリティ対策を強化いたします。

本件につきましてご不明の点などがおありの際には、お問い合わせ窓口よりご連絡いただきますよう、お願い申し上げます。

脆弱性に関する技術的な事項について

脆弱性に関する経緯のうち、技術的な事項について下記の通りご報告いたします。

はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URLクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。

このため、docomo 端末でログインした状態で /entrymobile を閲覧した際、キャッシュの有効期限が切れていると、mgw.hatena.ne.jp へのリンクにそのユーザーのセッションキーを含んだ状態でコンテンツがキャッシュされ、その状態で、他のユーザーが同じく docomo 端末でそのページを閲覧し mgw.hatena.ne.jp へのリンクを辿った場合には、キャッシュされたセッションキーを付与された状態で遷移することになり、結果としてキャッシュされた別のユーザーアカウントログインした状態になっていたものです。

さらに、以降はセッションキーを引き継いで画面遷移が行われるため、別のユーザーでログインしたまま各サービスを利用することが可能であり、悪意有るユーザーが別のアカウントなりすまし、該当ユーザーの各サービスのデータを改ざんできる状態となっておりました。

ただし、なりすまされたアカウント個人情報パスワードクレジットカードなどは別途認証で保護されているため、閲覧は不可能です。

脆弱性は以下の二点が原因で発生したものです

現在、前者については改修を終えており同様の不具合による問題は発生しません。後者に関しては、セッションキーのセキュリティレベル向上のための開発を始めており、近日中にシステムの更新を行う予定です。


2009年10月2日 追記

今回の不具合により、一部のユーザー様は意図せず他ユーザー様のアカウントとしてアクセスすることができる状態となっており、それ自体が犯罪にあたるのではないかとのお問い合わせをいただきました。ご心配をおかけいたしており、申し訳ございません。

はてなとしては、今回、脆弱性による不具合を利用し他人のアカウントなりすまして不適切な投稿を行った行為が犯罪行為に相当すると考えており、現在、警察に相談の上、対応を進めております。意図せず他人のアカウントアクセスしてしまったとしても悪用をしていない場合は、これに含まれませんので、ご安心ください。

また、今後の進捗につきましても随時告知をさせていただきます。

YAKYAK2009/10/01 11:51「docomo」の表記に揺らぎ(DoCoMo)があるので、docomoに統一したほうが良いかもです。

hatenahatena2009/10/01 12:04ご指摘ありがとうございます。訂正いたしました。

tamamo-chtamamo-ch2009/10/01 20:14対策行われるまで脆弱性に関する現象など詳細情報の開示は控えたほうがよろしいのではないでしょうか。

daichan330daichan3302009/10/01 20:27> tamamo-chさん
「今回の脆弱性については、すでに修正が完了しておりますので、今後は同じ原因での不正アクセスは発生いたしません。」とあるので不具合に関する対策は行われているものと思われます。

gokichangokichan2009/10/02 12:07「不正アクセス禁止法違反等に該当しますため」とありますが、これは本当に不正アクセス禁止法に該当するのでしょうか?
単に、リンクを踏んでしまっただけでおきてしまう現象で、こんなもので犯罪者扱いされるようでは、もう2度とhatena.ne.jpドメインのリンクはクリックできないです。

naoyanaoya2009/10/02 12:20はてなスタッフです。ご迷惑をおかけしております。

本日別途正式に告知をさせていただこうと思っておりますが、取り急ぎ回答させていただきます。

本不具合が原因で意図せず他のユーザーのセッションを引き継いでしまっただけでは、もちろん不正アクセス禁止法には該当いたしません。今回は、本不具合を利用して悪意あるデータの改竄が行われております。不正アクセス禁止法に該当するのは、このデータ改竄を含めた行為のみであると考えております。

説明が不十分で誤解を招く表現になっておりますことをお詫び申し上げます。より詳細な説明については、申し訳ございませんが本日の告知までお待ちください。よろしくお願いいたします。