【お知らせ】
本記事は、本記事記載の方法により被害が発生する可能性が低くなったことを確認して投稿しています。
本記事は、起こった事象を記述・分析し、同様の事象が起こらないことを祈念して公開するものであり、いわゆるサイバー攻撃を助長する意図で公開したものではありません。
また、本記事は2022年6月に起草したのですが、アップのタイミングを見失っていたため2022年12月にアップしています。
デリシャスパーティ♥プリキュアと岩手のお米「銀河のしずく」のコラボキャンペーンが行われていました。
☆現在はサイト閉鎖済。リンクをクリックすると別サイトとなっています。
で、このキャンペーンですが、Webからの応募が可能で、応募には「応募シールの画像」と「レシートの画像」が必要となっていました。
応募すると自動返信で「応募受け付けました」とメールが来るのですが、そのメールにセキュリティ上非常にまずい点があったのです。
セキュリティ上非常にまずい点を発見してしまった…
— 北海道のアンジュルムファン@6/15武道館アンジュ (@Hokkaidosm) June 27, 2022
最悪の場合、このサイトから応募した全員の名前を確認できる
(悪用を避けるため手段はあえて書かない)
銀河のしずく デリシャスパーティ♥プリキュアキャンペーン | JA全農いわて https://t.co/npF9zZUlIY
☆現在はサイト閉鎖済。リンクをクリックすると別サイトとなっています。
なお本件については、6月27日夜に確認後、キャンペーン事務局側にすぐに情報共有を行いました。
翌28日付で、「すでに同様の指摘があり、システム改修中であった」との返答をいただいています。
<何が起こったのか>
自動返信メールには、下記のように「応募シールの画像」と「レシートの画像」のURLが記載されていました。
(例示用にURLを当方で管理しているサーバ・ドメインのものに替えてあります)
[応募シール画像]
https://hokkaidosm.net/ginga/img/000376_1.jpg
[購入レシート画像]
https://hokkaidosm.net/ginga/img/000376_2.png
このURLを見て「あれ?」と思いました。
試しに、応募シール画像のURLの「376」を「375」に替えてみると、別人の情報が「認証なしで」表示されたのです。
(上記URLで、実際と同じ状況を再現しています。アクセスして試してみてください)
<想定される被害>
認証なしで応募画像を確認することができることと、インターネットショッピングの場合は注文明細を添付していることが多く(現に、「インターネット購入時のレシートとしてどの画像を送付すればよいか」質問したところ、「注文明細を送ってください」との返答をいただきました)、そこに個人情報が記載されていることから、応募者の名前や住所などが漏洩する可能性がありました。
(上記URLで状況を再現しています。なお表示される内容は全て説明用のダミーのものです)
<どうすべきだったか>
各画像のURLを、類推されにくいURLにすべきです。
例えば、
[応募シール画像]
https://hokkaidosm.net/ginga/img/s_ewbrtw4yeoi2q3biub23i4v238i7b87324btd734b87r87s23q89q87rv8723bxrtq87282.jpg
[購入レシート画像]
https://hokkaidosm.net/ginga/img/r_5293by99723q6b97887xb679832qr78z62n79r6oq32b662vbq9cb69o6ov9x26rxdq2.png
のように、ランダムな文字列にしておけば、他の画像のURLは類推されにくいと思います。
(ちなみに上記ファイル名ですが、シールについては「seal」の頭文字「s」をプレフィックスとして、レシートについては「receipt」の頭文字「r」をプレフィックスとして付し、識別しやすくしたものです。アンダースコア以降の文字列は、適当にキーボードをたたいて作ったものです)
さらに言ってしまえば、こうして応募フォームに入力された情報を公開Webサーバ内に置いておくことは推奨されません。
<まとめ>
あまりにもガバガバなセキュリティのため、記事を起こしました。
これを「反面教師」として、一時的な応募フォームであってもセキュリティを万全に保ってほしいと思い、記事にしました。
このブログの読者はおそらくこういったフォーム作りにあまりかかわらないかと思うのですが、当方の本職でこういったWeb系システムにかかわっているため、今後作るときには注意したいと思います。
なお、本件については当方の報告の翌日に、キャンペーン事務局より、応募画像をWebサーバから全て削除したとの返答をいただきました。
また、システム改修についても完了したとの返答をいただきました。
以上より、本記事記載の方法により被害が発生する可能性が低くなったと判断し、また、応募期間終了に伴い本件を公表しても問題が発生しにくくなったと判断し、このブログにおいて本件を公表することとしました。
あくまでも本記事は、起こった事象を記述・分析し、同様の事象が起こらないことを祈念して公開するものであり、いわゆるサイバー攻撃を助長する意図で公開したものではありません。
さいごに対象商品の画像を貼っておきます。