2010年04月02日

メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性

メッセサンオーでPCゲーム通販の顧客情報がネットで流出したそうで、えらい騒ぎになってますね。

20年くらい前に行った時は、確かパソコンソフトと普通の同人ソフトのお店だったと思うのですが、今は18禁ソフトや、同人ソフト、フィギュアの販売など、完全にマニア向けの商売やってるんですねぇ|・ω・)

で、お客さんが何買ったかとかという情報に加えて、個人情報が完全に流出してしまってるので、さぁ大変という事情のようです。



何で流出したのかをショッピングカートを開発した業者のホームページを見てみたところ、信じられないようなことが書かれていました。

設置方法Q&A14−管理画面の呼び出し方法 - WEBインベンター

管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします
多少、CGIをかじったことがある人ならお分かりでしょうが、アドレスバーにパスワードが含まれるのは、GET METHODで FORMデータのやり取りをしているからです。
さらに、セッション管理ではないので、延々とHIDDEN プロパティで全てのページにパスワードを含むURIを投げる仕組みになっているようです。

漏れている、URLをみると、httpsになっていますが、これは、URLの情報がインターネットを経由する時に、プレーンテキストで流れないという意味合いを持つに過ぎません。

どういうことかは、後述します。



さて、そのサイトさんで、今日付けで、CGIの対策を行ったと書かれているので見てきました。

管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによ るものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施しましたので、お知らせいたします。

対処方法:
1.パスワードの管理に気をつける
2.最新の管理プログラクを使う
管理プログラムに下記の対策がなされています。
1.metaタグの挿入(noindex,nofollow,noarchive)
2.USER_AGENTよるSpiderの排除

3.検索エンジンにインデックスされてしまったときの対処
単に、一般仕様に基づく検索エンジンにクロールされないようにする対処しかされていません。
つまり、Meta tagを無視してクロールする悪意のある検索エンジンがあった場合、無意味です。

さて、https(SSL)を用いているけど意味がないというのはどういうことかと言うと、
ブラウザのURLにパスワードが含まれた時点で以下の様なリスクがあるからです。
・Googleサジェストの様に、アドレスバーの中身をデータベースに登録して候補と参照するサービスによるもの。
・フィッシングサイト検出機能の様に、アドレスバーの中身をデータベースと比較するサービスによるもの。
・JWORDの様に、アドレスバーの中身を丸ごと収集するサイトによるもの。
・はてなツールバーやGoogleRankingの様にアドレス情報自体を扱う機能によるもの。
・リファラーが何らかのはずみで、URL情報を送信(例えば、埋め込み検索エンジン)
・Google Bookmarkの様なサービスに情報が登録されてしまった場合。(例えば、FirefoxはCtrl+D+Enterを連続で押すとお気に入り登録されてしまうことに気づかない)

数千人の個人情報が流出したとありますが、検索結果のほとんどのURLが流出しているところをみると、多分ツールやGoogle Chrome のサジェストみたいなものが情報収集したんじゃないかなと推測します

そんな訳で、常識的に考えれば、URLにパスワードが出てくるのをフレームで隠蔽するだけの処理を勧めるなどあり得ないわけなのですが|・ω・)

これは、メッセサンオーが訴えてもいいレベルだと思うんですがいかがなもんでしょう。

ちなみに、ここに Webインベンターさんの携帯版サイトあるわけですが、サンプルのショッピングカートのURLが見事にグーグルにキャッシュされてることからも危険性がよく分かりますw

調べてみると、他にも、管理パスワードが漏えいしているサイトがありますね…。だめだこりゃ。

現時点でGoogleにパスワードごとキャッシュが漏えいしているサイト(サイト管理者に連絡済み)

mobile-inventorサンプル1
mobile-inventorサンプル2
メッセサンオーPCソフト通販部
某D 衣類関連のモバイルサイト
某M 音楽サイト
某F 模型通販ショップ
某G モータースポーツショップ

Googleに過去に漏えいしていたサイト(サイト管理者に連絡済み)

某R ブランドショップ
某C アクセセショップ

漏えいする可能性が高いサイト

現金問屋 安住商事
MOBILE SHOP ERO POP
かにのプロが厳選する安くて美味しいかにの通販なら『かに伝説』
B-GeneRATEd(ビージェネレイテッド)
ブルーベリーの村ネットショップ
カントリー家具,雑貨 ドリームキャッチ
お香・お線香・癒しの香り《薫香堂》がお届け致します
裏DVD無修正DVD販売K&M
裏DVD・無修正DVD PEPPERMINT
リメイクファクトリー 一の井
花の店KE-SE-LA
★DVD爆裂販売★
きものサロンさかもと
スケボーグッズショップハックルベリー
NoveComi(ノベコミ)ボーイズラブShop

修正済みサイト
某R Shop

関連サイト:
メッセサンオー、PCゲーム通販の顧客情報がネットで流出 -INTERNET Watch
痛いニュース(ノ∀`):人気ゲーム店「メッセサンオー」、ネット通販のエロゲ購入者などの情報流出…ネットで祭り状態に
「メッセサンオー」通販客1405人の住所、氏名などがネットで閲覧できる状態に - ITmedia News
人気ゲームショップが個人情報を大流出! 住所・氏名・性別・電話も漏洩 - livedoor ニュース
ゲームショップ個人情報大流出でコメント「流出に至った経緯を調査している」 – ロケットニュース24(β)

関連記事:
【続報】メッセサンオー顧客情報流出のWEBインベンダーの対応について(4/7 8:30公開予定)



blackwingcat at 18:30│Comments(5)TrackBack(0) | |
このエントリーをはてなブックマークに追加
Security | 時事NEWS

Twitter Feedback

トラックバックURL

この記事へのコメント

1. Posted by これはひどい   2010年04月02日 20:19
高木浩光先生にも吊るされるべき
2. Posted by CZ500C   2010年04月02日 21:48
あ、やっぱり。
いつかこんな事になるだろうとは思っていたので店頭購入しかしないのよね。
>サンオー
3. Posted by くまっち   2010年04月03日 01:08
おもしろすw。
というか酷過ぎるw。
僕でももう少しましな物を作ると思うw。
4. Posted by パンク   2010年04月03日 01:21
ワロタ

もうm9(^Д^)プギャーしかないなあ

5. Posted by     2010年04月03日 02:32
昨日は、思わずGoogleのキャッシュを覗いて近所の人を見つけてニヤニヤしてました。
昔は山櫻電機とかいうお店で、電機屋さんでしたよね。気が付いたらソフト屋になっていました。このお店でメガドラのソフトを買った覚えがあります。80386超速えー扱いだったころです。
事件のことは知ってましたが、昨日もSTGを注文しました。18禁は買わないし、多少漏れても気にしないです。
プギャーだのなんだのと後付けでいろいろ言ってる人たちはレベルが低いですね。

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation