今年1月に何故か立て続けに2件の脆弱性関連情報をみつけていて,IPAに報告をしていました.
今回の記事はその2件目にあたるお惣菜の宅配サービスにおけるセキュリティの問題を発見した話を書いていこうと思います.
ここではあくまで報告に至る経緯の掲載を目的としているため,具体的なサイト名や業者名については明記していません.
発見の経緯
以前にオンラインで定期購入可能なお惣菜の宅配サービスを利用していたことがあり,当時そのサイトは大手のECサービスを利用していました.
しかし,年明けにホームページリニューアルのお知らせという内容で以下のようなメールが届きました.
サイト名が含まれるセール情報部分についてはマスク処理しています.
こちらのメールを1月10日に確認後,即座に自身のアカウントの退会処理を行いましたが,翌日のリニューアル後に自身のメールアドレスと記載の[1111]というパスワードでログインができることを確認し,IPA報告という流れになります.
問題点
このリニューアルにおいて何が問題だったかを私がわかる範囲で記載していきます.
- 認証要素における本人しか知り得ない知識情報が全ユーザーで統一の物となり認証要素として機能しなくなってしまった.
- ログイン要素として他にはメールアドレスしか用いていない
- ログイン後アカウントに登録されている配送先情報が閲覧可能であった.
- 前日に退会しているにもかかわらずリニューアル後のシステムでは有効なアカウントとしてログインが行えてしまった.
IPAへの報告
冒頭でIPAへの報告が2回目と書きましたが,このリニューアルは正直いって脆弱性に含めてよいものかわからず,どこに報告すべきか悩んでいたところTwitterでIPAには「脆弱性に限らず個人情報が適切なアクセスの制御下にない場合も報告できる」とのことを教えてもらいました.
また、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます。
https://www.ipa.go.jp/security/vuln/report/index.html
こちらを確認してIPAへの報告を行いました.
思ったより入力項目もすくなく,また冒頭のスクリーンショットにあるように本名でなくとも受理されたので,気になったことがあれば常識的な範囲で報告をすると良いのではないでしょうか.