枯れた技術の水平思考

世の中わからないことだらけだ.少し確かなことは検証をしたことだけ

IPAにとあるwebサイトのセキュリティの問題点を報告したはなし

bootjp様 独立行政法人情報処理推進機構 セキュリティセンター 脆弱性関連情報 届出受理証明書 貴殿がIPAに届出をされた脆弱性関連情報について、以下に記載いたします。 受付日 : 2019年1月11日 取扱番号 : IPA#21616353 受理日  : 2019年1月15日 届出種別 : ウェブアプリケーション 上記記載の脆弱性関連情報は、「情報セキュリティ早期警戒パートナーシップ」において受 理されたことを証明します。

今年1月に何故か立て続けに2件の脆弱性関連情報をみつけていて,IPAに報告をしていました.

今回の記事はその2件目にあたるお惣菜の宅配サービスにおけるセキュリティの問題を発見した話を書いていこうと思います.

ここではあくまで報告に至る経緯の掲載を目的としているため,具体的なサイト名や業者名については明記していません.

発見の経緯

以前にオンラインで定期購入可能なお惣菜の宅配サービスを利用していたことがあり,当時そのサイトは大手のECサービスを利用していました.

しかし,年明けにホームページリニューアルのお知らせという内容で以下のようなメールが届きました.

このたび、かねてより準備を進めておりましたホームページのリニ ューアルが完了し明日1月11日(金)午前10時頃に公開する運び と相成りました。  今回のリニューアルでは「使いやすさ」と「見やすさ」の向上を 目指し利便性を高めることを目標といたしました。  また現在会員ご登録いただいております皆様へ最大50%OFFの  なお一部、現在のサイトより変更となります点もございます。  以下をご参照くださいますようお願いいたします。  ▼ 会員ログイン方法につきまして  【 現在 】会員ID > パスワード > ログイン    ▽ 【変更後】メールアドレス > パスワード > ログイン  ※パスワードですが初期値は「1111」となっております。  ※パスワードのご変更手順は下記となります。あわせて会員ご登録 情報にお間違いないかご確認くださいますようお願いいたします。  1)サイト上部にありますマイページよりログイン 2)マイページにあります「定期購入設定変更」をクリック 3)「パスワードを変更する」にチェック

サイト名が含まれるセール情報部分についてはマスク処理しています.

こちらのメールを1月10日に確認後,即座に自身のアカウントの退会処理を行いましたが,翌日のリニューアル後に自身のメールアドレスと記載の[1111]というパスワードでログインができることを確認し,IPA報告という流れになります.

問題点

このリニューアルにおいて何が問題だったかを私がわかる範囲で記載していきます.

  • 認証要素における本人しか知り得ない知識情報が全ユーザーで統一の物となり認証要素として機能しなくなってしまった.
  • ログイン要素として他にはメールアドレスしか用いていない
  • ログイン後アカウントに登録されている配送先情報が閲覧可能であった.
  • 前日に退会しているにもかかわらずリニューアル後のシステムでは有効なアカウントとしてログインが行えてしまった.

IPAへの報告

冒頭でIPAへの報告が2回目と書きましたが,このリニューアルは正直いって脆弱性に含めてよいものかわからず,どこに報告すべきか悩んでいたところTwitterでIPAには「脆弱性に限らず個人情報が適切なアクセスの制御下にない場合も報告できる」とのことを教えてもらいました.

また、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます。

https://www.ipa.go.jp/security/vuln/report/index.html

こちらを確認してIPAへの報告を行いました.

思ったより入力項目もすくなく,また冒頭のスクリーンショットにあるように本名でなくとも受理されたので,気になったことがあれば常識的な範囲で報告をすると良いのではないでしょうか.