「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告
このたび、一部ユーザー様のブックマークコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスが行われていた事実が判明いたしました。
本件につきまして、ユーザー様に対してご迷惑、ご心配をおかけいたしましたことを、深くお詫び申し上げます。また、改ざんの被害に合われたユーザー様には別途個別にご連絡を行っております。
不正アクセスの詳しい状況につきまして、下記の通りご説明させていただきます。
経緯
この脆弱性は、はてなブックマークの一部ページで DoCoMo 端末向けのセッションキーが意図せず第三者に知られてしまう状態になっていたもので、同じく DoCoMo 端末でこのセッションキーつきのリンクを辿った場合に、本人ではない別のアカウントでログインした状態になる不具合が発生しておりました。
また、この状態を利用し、別のユーザーになりすまし、データを改ざんすることが可能であり、アクセスログを調査したところ、今回、はてなブックマークで被害を受けたアカウントは、本不具合によりアカウントを利用された可能性が高いことが判明しました。
尚、本脆弱性に関する技術的な事項につきましては文末に付記させていただきます。
被害状況
現時点で、ブックマークコメント改ざんのご報告は2件いただいており、それ以外の被害のご報告はいただいておりません。
しかしながら、上記のような脆弱性の状況から、以下の条件を満たすユーザー様が被害にあわれた可能性があります。
また、本件で第三者がなりすまして利用することが可能であった操作は下記の通りです。
- 「ポケットはてな」から利用が可能なサービスの閲覧、編集、投稿、削除
- プライベートモードに設定されている情報も含まれます
- 登録携帯メールアドレスの閲覧、変更
ただし、弊社にてログを調査いたしました結果、第三者がなりすまして携帯メールアドレスの変更を行った事実はないと判断しております。
はてなでは、引き続き、被害状況に関して調査を進めております。恐れ入りますが、上記の条件に該当し、何らかの被害があったと思われる方は、お問い合わせ窓口よりご連絡をいただければ幸いです。その際には、ご利用環境、詳細な被害の状況や被害が発生した時期をお知らせいただきますようお願い申し上げます。
尚、下記のような被害の可能性はないことが確認されておりますので、ご安心ください。
対策状況
本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。
今回の脆弱性については、すでに修正が完了しておりますので、今後は同じ原因での不正アクセスは発生いたしません。さらに、抜本的な対策として、DoCoMo端末の認証のセキュアレベル自体を向上し、万が一、何らかの手段で認証キーが漏れた場合にも、不正アクセスに利用されない仕様を実装いたします。こちらは近日中に対応が完了する予定です。
さらに、今後、社内の開発体制をあらためて見直し、コードレビュー、チェックの徹底といったセキュリティ対策を強化いたします。
本件につきましてご不明の点などがおありの際には、お問い合わせ窓口よりご連絡いただきますよう、お願い申し上げます。
本脆弱性に関する技術的な事項について
本脆弱性に関する経緯のうち、技術的な事項について下記の通りご報告いたします。
はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、DoCoMo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。
このため、DoCoMo 端末でログインした状態で /entrymobile を閲覧した際、キャッシュの有効期限が切れていると、mgw.hatena.ne.jp へのリンクにそのユーザーのセッションキーを含んだ状態でコンテンツがキャッシュされ、その状態で、他のユーザーが同じく DoCoMo 端末でそのページを閲覧し mgw.hatena.ne.jp へのリンクを辿った場合には、キャッシュされたセッションキーを付与された状態で遷移することになり、結果としてキャッシュされた別のユーザーアカウントでログインした状態になっていたものです。
さらに、以降はセッションキーを引き継いで画面遷移が行われるため、別のユーザーでログインしたまま各サービスを利用することが可能であり、悪意有るユーザーが別のアカウントになりすまし、該当ユーザーの各サービスのデータを改ざんできる状態となっておりました。
ただし、なりすまされたアカウントの個人情報、パスワード、クレジットカードなどは別途認証で保護されているため、閲覧は不可能です。
本脆弱性は以下の二点が原因で発生したものです
- はてなブックマークの /entrymobile でのキャッシュ制御処理の不備。URL のクエリパラメータとして付与されるセッションキーをキャッシュしてしまっていた
- セッションキーのセキュリティレベルが低かった
- 具体的には、他の情報を照合するなどしてそのセッションは本人にのみ有効とし、第三者にセッションキーを知られた場合でも被害が出ないような仕様を盛り込むべきだった
現在、前者については改修を終えており同様の不具合による問題は発生しません。後者に関しては、セッションキーのセキュリティレベル向上のための開発を始めており、近日中にシステムの更新を行う予定です。