不必要情報の脆弱性

今日ネットを見ていて不必要情報の脆弱性を発見しました。

つい最近こんなニュースもあったことですので、その場で指摘のメールを送信しました。

日本HP 重要なお知らせ お客様情報流出に関するお詫びとお知らせ 2008年2月29日
http://h50146.www5.hp.com/info/whatsnew/fy2008/fy08-001.html

不必要情報の脆弱性については下の記事が詳しいです。私はこの記事で不必要情報の脆弱性を知りました。

メールアドレスの登録チェックが、余計なお世話に？ － ＠IT
http://www.atmarkit.co.jp/fsecurity/rensai/hoshino08/hoshino01.html

簡単な説明を。IDとパスワードを必要とする架空の会員制サイト「オルナタクラブ」があったとします。ログインパスワードを忘れてしまった場合にはEメールアドレスにIDとパスワードを送ってもらえる仕様です。このEメールアドレス欄に正しい値を入力すると「IDとパスワードを送信しました」が表示され、間違った値を入力すると「登録されていないメールアドレスです」が出るとします。

そうすると悪意のあるユーザが総当りで膨大な数のメールアドレスを生成して送り込むと、たまたま存在するアドレスがあった場合に「IDとパスワードを送信しました」が表示されます。その画面が表示されたアドレスのリストを作成すると、有効なメールアドレスのリストとなります。それを利用してフィッシングサイトへ誘導した上でSPAMメール送信者に売り渡す事が主な用途となるでしょう。

今回の前提条件では攻撃の過程でアドレスの持ち主に対して身に覚えの無いメールが送信されますので、それを受け取った人に対して不審を抱かせるかもしれません。しかし中には「上記のアドレス宛にIDとパスワードを送信しますか」で一旦止まってくれるお人好しなサイトもありますので、その場合には本人に全く知られずにメールアドレスを収集できます。

また、それを逆手に取るというバリエーションも考えられます。例えば「オルタナクラブ」の運営を名乗ったメールをアドレスの持ち主に送信します。「オルタナクラブの会員情報データベースがクラッシュしました。現在は仮サーバhttp;//255.xxx.xxx.xxx/index.htmlで運用をしておりますのでこちらに会員情報を再登録願います。お手数をおかけしましたお詫びに再登録していただいた方に500円のクオカードを送ります」というように”餌”を見せる方法が考えられます。もしくは「恐れ入りますが会員情報がクラッカーに盗み出されました。自分が被害の対象かどうかお知りになりたい方こちらの臨時サイトから登録時の住所年齢生年月日を入力下さい。」など相手の焦りを誘う方法も考えられます。

コンタクトを取るのに使用するメールアドレスは公式のアドレスを偽装する、公式のアドレスに似た（フィッシングっぽく）ものにする、公式のサイトから運営を委託されたと称して「日本システム運用アソシエーション振興会関東支部」のようなもっともらしい会社のアドレスを使用する、などの方法があります。

特定の人が利用するサイトでは、氏名の辞書＋その業界の主な企業のドメインの組み合わせから攻撃を行うことで、「IT業界の人のメールアドレス集」というような付加価値つきの名簿を生成することも可能です。「IT業界の人」ではITリテラシーが高いので成功確率が低いかもしれませんが、「囲碁のオンライン対戦」や「盆栽の画像投稿」などITスキルが低めな人が集まりそうなサイトを狙って攻撃すれば成功率は高まります。

この脆弱性は結局は時間のかかる総当り攻撃に頼るところがありますので危険性があまり高いとは言えません。しかしそれだけによく見かけるものですので、見つけ次第（連絡用アドレスがすぐに見つかれば）報告を入れるようにしています。簡単な脆弱性が見えるところに放置されていると無用な攻撃者を招き入れる要因ともなります。危険度の高低に関わらず、できるだけ弱点を隠す事が大切と言えるでしょう。