ハック・クラック

以前、価格誤表示が問題となった後に新設された会社「セブンネットショッピング」。
新しくなった7&iHLDGSのネットショップだが、その後また価格の誤表示が発生。

そのサイトが今度は

・XSS脆弱性
・デモ用ソースコード流出
・認証不徹底による個人情報意図しない表示

が発覚。
「おごちゃんの雑文 ≫ Blog Archive ≫ これは「エンジニアの反乱」ではないか？」でも書いてあるようにPGとかの扱いがひどいとかもあるのかもしれない。

でも、あまりにも不祥事が重なりすぎてるなーと思います。

詳しい内容は「セブンネットショッピング」最新記事一覧 – ITmedia Keywordsからどうぞ。

先日リリースされた「アメーバなう」ですが、早速CSRFの脆弱性を突かれて問題になりました。CSRFとは

クロスサイトリクエストフォージェリ(Cross site request forgeries, 略記:CSRF,またはXSRF)とは、WWW における攻撃手法の一つ。 具体例として、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりするなどの被害が起こる。また、設定用ウェブページを通して、ルーターや無線LAN等のあらゆる情報機器の設定の、意図しない変更をされる可能性もある。

日本においてはmixi で2005年4月19日ごろに発生した「ぼくはまちちゃん」騒動（後述）によってその存在が広く知られることとなった。

とwikipedia(クロスサイトリクエストフォージェリ)にあるように、利用者の知らない所で勝手に情報が書き換えられてしまう攻撃の一つです。

サイト作成側としては「第三者が知り得ない情報を入力させる」、利用者側は「サイトはこまめにログアウトする」などが重要だとされています。今回は「アメーバなう」側がCSRFの対策を怠っていたためにこのような事態が起きてしまいました。

といっても、その仕掛け人がはまちや２さんでありただのネタとして(CSRFの危険性を周知させるため)仕掛けただけなので情報が失われたりすることはありませんでしたが、その後「はまちや２」氏を模した「ほまちや」なる人物が同じような事をして「プロフィールのデータが書き換えられてしまう」事態になりました。

なんでアメーバ側が対策をすぐに取らなかったのかは不明ですが、どうやら「ほまちや」氏はデータが書き換えられるのは予期していなかったように言っています。
何はともあれ利用者としてもCSRFの攻撃を受けないように注意したいですね。