みずほ証券の web で 4,300人のパスワードなど個人情報流出の危機 | ScanNetSecurity
2026.03.11(水)

みずほ証券の web で 4,300人のパスワードなど個人情報流出の危機

みずほ証券のWeb
http://www.mizuho-sc.com/

製品・サービス・業界動向 業界動向
48 views
facebookLINE
みずほ証券のWeb
http://www.mizuho-sc.com/

のログインページ、

http://www.mizuho-sc.com/sw/html/tosen/index.html

のフレーム内で読み込まれる

http://www.mizuho-sc.com/sw/cgi/disp.cgi?tosen/template/header.html

で用いられているcgiは、? 以降で指定されたファイルを読み込んで表示するcgiであった。上記URLであれば、tosen/template/header.htmlというファイルが表示される仕組みである。しかし、本来閲覧許可してよいファイル以外までをも自由に読み込んで表示させることができた。例えば

http://www.mizuho-sc.com/sw/cgi/disp.cgi?../../../../../../../etc/passwd

という記述でパスワードファイルを読み込むことができた。なお、該当パスワードファイルを確認したところ、幸いなことにshadowパスワードが用いられていることがわかった。

 ただし、ファイルを指定して何でも内容を見ることができるため、login.cgiをはじめ、cgiのソースの内容から(みずほ証券のサービスを受けている)ユーザ情報を引き出すことが可能だった。
 ただし、「実際に見て」確認していないので、あくまでも「可能性」にとどまっている。
 この問題について4/15 23:26にみずほ証券に連絡したところ、4/16 10:59頃からアクセスできなくなり、4/16 18:00に修正した旨報告を受けた。パスワードや個人情報を見られた可能性のあるユーザは4300人余りである。

http://www.kahoku.co.jp/news_s/20020416KIIAEA23510.htm

office
office@ukky.net
http://www.office.ac/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

    誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

  2. L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解

    L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解PR

  3. 厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

    厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

  4. アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

    アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

  5. みずほリサーチ&テクノロジーズが経済産業省から受託したアンケート情報を混在して環境省に納品、ホームページで公開

    みずほリサーチ&テクノロジーズが経済産業省から受託したアンケート情報を混在して環境省に納品、ホームページで公開

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP