規範となりうるか？セコムの対応事例（1）

　実社会と同時にネット社会においてもセキュリティ企業として知られているセコム株式会社が運営するWeb、「セコムタウン」において個人情報漏洩の危険性があったことが明らかになった。
　このことにより、セコムのネットセキュリティ技術に関してこれまで築いてきた信用は完全に無に帰したといってもよい。しかし、セコムは単にこの技術的な問題をクリアするだけではなく、脆弱性報告への対応、顧客への経過報告などにおいて努力し、これまで脆弱性を指摘されてきた多くの企業とは一線を画すインシデントマネージメントを見せ、汚名を返上した。
　この記事では、セコムの信用を凋落させた、セコムタウンにあった個人情報漏洩の問題点の詳細を報告し、また同時にセコムが信頼を回復すべく行った、インシデント対応のプロセスについて報告する。

[セコムタウンにあった情報漏洩の危険性]

　セコム（株）の運営するセコムタウン（ http://www.secomtown.com/ ）は、セコムの企業宣伝だけでなく、商品をネット販売しており、Webから登録できる会員制となっている。登録にあたっては、商品購入できるように、氏名、住所、メールアドレス、電話、Fax、携帯電話、生年月日、性別などを登録する。

　筆者はこの会員システムのセッション管理が不適切で、容易にセッションハイジャック（なりすまし）が可能であることに気づいた。セコムタウンではCookieによるセッション管理を行っていたが、このセッション管理用のIDとして登録者のメールアドレスを用いていたのだ。
　セッションIDは、ログイン中のユーザがIDとパスワードを再入力しなくとも認証できるように用いる符丁であるため、パスワードと同様他人に知られてはいけない情報であり、当然推測可能なものは使用できない。ところがセコムタウンで行われていたようにセッションIDとして会員のメールアドレスが用いられていた場合、メールアドレスは他人から推測可能な情報であり、推測したメールアドレスを勝手に符丁として用いれば、そのメールアドレスの持ち主かのようななりすましが可能となってしまう。

　セコムタウンでは次のような情報漏洩シナリオが実行可能であった。

　まず「メンバー登録内容更新」ページ
https://www.secomtown.com/sec/kaiin/kai_nyuryoku.asp
にアクセスする。この時点では未だログインしていないので全ての個人情報欄は空白のまま表示される。

　次にセッション管理用IDであるCookieをブラウザにセットするためにURL欄に、推測したメールアドレスを含めて、例えば
javascript:document.cookie='USER%5FID=office%40ukky%2Enet'
と入力する。この場合ブラウザの画面には
USER_ID=office@ukky.net
と表示されたはずである。

　最後にブラウザのバックボタンで
https://www.secomtown.com/sec/kaiin/kai_nyuryoku.asp
に戻り、リロードすれば、先ほどは空白だった個人情報欄は、なりすまされた会員（例ではoffice@ukky.netの持ち主）のUserID、パスワード、登録した氏名、住所、電話、Fax、携帯電話、生年月日、性別などが表示された。なお、クレジットカードの番号などはこのような方法で奪取することはできないシステムであった。

office
office@ukky.net
http://www.office.ac/

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml