ライブドアの子会社で消費者金融業のライブドアクレジット(旧ロイヤル信販、東京都港区)は13日、オンラインパーソナルローン「もえろーん」のHPで、顧客のライブドアIDが第三者の画面に表示される不具合があり、サイトを一時閉鎖したと発表した。
今回発覚したのは、今月10日にブログや掲示板などで指摘されていたもので、ライブドアグループのサイトでログイン後に同サイトに移動すると、「セッションID」がリンクに含まれ漏えい。漏えいしたセッションIDを含むリンクを使って第三者がアクセスすると、「ようこそ、ゲストさん」と表示されるべきところに、セッションIDに該当するユーザーのライブドアIDが表示されてしまうという問題が生じていた。
Webサーバとブラウザ間の通信は、そのたびに接続切断を行う状態を保持しない通信が基本なので、Webサーバは個々のユーザーを識別するために、クッキーなどを使い「セッションID」と呼ばれる識別用のデータをブラウザに持たせて管理する。このセッション管理にミスがあるとユーザーの識別が正しく行えず、今回のような問題や小田急電鉄のHPで起きたような事故(10/17既報)、なりすまし等につながることがある。
同社は10日22時から翌日14時頃までサイトを閉鎖し、プログラムの不具合を修正。本件により、ライブドアクレジットのサービスに関する情報が漏洩した事実は一切ないとしている。
(2005/10/19 ネットセキュリティニュース)
■メンテナンスによるHP一時クローズに関するお詫び(livedoor CREDIT 【もえろーん】)
http://credit.livedoor.com/AccessAction.do
■ライブドアクレジット
http://credit.livedoor.com/
■セキュリティ関連ニュース
・小田急電鉄、システム不具合で情報漏えいや課金ミス発生 最大6,203名に被害(2005/10/17)