KDDIと沖縄セルラー電話は26日、au携帯電話用のオンライン書籍販売サイト「au Books」で、他の顧客情報の閲覧や書き換えが可能な状態になっていたと発表した。
KDDIによると、問題が生じたのは、6月22日20時37分から23日18時45分までの間に、ある書籍を紹介した外部サイトのリンクを使用して「au Books」にアクセスした顧客。システムの不備(セッション管理の不備:下記に解説)により、同じリンクから同時期にアクセスしてきた個別の顧客を識別できず、他人の登録情報(氏名、住所、電話番号、生年月日、会員パスワード)の閲覧や書き換え、注文が可能な状態になった。閲覧された可能性のある登録情報は最大436件、書き換えられた可能性は最大124件。
両社は問題発覚後、「au Books」に加えて、オンラインゲーム販売サイト「au Games」とオンラインCD/DVD販売サイト「au Records」を同日朝までに一時閉鎖し、システムの改修を進めている。
【解説:セッション管理の不備】
ショッピングサイトなどでは、サイトにアクセスしているユーザを識別するために、個々のユーザにセッションIDと呼ばれる個別のIDを付与する。多くのサイトでは、クッキーを使用してブラウザにセッションIDを持たせるが、URLのパラメータに埋め込む手法もあり、クッキーをサポートしていないブラウザの多い携帯電話向けのサイトでは、後者がよく用いられている。
サイトがセッションIDだけでユーザを識別していたり、ユーザが持つセッションIDを無条件に受け入れてしまうような場合には、セッションIDの漏えいや偽造によって、いわゆるセッションハイジャック(セッションの乗っ取り)という問題が発生ずる。他人のセッションIDを使って、なりすましができるのだ。
今回の問題では、外部サイトにセッションIDの埋め込まれたリンクが掲載。当該リンクを使ってアクセスしたユーザに対し、本来ならば新たに個別のセッションIDを付与すべきところを、そのまま受け入れてしまったため、同時期にアクセスした複数のユーザがすべて同一人物とみなされてしまった。
(2007/06/27 ネットセキュリティニュース)
■オンライン書籍販売サイト「au Books」におけるお客様情報の誤表示について(KDDI)
http://www.kddi.com/corporate/news_release/2007/0626a/index.html