インターネットのショッピングモール「楽天市場」を運営する楽天(本社:東京都港区)は1日、メールマガジンの登録者情報が検索サイト経由で閲覧・更新可能な状態にあったと発表した。
閲覧された可能性のある情報は、メルマガに登録した氏名、性別、メールアドレス、生年月日、在住都道府県。クレジットカード情報や銀行口座に関する情報などは含まれておらず、同社では検索サイトに89人分が登録されていたことを確認したという。
同社の発表では、読者に送付した「【楽天市場からのお知らせ】メルマガ登録情報の確認・変更・配信停止について』というメールに記載された「メルマガ登録情報画面」のURLを、Q&Aサイトやブログに貼り付けたり、ソーシャルブックマークなどに登録し公開した場合、当該URLが検索サイトの採取対象になり登録されたのが原因だとし、当該URLの公開は想定外の使い方だったと説明。検索サイトの対象にならないための措置などを実施するとともに、検索サイトに登録された削除依頼を行うなど、万全の対策を講じたとしている。
同社のメルマガ登録情報の変更手続きは、登録したメールアドレスにお知らせメールを送ってもらい、お知らせメールに記載されたURLにアクセスし手続きを行う。メールに記載されたURLには、ユーザーごとに異なる「キー」が含まれており、このキーのみでユーザーを識別し、個々のメールアドレスに対応した登録情報にアクセスするという脆弱な仕組みになっていた。他のアクセス制御は組み合わせておらず、キーを含んだURLを使えば誰でもそのユーザーの登録画面が開ける状態だった。
お知らせメールには、記載されたURLが個人の登録情報にアクセスするための専用のものだとの説明や、URLを公開しないよう注意を促す記載はなく、ユーザーの中には手続きに使う汎用のURLだと思った方も多かったのだろう。ネット上では、キー付きのURLを無造作にブログに張り付ける人や、メルマガ配信停止方法の質問にキー付きのURLを添えて親切に教える人などが見受けられた。同社のシステムでは、キーを短期間で無効にするなどの措置もとっていなかったため、キー付きのURLをブラウザのお気に入りに登録していた方も多かったかも知れない。中には、ソーシャルブックマークなどに登録して公開してしまった方もいただろう。こうして、検索エンジンに採取されてしまう下地が作られ、GoogleやLive Serchに、個人の登録情報にアクセスするキー付きのURLが採取されてしまった。直接の原因は同社の説明通りかも知れないが、本質的な原因は、これまでにも度々報告されているセッション管理の不備と、URLの公開が危険であることの周知不足だったのではないだろうか。
同社は、26日から検索エンジン対策を実施し、30日までにシステムの問題点も修正。手続きを申し込んだブラウザ以外からはアクセスできないようにした上で事実を公表したが、公表時点ではまだ検索サイトに残骸が残っており、キャッシュを通じてメールアドレス付きの配信一覧が何件か閲覧できる状態だった。当編集部では2日昼までに、検索サイトのキャッシュが全て削除されたことを確認している。
(2008/10/02 インターネットセキュリティニュース)
■【楽天市場】楽天市場からのお知らせ(楽天市場)
http://www.rakuten.co.jp/com/faq/information/20081001.html