はてな(本社:京都市中京区)は1日、同社が運営するソーシャルブックマークサービス「はてなブックマーク」のモバイル版に脆弱性があり、ブックマークコメントが改ざんされる被害があったと発表した。問題があったのは今年5月28日~9月28日の間で、脆弱性はすでに修正されている。
同社によると、NTTドコモの携帯電話でログインしたユーザーを識別するためのセッションキーが、特定の条件下で漏えいしてしまう問題があった。同サービスでは、セッションキーのみでログインユーザーを識別していたため、漏えいしたセッションキー付きのリンクを他のNTTドコモ端末のユーザーがたどることによって、そのユーザーになりすますことが可能だった。
なりすました第三者が利用できた操作は、「ポケットはてな」から利用可能なサービスの閲覧、編集、投稿、削除と、登録した携帯メールアドレスの閲覧、変更。
「ポケットはてな」で閲覧や編集のできない個人情報の漏えいや改ざん、なりすましによる有料サービスの操作などなどの可能性はなく、ログの調査結果から、なりすました第三者が携帯メールアドレスを変更した形跡もなかったという。
同社では引き続き調査を続けているが、現時点ではブックマークコメントが改ざんされたとの報告が2件あり、同社は不正アクセス禁止法違反に該当するとして、所轄の警察署とIPAに届け出るとしている。
同社では、セッションキーが漏えいしてしまう問題についてはすでに修正を終えており、現在はセッションキーが漏れた場合でも、それを使って第三者がなりすましできないようにする仕様の実装に着手。近日中に対応が完了する予定だという。
同社は今後、社内の開発体制をあらためて見直し、コードレビュー、チェックの徹底といったセキュリティ対策を強化するとしている。
(2009/10/02 ネットセキュリティニュース)
■「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告(はてなブックマーク日記)
http://hatena.g.hatena.ne.jp/hatenabookmark/20091001/1254363804