※この記事は本社サイト「Naked Securiy」掲載の記事を翻訳しています※
インターネット割引サイト Groupon は米国では有名ですが、それ以外の国では子会社を通じて運営されています。Groupon 社は先日、SoSasta の名前でインド国内向けにサイトを運営しているインターネット割引会社 SoSasta 社を買収しました。
ネット割引とは、サイト経由で割引対象の商品に入札する仕組みで、 たとえば、カナダのアパレルブランド St John から通信販売で下着を購入したり、インドのニューデリーにあるヒルトンホテルでの食事を予約購入したりできます。
入札数が最低限度数に達すると、入札者全員がその割引価格で目的の製品/サービスを購入できます。
サイト経由で入札するということは、そのサイトにユーザー名とパスワードのアカウント情報を登録しておく必要があります。つまり、サイトには認証システムが必要になります。
今回、SoSasta 社で問題が発生したのは、この認証システムでした。
シドニー在住のセキュリティ研究者 Daniel Grzelak 氏(先週の記事で紹介した、パスワード漏洩をチェックできる便利なサイト shouldichangemypassword.com の開設者)が今週の始め、潜在的なデータベース漏洩を発見するために作成したさまざまな言葉を使い、Google 検索をしてみました。
SoSasta 社のサイトについて検索をしたところ、Grzelak 氏が発見したのは、侵入に悪用される可能性のあるデータベーススキーマや情報だけではありませんでした。ユーザー名、ログイン名、平文のパスワードが 30万件も保存されているデータベースを同氏のブラウザ上に表示させることができてしまったのです。
(また、SoSasta サイトではログイン名に電子メールアドレス使用していたため、パスワードの情報がなくとも、ログイン名のメールアドレスのリストをスパマーがスパム送信に簡単に悪用できてしまうような状態でした。)
Grzelak 氏がオーストラリアの有名なセキュリティサイト Risky Business を通じて Groupon 社に連絡をしたところ、Groupon グループは即座に明らかに問題がある箇所の修正を開始しました。その結果、Google 検索ではこのリストは表示されなくなりました。また、SoSasta 社は自社のユーザーに対して、パスワードの変更を要請しました。
しかし、Groupon と SoSasta にとっての問題はそれだけで終わりませんでした。その場しのぎの修正であったために、再び問題が発生したのです。その原因は次のとおりです。
第1に、流出済みのパスワードを使ってパスワードを変更させるのは、危険なやり方です。サイバー犯罪者の手でパスワードがすでに変更されていて、ユーザーは自分のアカウントから締め出されてしまう可能性があるからです。推奨されるのは、先日 wordpress.org で WordPress が行ったように、強制的にパスワードをリセットして、電子メールで再確認させる方法です。
第2に、SoSasta 社では有効な電子メールアドレスがなくてもユーザーはアカウントを作成できるため、パスワードの変更をメールベースで確認し、新しいパスワードを有効にするようなシステムがありません。筆者が実際に試してみたところ、アカウントの作成時に電子メールアドレスの入力を求められ、送信されてくる電子メールに記載されている情報を使ってアカウントを有効にするように指示されました。しかし、実際には電子メールが送信されてくることはなく、そのままサービスにログインして、自由にパスワードを変更できました。
第3に、適切なパスワードを選択する方法について SoSasta 社は一切アドバイスをしておらず、極めて不適切なパスワードでも受け入れられました。たとえば、 自分のファーストネーム、「123456」、「monkey」、「password」、「secret」なども問題なく使用できます。
第4に、Sasta 社がユーザーに対して有効な電子メールアドレスを要求していないということが、同社が無言のうちに、セキュリティ侵害の可能性があることをユーザーに警告・示唆しているのだとも取れます。SoSasta サイトは、ユーザーとその後の連絡・通知を行う努力はしていません。今回のセキュリティ侵害に関する正式な通知は、自社の Facebook ページの背景写真として掲載されている JPEG 画像だけです。これでは、よく見える場所に表示していながあら隠そうとしているようなもので、通知方法としては十分ではありません。
第5に(最大の問題点と言えますが) パスワードが SoSasta のサーバーでハッシュ化されてはいても、送信中はハッシュ化されていません。信じられないことに、SoSasta は認証後にユーザーが自分のプロフィール(生年月日、パスワード、携帯電話の番号など)を平文で編集することを許可してしまっています。しかも、 HTTPS も使用していなければ、ハッシュ化も行っていません。
SoSasta を利用している方は、SoSastaにメールを送って、 次のような要望を出してみてはいかがでしょうか。
* アカウントの有効化、パスワードの変更、および強制リセットに使用される、正しく機能する電子メール確認システムを導入すること。
* セキュリティに関する通知を、Facebook アルバムに写真を 1 枚掲載するだけでなく、分かりやすい形にすること。
* 個人を特定可能な情報の送受信には、例外なく HTTPS 接続を使用すること。
* 新たに登録するユーザーに対して、適切なパスワードを選択する方法をオンラインでアドバイスすること。
SoSasta 社から回答を得られるまでは、信頼できないコンピュータ(インターネット接続しているキオスク端末など)、信頼できないネットワーク(インターネットカフェ)、暗号化されていない WiFi 接続を使用して SoSasta サイトにアクセスすることは避けることを強く推奨します。この点を守ることによって、パスワードが盗まれるリスクを最小限に抑えることができます。
(注: SoSasta は、サイトで支払処理を行っていません。クレジットカード番号などについては、HTTPS を使用すべきです。)
150ヶ国で 1億人以上のユーザーが、複雑な脅威やデータ漏えいの阻止に、ソフォス製品を使用しています。ソフォスは、管理・導入・使用が簡単で、総管理コストが業界で最も低い、セキュリティ対策とデータ保護のソリューションに専念しています。ソフォスでは、グローバルに展開する脅威解析センター、SophosLabs の支援を受けて、暗号化、エンドポイントセキュリティ、Web、電子メール、ネットワークアクセス コントロールなど、評価の高い製品を提供しています。20年以上にわたる経験を持つソフォスは、セキュリティおよびデータ保護の業界リーダーとして第一級のアナリスト団体から高い評価を受け、多くの受賞歴を誇ります。