認定技術資格者向けサイトに脆弱性が発見される(Microsoft 社) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

認定技術資格者向けサイトに脆弱性が発見される(Microsoft 社)

国際 海外情報

 Microsoft 社のセキュリティ問題が物議を醸している昨今、同社認定技術資格者(Microsoft Certified Professional:MCP)向けサイトのユーザID 登録機能に新たな脆弱性がまた発見された。その脆弱性を利用すると、たとえMCP取得者本人でなくてもユーザIDを取得することができ、その人物のMCPサイトにログインできる。

 新規ユーザIDを生成するには、試験に合格した者だけが取得できるMCP番号と姓を大文字で入力しなければならない。そして、その認証手続きを基に、NCPサイトへのアクセス用パスワードと個人用ユーザ名が生成される。ここで問題なのは、1つのMCP番号に対し1つのユーザIDという制限がないことだ。つまり、第三者が他人のMCP番号を使って新しいIDを生成し、その人物の個人情報にアクセスすることが可能ということだ。他人のMCP番号を入手するのは、比較的容易だ。何故なら、Microsoft 社は銀行の暗証番号のようにMCP番号の秘匿をユーザに勧告していないばかりか、MCP番号を記載したカードを配布しており、また多数の人々は自身の名刺にMCP番号を印刷しているという。

 同脆弱性を発見した人物(匿名希望)は、その脆弱性を使ってMCP資格を持っていると公言する上司のサイトにログインし、上司がどの試験にも合格していなかったことを突き止めた。その後、Microsoft 社に同脆弱性に関する報告をしたが、同社からのコメントはないという。セキュリティ専門家のNeil Barrett 博士は「データ保護法のもと、個人データと見なされる情報が漏洩される恐れがあり、これは明らかにセキュリティ侵害にあたる。またもや、Microsoft 社のセキュリティに対する甘さが露呈した」と厳しく非難した。
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  7. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×