100万人以上のメールアドレス漏えいを民間の研究者が発見 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.25(水)

100万人以上のメールアドレス漏えいを民間の研究者が発見

製品・サービス・業界動向 業界動向

 本誌にコラムを執筆する民間のセキュリティ研究者 Prisoner Langley 氏は、執筆時の調査取材の過程で大規模なメールアドレス漏えいを発見した。同氏は、これまでも何件かの個人情報漏えいや脆弱性を発見、同氏の呼びかけに応じた善意の協力企業経由で当該サイトなどに通報を行ってきた。

 今回、同研究者が発見した情報漏えいは、100万人以上の登録利用者を持つWebサービスだ。当該サービスにはシステム上の欠陥があり、登録者のメールアドレスが多数漏えいしているという。

 同氏によれば、このサイトのCMSと会員管理システムは、特定の条件下で一定の条件に該当する登録メールアドレスが、記事として生成されてしまう可能性があり、記事として生成されてしまったメールアドレスの一覧のページは、CMSにも会員管理システムにも管理されないページとして残ってしまう。さらに、記事として他のページへのリンクを含んでいるため、検索エンジンなどで容易に検索、閲覧が可能な状態で放置されるという。このサイトに登録されている利用者は100万人以上おり、その全てが漏えいしている可能性も否定できないとしている。

 なおこの問題は、同氏の呼びかけに応じた善意の協力企業経由で当該サイトに通報済みだ。同研究者は、CMSと会員管理システムのもたらす想定外のページ生成の危険性を重く見ており、対処完了と告知内容を確認してから、その詳細について、あらためて公表することを検討しているという。

http://netsecurity.blog77.fc2.com/blog-entry-16.html
https://www.netsecurity.ne.jp/3_12518.html
https://www.netsecurity.ne.jp/3_12470.html
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×