2007年05月12日
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。
4月にこんな話が盛り上がりを見せていた。*1
- ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日
Bボタンフィッシングとは何?
記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。すると次の画面へ飛ぶ。(略)
見事な流れにフィッシングに気づかなかった (略)
よくよくはてなの画面を見るとURLが全然違う画面が一つだけある。それはログイン画面だ。(略)
どこかのブログに貼られた「B!」ボタンを(はてなブックマークに追加するつもりで)押したときに、はてなのログイン画面のようなものが出たら、それが偽サイトであってもIDとパスワードを入れてしまう人が続出するだろうという話だ。
言うまでもなく、こういうのは、パスワードを入れようとする際にその画面のアドレスバーのURLを見てドメイン名を確認することが鉄則であり、それでよい。どこから飛んだ場合であっても、常日頃からそれを徹底しておくべきである。
- 安全なWebサイト利用の鉄則 利用者の鉄則 (B) 再度訪れたサイトの場合
パスワードや個人情報、クレジットカード番号などを入力しようとするその直前に、次のことを確認し、確認できない場合は入力を中止します。
- Yahoo!オークション 安全対策研究所, ケース2 [その2] いったい何がおきたの? フィッシングとは?
パスワード 入れるその前 URLチェック(字余り)
ところが、はてなのログイン画面には次の問題があった。(現在は修正されている。)
まず、正規の動作がどうなっているかというと、たとえば http://example.com/ をブックマークしようとするときは、次のURLにアクセスすることになる。
http://b.hatena.ne.jp/add?mode=confirm&title=&url=http://example.com/
このときに、はてなにログインしていない状態だった場合は、
ゲストさん、はてなブックマークへようこそ。この操作ははてなにログインしていただくことでご利用可能です。
という画面が出る。ここで、「ログイン」の部分のリンクをクリックしてジャンプすると、
https://www.hatena.ne.jp/login?backurl=http%3A%2F%2Fb.hatena.ne.jp%2Fadd%3Fmode%3Dconfirm%26 title%3D%26url%3Dhttp%253A%252F%252Fexample.com%252F%26is_bm%3D
へ移動し、ログイン画面となる。ここで、正しいユーザ名とパスワードを入力してログインが成功すると、
http://b.hatena.ne.jp/add?mode=confirm&title=&url=http%3A%2F%2Fexample.com%2F&is_bm=
に自動的にジャンプする(ログイン前の画面へ戻ってくる)ようになっている。すなわち、ログイン画面の /login というCGIプログラムのパラメータ「backurl」は、ログイン成功時に自動的にジャンプする先のURLとして使用されているわけだ。
しかし、このパラメータ「backurl」に任意のURLを指定するとどうなるか。つまり、例えば
https://www.hatena.ne.jp/login?backurl=http://takagi-hiromisu.jp/exploit
にアクセスした場合にログイン成功後どこへ飛ぶか。以前は、この指定された任意のサイトへジャンプする状態だった。(現在は修正されている。)
これがなぜ問題なのか。以下に、届出時に使ったデモの画面で示す。
phishing詐欺師が、どこかのサイトから以下のURLへの罠リンク(「B!」ボタンなどで)を仕掛けていたとしよう。
https://www.hatena.ne.jp/login?backurl=http%3A%2F%2Ftakagi-hiromitsu.jp%2Fsecurity%2Fvuln-info%2F 20070408-hatena%2Flogin.html
これにアクセスすると図1の画面が出る。
安全なWebサイト利用の鉄則に従いアドレスバーを見ると、確かに hatena.ne.jp ドメインの画面であるから、本物サイトであると確認できるので、ユーザ名とパスワードを入れて「ログイン」ボタンを押したとする。すると、図2の画面が一瞬だけ現れるが、すぐに図3の画面に自動的にジャンプする。
ここで、一瞬現れた図2のことを気に留めることなく、図3の画面を見たならば、「パスワードの入力を間違えてしまった」と普通は認識するだろう。そして、もう一度ユーザ名とパスワードを入れてしまう。
しかし、図3のアドレスバーを見るとわかるように、これは偽サイトである。
さて、どうだろうか。どこのサイトでも、ログイン画面でパスワードを打ち間違えると、このように「ユーザ名またはパスワードが違います」というメッセージが出るようになっているものだが、打ち間違えて再度パスワードを入れるその都度、毎回アドレスバーのURLを確認しなければならないのだろうか?
それを「安全な利用の鉄則」とするのは、さすがに酷な話だ。
これは、「backurl」に信頼されていない任意のURL(はてな以外のサイト)を指定できてしまうことが誤りであり、はてなのこの仕組みの方を修正するべきであると考えた。
現在は、はてな以外のサイトを「backurl」に指定すると、(ログイン成功時に)はてなトップページへジャンプするように修正されている。
ちなみに、Yahoo! JAPANの場合は、以前から対策されていたようで、「backurl」相当のパラメータにYahoo! JAPAN以外のURLを指定してアクセスするとその時点で、
お客様がご覧になろうとしているページは、
Yahoo! JAPANのサービスではありません。以下の可能性が考えられます。
・Yahoo! JAPANを装うウェブページに掲載されている偽のリンクをクリックしてしまった。
・メールや掲示板などに掲載されている偽のURLをクリックしてしまった。
・直接URLを入力した際に誤ったURLを指定してしまった。
(略)
というエラー画面が出るようになっていた。
はてな以外にも、私の知る範囲で同様の問題のあるサイトがあったので、IPAに届け出たところ修正された。
あるサイト(現在は修正済み)では、図2相当の画面が存在せず、正しいパスワードを送ると直接図3相当の画面が出るようになっていた。この場合はより騙される危険が高いだろう。
もし他にもこの問題を抱えているサイトがあった場合、そのようなサイトを使う利用者は、次のことが回避策となる。
回避策: パスワード入力ミス後の再入力の画面も含めて、常にいかなる場合も、パスワード入力の際には画面のアドレスを確認する(再確認する)。
*1 1つ目のYouTube風画像リンクの話はどうでもいい。「再生ボタンを押すとウィルスのダウンロードが始まる」というが、ダウンロードが始まることは何ら問題がない。キャンセルすればいいのだから。そもそも、この画像の貼られたページを見に行ったのなら、その時点で別の方法でダウンロード開始させることが可能なわけで、こういう画像が云々という話は全くセキュリティリテラシに関係がない。単に素人を面白がらせるだけの話で役に立たない。
ログイン処理なんてほとんどのWebアプリケーションに必要だから、プログラマであれば簡単に作れると思われるかもしれないが、これが意外とあなどれない。初心者プログラマがやりがちな失敗から、最終的にどうあればいいのかを順を追ってみていこうと思う。 ■1. (レベル0)..
- ココログ [stressfulangel cocolog] ×6 : 5, 1 (2023-04-20)
- https://blog.ts5.me/entry/20070515/1179233870 ×4 (2022-10-07)
- https://www.bing.com ×4 (2020-07-30)
- https://magic3.net ×9 (2018-10-08)
- はてなダイアリー [masashi_oikawa 20070515] ×11 : 10, 1 (2017-10-18)
- はてなダイアリー [teracc] ×34 : 24, 2, 2, 1, 1, 1, 1, 1, 1 (2017-06-30)
- はてなダイアリー [harurin 20071001] ×3 : 2, 1 (2017-03-14)
- https://www.bing.com/ ×6 (2016-08-04)
- https://www.google.co.jp ×55 (2015-08-28)
- http://redmine.nadai.jp/issues/3463 ×4 (2015-06-15)
- はてなダイアリー [teracc 20070515] ×58 : 52, 3, 1, 1, 1 (2014-12-04)
- http://qiita.com/yuwaita/items/fbdbc9b86d3c71ec0079 ×213 (2014-08-20)
- はてなダイアリー [junjun777 20070514] ×7 : 6, 1 (2012-09-23)
- はてなダイアリー [skirnir] ×6 : 3, 1, 1, 1 (2012-08-27)
- はてなダイアリー [hasegawayosuke 20070602] ×185 : 180, 4, 1 (2012-05-28)
- はてなダイアリー [skirnir 20080822] ×92 : 85, 7 (2011-07-07)
- http://www.gakunin.jp/docs/fed/feasibility/report/osaka/appe... ×139 (2010-12-08)
- スラッシュドットcomments [417755] ×43 : 14, 9, 5, 4, 3, 1, 1, 1, 1, 1, 1, 1, 1 (2010-07-22)
- http://bakera.jp/ebi/2008/11 ×4 (2010-05-10)
- はてなブックマークコメント ×164 : 111, 37, 7, 4, 4, 1 (2009-12-22)
- fc2 blog [ronojikan.blog57] ×3 : 1, 1, 1 (2009-09-28)
- http://buzzurl.jp/entry/高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイト... ×6 (2009-02-03)
- はてなブックマークコメント [4701043/ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない] ×12 (2009-01-23)
- http://bakera.jp/ebi/topic/3389 ×69 (2008-11-18)
- http://bakera.jp/ebi ×41 (2008-11-18)
- http://gihyo.jp/dev/clip/01/orangenews/vol47/0005 ×246 (2008-10-28)
- fc2 blog [helheim.blog3] ×12 (2008-10-11)
- http://en.yummy.stripper.jp/?cid=2088 ×4 (2008-09-20)
- スラッシュドットarticle [08/09/07/0044208] ×17 : 11, 5, 1 (2008-09-08)
- secure.ddo.jp/~kaku tdiary ×446 : 383, 31, 25, 3, 2, 1, 1 (2008-08-24)
- http://115.69.192.92/trac/igp/ticket/2278 ×6 (2008-08-22)
- http://knowledge.visionary.jp/sns/?m=pc&a=page_fh_diary&targ... ×11 (2008-08-22)
- http://en.yummy.stripper.jp/?eid=987602 ×1301 (2008-08-21)
- はてなブックマークコメント [http://en.yummy.stripper.jp/?eid=987602] ×75 (2008-08-21)
- はてなダイアリー [harurin] ×8 : 6, 1, 1 (2008-07-29)
- http://dz01.office.rakuten.co.jp/scripts/cbdb/db.exe?page=DB... ×5 (2007-10-24)
- はてなブックマークコメント [4702644] ×10 (2007-10-02)
- はてなダイアリー [hasegawayosuke] ×26 : 20, 2, 2, 1, 1 (2007-08-17)
- http://cybouz.coreprice.com:50506/ag.exe?page=MyFolderMessag... ×6 (2007-07-20)
- http://gungi.jp/tag/Security ×5 (2007-06-28)
- はてなダイアリー [masashi_oikawa] ×4 (2007-05-31)
- はてなダイアリー [junjun777] ×2 : 1, 1 (2007-05-24)
- http://www.wec-c.com/member/ ×10 (2007-05-24)
- はてなダイアリー [KURO] ×2 : 1, 1 (2007-05-17)
- http://1.sns.fc2.com/exec/friend/diary/entry/23/3000/ ×6 (2007-05-16)
- http://ameblo.jp/id13i22/ ×11 (2007-05-15)
- はてなダイアリー [matoriX] ×4 (2007-05-15)
- セキュリティホールmemo ×2260 : 2044, 191, 23, 1, 1 (2007-05-14)
- はてなブックマークコメント [4701043] ×21 (2007-05-14)
- http://gimite.ddo.jp/rotd/index.rb?hid=molio ×4 (2007-05-14)
- http://blog.days.yahoo.co.jp/blog-YQ2OcYcwaKfFKlaFuFGg?p=114... ×5 (2007-05-13)
- http://magic3.net/item_1471.html ×27 (2007-05-13)
- http://twitter.monolist.jp/ranking/url/ ×4 (2007-05-13)
- http://zapanet.info/new/hatebu/ ×5 (2007-05-13)
- http://hb.dan.co.jp/hotentry.html ×8 (2007-05-13)
- livedoorクリップコメント ×99 : 84, 15 (2007-05-13)
- http://www.piyo2.info/project_trend_checker/ ×4 (2007-05-13)
- http://alfalfa.livedoor.biz/AheadlineT.html ×39 (2007-05-13)
- http://mail.google.com/mail/?view=page&name=gp&ver=sh3fib53p... ×5 (2007-05-13)
- http://bsg.to/antena.html ×6 (2007-05-13)
- ログイン リダイレクト ×173 / html リダイレクト ×38 / キーワード不明 ×34 / リダイレクト ログイン ×31 / https http リダイレクト ×26 / backurl ×23 / リダイレクト ×18 / ログイン画面 リダイレクト ×15 / リダイレクト html ×13 / リダイレクト 脆弱性 ×13 / リダイレクト 図 ×11 / ログインリダイレクト ×9 / ログイン画面 ×9 / http リダイレクト ×8 / HTML リダイレクト ×8 / ログイン画面のキャプチャ ×7 / リダイレクト アドレスバー ×6 / HTTP リダイレクト ×6 / ログインボタン ×6 / ログイン redirect ×5 / redirect ログイン ×4 / HTTPリダイレクト ×4 / backURL ×4 / ログイン ×4 / はてな リダイレクト ×4 / リダイレクトログイン ×4 / URLリダイレクト 脆弱性 ×4 / リダイレクト先 ×4 / リダイレクト フィッシング ×4 / 安全なWebサイト利用の鉄則 ×4 / 高木浩光 リダイレクト ×4 / 高木 リダイレクト ×4 / http https リダイレクト ×4 / BackURL ×4 / ログイン 成功 リダイレクト ×4 / ログイン画面 html ×3 / お客様がご覧になろうとしているページは、 Yahoo! JAPANのサービスではありません。 ×3 / ログインリダイレクトとは ×3 / はてな リダイレクト IPA ×3 / ログイン URL リダイレクト ×3 / 高木浩光 はてなブックマーク ×3 / redirect https ログイン ×3 / html ログイン リダイレクト ×3 / お客様がご覧になろうとしているページは、Yahoo! JAPANのサービスではありません。 ×3 / backurlとは ×3 / login リダイレクト ×3 / BackUrl ×3 / 任意サイトへのリダイレクト ×3 / ログイン 自動 リダイレクト ×2 / リダイレクト HTTPS HTTP ×2 / 任意サイト ×2 / ruby cgi URL リダイレクト ×2 / リダイレクトURLを ×2 / ruby cgi リダイレクト ×2 / httpsにリダイレクト ×2 / redirect OR リダイレクト ログイン ×2 / winny 流出 ×2 / ログインしてない リダイレクト ×2 / button HTML リダイレクト ×2 / リダイレクト パスワード入力 ×2 / リダイレクト キャンセル ×2 / 任意のURLへリダイレクト可能 ×2 / リダイレクト CGI フィッシング ×2 / はてな -hiromitsu.jp ×2 / html ログインボタン ×2 / backUrl ×2 / -hiromitsu.jp ログイン ×2 / Drinks for the Summer Wallpaper ×2 / htmp リダイレクト ×2 / https http 入力ミス リダイレクト ×2 / リダイレクト 画面 ×2 / BACKURLとは ×2 / ログイン リダイレクト 高木 ×2 / http ログイン成功 リダイレクト ×2 / redirect https http ×2 / $backurl ×2 / リダイレクト はてな ×2 / 安全なリダイレクト ×2 / サイト リダイレクト ×2 / リダイレクト URLパラメータ ×2 / URLリダイレクト https ×2 / ログイン成功 リダイレクト ×2 / 成功 ログイン画面 ×2 / welcart ログイン画面 リダイレクト ×2 / IPA リダイレクタ ×2 / URL リダイレクト 脆弱性 ×2 / 詐欺師の鉄則 ×2 / login redirect ×2 / リダイレクト先 脆弱性 ×2 / 任意のURLにリダイレクト ×2 / Cursors ×2 / ログイン https 高木 ×2 / ボタン リダイレクト ×2 / https ログイン リダイレクト ×2 / Yahoo ログイン 指定された ×2 / ログイン画面にリダイレクト ×2 / パスワード リダイレクト ×2 / 任意サイト リダイレクト ×2 / ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない ×2 / ログイン 図 ×2 / https ログイン ×2 / リダイレクト脆弱性 ×2 / url リダイレクト ×2 / ログインユーザー名またはパスワードが違います。 ×2 / ログイン 画面 ×2 / ログイン html ×2