2009年01月31日
■ 旧はてなブックマークで社内情報が漏洩していた可能性
昨年11月上旬に、はてなブックマークでプライベートアドレスが登録されていることが話題になっていた。
たとえば次などがそれだ。
- http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.1/
- http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.2/
- http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.3/
- http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.4/
- http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.1.1/
「こういう使い方をする人がいるとはね」と思ったが、ここで気になったのは、タイトルが登録されていることだった。これらのタイトルが、はてなのサーバがアクセスして取得したものでないことはあきらかである。そういえば、はてなブックマークのブックマーク登録用ブックマークレット(旧版)は、次のようになっていて、ユーザが閲覧中のページのタイトルを取得して、b.hatena.ne.jp に送信しているのだった。
javascript:window.location='http://b.hatena.ne.jp/add?mode=confirm&title='+escape(document.title)+'&url='+escape(location.href);
私の勤務先にも組織内部からにアクセスを限定しているサーバがあるが、大丈夫かと心配になり、調べてみたところ、2つのページが登録されていた。
幸い、とくに問題のある情報が漏れたわけではなかった*1。うちの研究所や大学のようなところでは、機密に該当する情報を扱うことは少ないだろうからいいにしても、営業機密にあたる情報をタイトルに含み得る企業では、死活問題になるケースもあるのではないか。
URLがRefererで送出されるのはもはやしかたのないことだろう(だから、URLは社内サーバであろうとも公開前提の内容とするべきである)が、タイトルについてはそうはいかない。これは、はてなのブックマークレットがタイトルを送信するのが不適切だ。
この問題は、そのすぐ後の11月下旬にリニューアルされた新はてなブックマークで、対策されていた。
新はてなブックマークでは、はてなのサーバが当該URLにアクセスして得られたタイトルを登録するようになっているため、組織内限定サーバのページタイトルが登録されてしまうことはなくなった。
しかし、過去に登録されてしまったものはそのまま放置されている。11月に話題になってからだいぶ経ったので、こうした問題に敏感な企業では既に対策をとられたのではないかと思うが、はてなからはアナウンスがないので、まだこの事態を知らない企業もあるのではないか。
そこで、私が調べられる範囲で同様の事例を探してみたところ、いくつか見つかった。以下は問題の少ないと思われる事例である。
この事例は、社内に設置されたRSSフィーダか何かがブックマークされた事例のようで、タイトルは公開サイトのものなので、許される範囲のものだろう。
この事例も、社内ブログか何かだろうか、許される範囲のものと思われる。
ここでは研究系のところだけ示したが、営業機密にかかわるようなところでは、同様の事案がないか確認した方がよいのではないか。
また、ブックマークレットにはこういう危険があるので、業種、職種によっては、ブックマークレットの使用に制限を設けるべきところもあるかもしれない。
*1 一応、はてなに削除を依頼してみたが、どのように判断されるだろうか。
- セキュリティホールmemo ×774 : 676, 86, 9, 1, 1, 1 (2023-02-16)
- はてなブックマークコメント [11917495/comment/tsupo] ×9 : 5, 4 (2020-05-29)
- はてなブックマークコメント ×170 : 148, 18, 1, 1, 1, 1 (2019-12-02)
- http://kkamegawa.hatenablog.jp/entry/20090202/p2 ×5 (2014-10-06)
- はてなダイアリー [kkamegawa] ×8 : 3, 1, 1, 1, 1, 1 (2012-05-08)
- はてなブックマークコメント [internet.watch.impress.co.jp/docs/news/20120313_518471.html] ×4 (2012-03-14)
- はてなブックマークコメント [hatena.g.hatena.ne.jp/hatenabookmark/20120313/1331629463] ×15 (2012-03-13)
- はてなブックマークコメント [hatena.g.hatena.ne.jp/hatena/20120313/1331629384] ×28 (2012-03-13)
- はてなブックマークコメント [d.hatena.ne.jp/sirouto2/20120312/p2] ×8 (2012-03-13)
- はてなブックマークコメント [blog.tokumaru.org/2012/03/blog-post.html] ×5 (2012-03-12)
- はてなブックマークコメント [d.hatena.ne.jp/rna/20120310/p2] ×18 (2012-03-11)
- はてなブックマークコメント [matome.naver.jp/odai/2133131006928771201] ×27 (2012-03-10)
- はてなブックマークコメント [d.hatena.ne.jp/mala/20120308/1331193381] ×11 (2012-03-10)
- はてなブックマークコメント [d.hatena.ne.jp/kanose/20120306/hbmbutton] ×5 (2012-03-07)
- スラッシュドット ×14 : 8, 5, 1 (2012-02-28)
- Yahoo!ブックマーク [bethkana] ×59 : 18, 5, 4, 4, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2, 2 (2011-12-08)
- Yahoo!ブックマーク [pgataniguchi] ×4 (2011-11-30)
- Yahoo!ブックマーク [kanaakira] ×5 : 2, 2, 1 (2011-11-28)
- Yahoo!ブックマーク [darknest] ×4 : 2, 2 (2011-11-17)
- Yahoo!ブックマーク [all] ×3 : 2, 1 (2011-11-09)
- スラッシュドットjournal [TarZ] ×46 : 31, 13, 1, 1 (2011-04-09)
- はてなブックマークコメント [b.hatena.ne.jp/HiromitsuTakagi/後で吊るす/] ×4 (2010-03-07)
- はてなダイアリー [washita 20090202] ×8 : 6, 1, 1 (2009-12-15)
- はてなブックマークコメント [hatena.g.hatena.ne.jp/hatenabookmark/20091001/1254363804] ×9 (2009-10-03)
- はてなダイアリー [masanobuimai] ×43 : 39, 1, 1, 1, 1 (2009-08-25)
- はてなブックマークコメント [http://slashdot.jp/it/article.pl?sid=09/06/10/2350241] ×16 (2009-06-11)
- はてなブックマークコメント [http://hatena.g.hatena.ne.jp/hatenabookmark/20090608/1244442374] ×9 (2009-06-08)
- http://www.fastwave.gr.jp/diarysrv/kiwamoto/ ×5 (2009-03-22)
- はてなブックマークコメント [http://hamachiya.com/junk/cj.html] ×54 (2009-03-04)
- はてなダイアリー [kkamegawa 20090202] ×9 : 8, 1 (2009-02-23)
- はてなブックマークコメント [11917495/高木浩光@自宅の日記 - 旧はてなブックマークで社内情報が漏洩していた可能性] ×5 (2009-02-19)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×15 (2009-02-18)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×10 (2009-02-17)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×29 (2009-02-12)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×7 (2009-02-12)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×10 (2009-02-12)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×13 (2009-02-12)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×27 (2009-02-05)
- http://sv-portalap01.netone.co.jp/modules/newbb/viewtopic.ph... ×93 (2009-02-05)
- カトゆー ×237 : 227, 10 (2009-02-03)
- はてなダイアリー [washita] ×44 (2009-02-02)
- Twitter [monjudoh] ×2 : 1, 1 (2009-02-02)
- http://feed.designlinkdatabase.net/feed/search.aspx ×8 (2009-02-02)
- はてなダイアリー [masanobuimai 20090201] ×63 (2009-02-01)
- http://xn--n8j3adt3ith.heypo.net/entry/15288 ×6 (2009-02-01)
- Twitter [hatebu] ×15 : 13, 2 (2009-02-01)
- http://zapanet.info/new/hatebu5/ ×4 (2009-02-01)
- http://zapanet.info/new/hatebu4/ ×5 (2009-02-01)
- 社内情報 ×24 / はてなブックマーク ×15 / 高木浩光 はてな ×13 / はてな ×8 / はてなブックマーク 社内 ×6 / 社内情報とは ×5 / はてなブックマーク 旧ブックマークレット ×4 / 旧はてなブックマーク ×4 / 高木浩光 ブックマーク ×4 / http :// 192.168.1.1 ×3 / はてなブックマーク 社内サイト ×3 / はてなブックマーク ブックマークレット 旧 ×3 / キーワード不明 ×3 / 社内ブックマーク ×3 / 社内情報の漏洩 ×2 / hatena 漏洩 ×2 / はてな 高木 ×2 / はてなブックマーク タイトル ×2 / location href 消去 危険性 ×2 / 旧はてなブックマークで社内情報が漏洩していた可能性 ×2 / hatena takagi ×2 / 社内情報 流出 ×2 / 高木浩光 新はてなブックマーク 登録ブックマークレット ×2 / 社内 情報 ×2 / はてな 漏洩 ×2 / 社内情報漏洩 ×2 / 高木浩光 はてな ログイン ×2 / はてな 情報漏洩 ×2 / 社内URL ×2 / はてなブックマーク 情報漏洩 ×2 / 社内 漏洩 ×2 / はてなブックマーク 社内 漏えい ×2 / 情報の漏洩 ×2 / 自宅 社内 ×2