mixi のセキュリティーホール(その3)

[id:rna:20050420#p1] の追記に書いたように17:00頃に、残っていた穴のうち僕が把握している分については対策がとられたようです。まずはお疲れさまということで。

ですが、mixi のこれまでの対応のしかたには疑問が残りますし、それゆえ僕が調べてない部分の穴も全部ふさがっているのかどうか、ちょっと見当が付きません。

追記: mixi から連絡がありました(18:05)

内容はお詫び・お礼と対策した旨の連絡です。どうも複数の方から指摘があったような気配です。ただし「はまちちゃん」系の攻撃一般に対する安全宣言らしきものはありませんでした。まだ安全宣言は出せない状況らしいので引き続き警戒(ログイン中に知らないリンクを踏まない、こまめにログアウトする、可能なら JavaScript をオフにする)しておいたほうがよいでしょう。(20:00)

どんな穴だったか

今まで××と書いていた穴について、具体的な記述は避けますが、それを使うと何ができたかというのを挙げます。

  • 招待なしで新規会員登録できる
  • 被害者の「友人まで公開」の情報を取得できる
  • 被害者のマイミクに入っている人の「友人の友人まで公開」の情報が取得できる

匿名掲示板などでお願いして不正な招待を受ける行為(いわゆる「mixi乞食」)については mixi 側が退会処分などの措置で対抗してきましたが、似たような事を機械的*1実行可能な状態でした。

mixi乞食」と違うのは「mixi乞食」が基本的に「全体に公開」の情報にしかアクセスできないのに対して、今回の穴を使えばより制限された情報にアクセスできてしまうことです。機械的に実行されるだけに mixi 側がアクセスログを見て対処するのはむしろ容易ではありますが、事後的に対処されても一度取られた情報が消えてなくなるわけではないので問題なしとは言えません。

何が問題だったか

mixi の内部事情は知らないので的はずれな部分もあるかと思いますが僕が問題と思った点を。

まず利用者へのアナウンスがなかったこと。少なくとも僕が連絡してから丸一日、問題に気付いていたと思われる時点からは丸二日の間、利用者は危険に晒されていたのですがその間利用者へのアナウンスは一切ありませんでした。問い合わせた個人には一応の対処が終わってから連絡が来ましたが、公のアナウンスはまだありません(21日20:00現在)。限られた範囲でしか知られていない問題ならともかく既に報道もされているわけで、知らせることのデメリットより知らせない事のデメリットの方が大きかったのではないでしょうか。*2

次に対策が後手後手に回ったこと。システムを停止せずに作業したことを考えると、最初の「はまちちゃん」発生から二日半程でほぼ対策を打った(まだ漏れがあるかもしれないけど)のは十分速かったとも言えますが、利用者へのアナウンスがなかった(一般利用者は自衛策をとれなかった)事を考えると微妙なところです。また、指摘された穴をふさいでも技術的には同じ系統の穴がふさがってなかったり、対応が場当たり的に見えることもありました。

追記: 良かった点

悪口ばかりもアレなので良かった点を。「はまちちゃん」の作者をいきなり退会処分にしたり日記を削除したりしなかったのは賢明な選択だったかも。もし「断固たる処置を」みたいに対応していたらお祭り騒ぎになって、より大きな穴への攻撃を加速させてしまったかもしれません。


*1:リンクを踏ませるというステップは必要ですが。

*2:利用者にとってということ。mixi の経営にとってはどうかわかりません。