モバイル版はてな「かんたんログイン」の脆弱性を修正しました
10/21にポケットはてな「かんたんログイン」のリニューアルを行いましたが、その際に脆弱性がありましたため、本日、修正いたしました。脆弱性の内容およびその影響範囲につきましては、下記のとおりです。
脆弱性の内容
10/21にかんたんログインの改修の際、ログイン処理があった端末から個体識別番号を取得し、データベースに保存する処理が変更をいたしました。この際、個体識別番号が送信された場合には番号を正しく保存しておりましたが、送信されなかった際の処理に不備がありました。
個体識別番号が送信されない設定の携帯端末を用いてモバイルログインURL (http://www.hatena.ne.jp/mobile/login) からログインした場合、データベースに不正な値が入力されていました。この際、同様に個体識別番号が送信されない端末を用いた他のユーザがかんたんログインURL (http://www.hatena.ne.jp/mobile/easylogin) からログインした場合、先にログインした他ユーザーのアカウントで一時的にログイン状態になることがありました。現在はこの不具合は修正されています。
影響範囲
この不具合の対象には、以下の2つの場合があり、それぞれ対象期間が違っております。
1. 個体識別番号を送信しない設定をされている場合
本体の設定を変更し、個体識別番号を送信しない設定をされている場合はこの不具合の対象に該当する可能性があります。
この不具合は、21日12時から23日13時まで発生していました。
2. docomo端末からのアクセスで、末尾にguid=onが含まれていないログインURLを使った場合
docomo端末では、個体識別番号を送信するためにURLの末尾に特定の文字列(guid=on)を設定する必要があります。このため、改修前のかんたんログインのURLを画面メモなどで端末に保存されている等、guid=onが含まれていないログインURLからアクセスされた場合には、個体識別番号が送信されず、前述の1の場合と同様の問題が起きておりました。
ログインURLの末尾にguid=onがないURLよりアクセスがあった場合には、guid=onを付与する処理を行う必要がございましたが、この処理が入っておりませんでした。
こちらの不具合は、21日の13時から17時45分まで発生しており、この間にguid=onが含まれていないログインURLからかんたんログインにアクセスされていた方は不具合の対象となっている可能性があります。
本不具合の対象者の方へ
この脆弱性による影響として、同時にアクセスした他ユーザーと同一のモバイルIDが割り振られますため、一時的に他ユーザーのアカウントでログインが行われた状態となっておりました。
ただし、この状態は、通常1分未満の短時間で解除されログアウト状態となりますので、なりすましなどの可能性は非常に低く、現在のところ被害は確認されておりません。
もし、万が一不審な点がおありの場合には、お問い合わせフォームよりお知らせいただきますようお願い申し上げます。
このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけし大変申し訳ございませんでした。
また、ご報告をいただきましたユーザー様、ありがとうございました。
かんたんログインがよりかんたんになりました
本日、ポケットはてな (モバイル版はてな) のかんたんログイン操作の改善を行いました。主な変更点は以下となります。
(1) ログイン操作を快適に行えるよう改善しました
これまでのかんたんログインの流れを見直し、以下の変更を行いました
- ログイン画面を改善し、かんたんログイン操作までの流れを整えました
- かんたんログインを有効にする操作を、パスワードログイン時にチェックボックスで同時に行えるようになりました。(これまではログインした後に Myはてなから設定する必要があり、手順が煩雑でした)
- 各種エラーメッセージなどを改善し、かんたんログインに失敗した場合などの誘導を改善しました
- docomo 端末で、Myメニュー登録なしでかんたんログインが可能になりました。(これまではかんたんログインを利用するのにMyメニュー登録が必要でした)
以上の変更により、かんたんログインを利用するのが容易になりました。どうぞご利用ください。
(2) はてな発行の docomo 端末向けセッションキーのセキュリティレベルの向上を行いました
以前に発生しました、モバイル版のセッションキーの不正利用による不正アクセス (http://d.hatena.ne.jp/hatenamobile/20091001/1254367423) への対策としまして、セッションキーのセキュリティレベル向上を行いました。具体的には、セッションキー付きでアクセスした場合に個体識別番号を参照することで、他の端末からセッションキーを不正利用することができないよう改善を行っています。
(3) ユーザー登録が簡単になりました
モバイル版はてなのユーザー登録フローを見直し、より簡単にご登録いただけるよう改善しました。- ユーザー登録の流れを調整し、説明や必要入力項目の見直しを行っています。
「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告
このたび、一部ユーザー様のブックマークコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスが行われていた事実が判明いたしました。
本件につきまして、ユーザー様に対してご迷惑、ご心配をおかけいたしましたことを、深くお詫び申し上げます。また、改ざんの被害に合われたユーザー様には別途個別にご連絡を行っております。
不正アクセスの詳しい状況につきまして、下記の通りご説明させていただきます。
経緯
この脆弱性は、はてなブックマークの一部ページで DoCoMo 端末向けのセッションキーが意図せず第三者に知られてしまう状態になっていたもので、同じく DoCoMo 端末でこのセッションキーつきのリンクを辿った場合に、本人ではない別のアカウントでログインした状態になる不具合が発生しておりました。
また、この状態を利用し、別のユーザーになりすまし、データを改ざんすることが可能であり、アクセスログを調査したところ、今回、はてなブックマークで被害を受けたアカウントは、本不具合によりアカウントを利用された可能性が高いことが判明しました。
尚、本脆弱性に関する技術的な事項につきましては文末に付記させていただきます。
被害状況
現時点で、ブックマークコメント改ざんのご報告は2件いただいており、それ以外の被害のご報告はいただいておりません。
しかしながら、上記のような脆弱性の状況から、以下の条件を満たすユーザー様が被害にあわれた可能性があります。
また、本件で第三者がなりすまして利用することが可能であった操作は下記の通りです。
- 「ポケットはてな」から利用が可能なサービスの閲覧、編集、投稿、削除
- プライベートモードに設定されている情報も含まれます
- 登録携帯メールアドレスの閲覧、変更
ただし、弊社にてログを調査いたしました結果、第三者がなりすまして携帯メールアドレスの変更を行った事実はないと判断しております。
はてなでは、引き続き、被害状況に関して調査を進めております。恐れ入りますが、上記の条件に該当し、何らかの被害があったと思われる方は、お問い合わせ窓口よりご連絡をいただければ幸いです。その際には、ご利用環境、詳細な被害の状況や被害が発生した時期をお知らせいただきますようお願い申し上げます。
尚、下記のような被害の可能性はないことが確認されておりますので、ご安心ください。
対策状況
本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。
今回の脆弱性については、すでに修正が完了しておりますので、今後は同じ原因での不正アクセスは発生いたしません。さらに、抜本的な対策として、DoCoMo端末の認証のセキュアレベル自体を向上し、万が一、何らかの手段で認証キーが漏れた場合にも、不正アクセスに利用されない仕様を実装いたします。こちらは近日中に対応が完了する予定です。
さらに、今後、社内の開発体制をあらためて見直し、コードレビュー、チェックの徹底といったセキュリティ対策を強化いたします。
本件につきましてご不明の点などがおありの際には、お問い合わせ窓口よりご連絡いただきますよう、お願い申し上げます。
本脆弱性に関する技術的な事項について
本脆弱性に関する経緯のうち、技術的な事項について下記の通りご報告いたします。
はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、DoCoMo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。
このため、DoCoMo 端末でログインした状態で /entrymobile を閲覧した際、キャッシュの有効期限が切れていると、mgw.hatena.ne.jp へのリンクにそのユーザーのセッションキーを含んだ状態でコンテンツがキャッシュされ、その状態で、他のユーザーが同じく DoCoMo 端末でそのページを閲覧し mgw.hatena.ne.jp へのリンクを辿った場合には、キャッシュされたセッションキーを付与された状態で遷移することになり、結果としてキャッシュされた別のユーザーアカウントでログインした状態になっていたものです。
さらに、以降はセッションキーを引き継いで画面遷移が行われるため、別のユーザーでログインしたまま各サービスを利用することが可能であり、悪意有るユーザーが別のアカウントになりすまし、該当ユーザーの各サービスのデータを改ざんできる状態となっておりました。
ただし、なりすまされたアカウントの個人情報、パスワード、クレジットカードなどは別途認証で保護されているため、閲覧は不可能です。
本脆弱性は以下の二点が原因で発生したものです
- はてなブックマークの /entrymobile でのキャッシュ制御処理の不備。URL のクエリパラメータとして付与されるセッションキーをキャッシュしてしまっていた
- セッションキーのセキュリティレベルが低かった
- 具体的には、他の情報を照合するなどしてそのセッションは本人にのみ有効とし、第三者にセッションキーを知られた場合でも被害が出ないような仕様を盛り込むべきだった
現在、前者については改修を終えており同様の不具合による問題は発生しません。後者に関しては、セッションキーのセキュリティレベル向上のための開発を始めており、近日中にシステムの更新を行う予定です。
はてなモバイルゲートウェイの機能改善について
先日機能改善を行いましたはてなモバイルゲートウェイにつきまして、さらなる機能改善を実施いたしましました。
改善された機能は以下となります。
本文抽出フィルターの改善
ページの本文箇所を自動で判断し本文を抽出する機能、本文抽出フィルターの調整を行いました。
今までの抽出フィルターではページ内にある「次ページ」などのナビゲーションリンクも省略されてしまい、ページの移動ができない場合がありましたが、本文以降のコンテンツを省略せずに表示する事でこの問題を回避するよう変更いたしました。
設定の保存
- 画像の表示・非表示
- 本文抽出フィルターのオン・オフ
の状態を保存するように変更いたしました。
この変更により、ブラウザを閉じた後、再度ページをご覧頂いた時にも前回と同じ設定で表示されるようになります。
アクセスキーの追加
頻繁に利用するリンクをアクセスキーに割り当て、利便性を向上しました。
今回は
- 「#」キーでページ下部へジャンプ
- 「5」キーで元のページを変換せずに直接表示
の2つのアクセスキーを追加いたしました。
また、上記の機能を含めました、簡単なご利用の案内をご利用ガイドとして掲載いたしました。
モバイルゲートウェイは PC 向けのサイトをモバイル端末で閲覧できるよう自動で変換するサービスで、はてなブックマークやはてなアンテナからリンクされた PC 向けサイトを閲覧する場合、このモバイルゲートウェイが閲覧中のコンテンツを各端末向けに変換します。(モバイルゲートウェイを利用するのに特に設定などは必要ありません。)
どうぞご利用下さい
イーモバイルの携帯メールアドレスに対応いたしました
はてなで利用できる携帯メールアドレスに、イーモバイルの「@emnet.ne.jp」を追加いたしました。その他の携帯メールアドレスと同様にユーザー登録情報として使用でき、携帯からのメール投稿機能や各種通知メールの送信先として設定することが可能です。
はてなアイデア( idea:20090、idea:19584 )でご要望いただいたユーザーの皆さま、ありがとうございました。