2005年05月29日

今時ありえないセキュリティ問題―おいおい、それはないだろう!?

当ブログではブログの運営上でぶつかったセキュリティの問題は基本的に全て取り上げることにしている。
今回はちょっと今時信じられないようなセキュリティ問題にぶつかったので最優先で取り上げることにした。
ついでに新しくセキュリティカテゴリも作成。
なんか最近セキュリティ問題にぶち当たるケースが増えているな。
普通にブログをしているだけだと言うのにどうなってるんだ一体。 
 
 
当ブログでは見ていただければ分かるように忍者アクセス解析を利用している。
このアクセス解析ツールはブログ訪問者のIPの他、リファラーやユーザーエージェントの情報を記録しているのだが、ついさっきどこぞの大学のウェブメールからのアクセスがあった。

たまたまアクセス解析のログを見ていて何気なくそのメールのURLをクリックしたのだが
なんとびっくり、メールボックスの中に入れてしまった。
当然メールは見放題。セキュリティもプライバシーもあったもんじゃない。
こんなザルなセキュリティって今時ありえなくないか?
何で外部からこうも簡単にメールが覗けるんだ???

どうやらこのメールシステムでURLのやりとりをして、
そこからうちのブログに直接飛んできたためにメールのURLが丸見えになったらしい。
こうやってメールから直接飛んでくるお客さんは時々いるが、中身が見えたのは初めてだ。

つまりこのウェブメールは外部からのアクセスと言う問題をまるっきり認識していないと。
それ以前にIPやCookieによるアクセス制御すらまったく行っていないと言う事か。
(このお客さんと私はプロバイダもIPもまったく違うのでそうとしか思えない)


…ちょっとあまりにあきれて口が塞がらない。
というかマジで恐ろしい。
この大学のセキュリティ意識はどうなってるんだ?
どうしようもないので大学名を晒しておく。
この問題を抱えている大学は、大阪経済法科大学だ。

使っているメールシステムはIMailというシステム。IpsWitch.comという会社の製品。
この大学ではV6.00を使っているようだが、検索に掛けてみたら教育機関で同じシステムを使っているところが次々と引っかかってきた
おまけにセキュリティ系の情報を調べてみたらセキュリティホールの情報が山ほど引っかかるじゃないか…
現在v8まで出ていてしかもセキュリティホールが日々報告されてるってのにアップデートどころかパッチすら当てていないということか?
それ以前に外部からの直URLアクセスでメールボックスに入れること自体がありえないんだが。
例えば悪意ある第三者が○○すると、メールボックスの中身が簡単に外部に漏れてしまう。


あまりに問題がでかいので、どうしたものかちょっと考えがまとまりません。
どなたかいい考えがあれば教えて下さい。
それと自分の使っているウェブメールがIMailの人はご注意ください。


とりあえず大学側には警告メール送らなきゃな…
文面考えないと。


<追記>5/29 23:30
特に大学側から連絡は無いのですが、とりあえず問題のメールボックスには入れなくなった模様。
問題点は修正された?
結局原因はウェブメールシステムの設定ミスか何かかな?

<追記2>
該当大学からお越しのお客様へ
よろしければどこでこの記事のことを知ったかコメント欄で教えていただけないでしょうか?
posted by 黒影 at 01:52| Comment(8) | TrackBack(2) | セキュリティ・バグ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
やべえ!やばすぎる!
URLでアクセス制御ってことは、リンククリックしたら不正アクセスあつかいされかねない。

というわけで、大学に連絡すると不正アクセス防止法違反で告発される可能性もあるのでご注意w
Posted by at 2005年05月29日 01:58
未だに開いた口が塞がらない黒影です。

>大学に連絡すると不正アクセス防止法違反で告発される可能性もあるのでご注意w
直リンクでアクセスできるようなページが不正アクセス禁止法の定める保護された領域に含まれるはずもなく、それはあまり心配していません。
というか変なことを言ってくるようなら切って捨てるだけです。
Posted by 黒影 at 2005年05月29日 02:18
まあ、そんなものではないでしょうかね。
大学と言っても、すべてがすべてきちんとセキュリティを理解して設定している訳ではありませんし、学生だけが行っていたり、指導する側にまだそういう知識が欠けていたりします。
以前、あるみかんで有名な○○県のWEBを見ていてFTPサーバーをチェックしてみると、anonimousで接続できるので、注意しに行ったのですが、聞く耳を持たず(自分たちは完璧と思いこんでいる)3回目に目の前でアクセスを実演して、「これで画像を入れ替えたらクラック完了ですよ・・・」と具体的に示して初めて事の重大性に気付いたのです。
それが、ITの管理部門ですからね。
大学もずいぶんと訪問させてもらって実態を見てきましたからよく分かったのですが、youzoが指摘するようなことは、今後も発生するでしょう。
子供に拳銃を持たせているようなものかなあ??例えが悪いか
Posted by hunter at 2005年05月31日 06:33
今IP変えています・・・と言うようなことも知らないのかなあ??
今の時代、一般ユーザーでも、インターネットセキュリティなどでメール、WEBなどアクセスの度に関所がチェックしているのになあ・・・
Posted by hunter at 2005年05月31日 06:41
どうやら昨日からメールサーバーを落としているようですね。
対策の最中なのかな?
Posted by 黒影 at 2005年05月31日 08:07
>hunterさん
以前の熊本大のケースもそんな感じだったんでしょうか?
http://kurokage.seesaa.net/article/2968607.html
地方大だとまだまだセキュリティが低いところが多いようですね。
Posted by 黒影 at 2005年06月01日 19:11
対象を明らかにして不正アクセス方法を晒すこと自体ヤバイんですけど・・・
不正アクセス防止法、第4条読んでみそ
Posted by 通りすがりの人 at 2005年08月28日 03:44
>通りすがりの人さん
なぜ4条?別にパスを割って晒したとかいう訳では無いんですけど。

>第四条
>何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

むしろここは3条の2辺りがグレーゾーンになるかと

>二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

いずれにせよ、URLを入力するだけでアクセスできるようなメールボックスを果たして「アクセス制御された」領域と言えるのかどうかが問題な訳でして。
私は「それはアクセス制御がかかっているとは言えない」という考えです。
サイトによってはリファラは自動的に公開される仕様になってますからね。

ちなみにこの記事を書いたその日のうちに対処されているので、現在ではもうこのセキュリティホールはありません。
ちょっと前に大学からセキュリティホールを知らせたことへのお礼のメールが来てました。
Posted by 黒影 at 2005年08月28日 12:12
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック

ACCS東京地裁判決の具体的不当性
Excerpt:  私のブログにもトラックバックしてくれている「幻影随想 別館」を覗いてみて、「今...
Weblog: 今日のスナップ
Tracked: 2005-05-29 21:49

その後の展開
Excerpt: 某大学のメールシステムの問題だが、 その後トップページに気になる一文が追加されている。
Weblog: 幻影随想 別館
Tracked: 2005-06-01 19:02