_ [システム運用] ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕@INTERNET Watch

情報漏洩に至った CGI の脆弱性がどのようなものであったか調べてみた。具体的な仕組みが正確にわかる資料は見つからなかったが、各サイトの記述から大まかな仕組みを推測できた。

まず ITmedia によると、

質問フォームで利用していたCGIプログラムの作りが安易だったため、ある程度CGIに関する知識を持った人間ならば、特定の文字列を入力することで、先にフォームから入力された相談内容のほか、相談者の氏名、住所、電話番号といったセンシティブな個人情報を入手できる状態となっていた。

[ACCS、個人情報流出事件を総括した報告書を公開@ITmediaより引用]

また slashdot によると、

エラー用のページ指定がINPUT要素に存在してあり、そのページ先を変更することによりcgiのソースを引っ張ってこれるようになっていた

[ACCSの著作権・プライバシー相談室から個人情報流出@/.Jより引用]

以上から推測するに、CGI に特定のパラメータを引き渡すことによって、サーバ内の任意のファイルの内容を表示できるような状態になっており、また、そのパラメータが何で、どのような内容を引き渡せば良いかは、当該のページの HTML ソースを見ればすぐにわかるようになっていたと推測される。

今回の容疑者は、この仕組みを利用し、

1. まず CGI 自身のソースプログラムをダウンロード
2. ソースプログラムに記述されているデータファイルをダウンロード

したものと思われる。(簡単な例が slashdot にもあった)

今回の脆弱性とやらは、どうもサーバ上のファイル名を指定するようなパラメータがあり、それをノーチェックで通すような仕組みになっていたということのようだ。

なお、不正アクセス行為の禁止等に関する法律では、第3条(不正アクセス行為の禁止)にて、ID とパスワードで保護された領域に、他人の ID を利用してアクセスしたり、その他の迂回方法を用いてアクセスすることを禁止しているが、今回の件は、「家に鍵はかかっているが、大事な通帳が実は鍵のかかっていないポストに置いてあり、しかも「通帳はポストの中」と玄関の隅に書いてある家」というレベルの初歩的で杜撰な脆弱性であり、このような物を不正アクセスと見なせるのか疑問。第4条(不正アクセス行為を助長する行為の禁止)に該当するかとも思ったが、第4条では脆弱性の突き方を他人に教えることは禁止してないので非該当のようだ。寧ろ、第5条(アクセス管理者による防御措置)を適切に行っていない管理者の方もどうかと思われ…。

関連リンク

• ACCSのWebサイトに個人情報の漏えいにつながるセキュリティホール@INTERNET Watch
• ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕@INTERNET Watch
• ACCS、個人情報流出事件を総括した報告書を公開@ITmedia
• ACCSの著作権・プライバシー相談室から個人情報流出@/.J
• ACCS事件でoffice氏逮捕@/.J
• ファースト鯖 (152-154)@2chレンタルサーバ
• セキュリティホール memo - 2003.11
• 朝日新聞等で報道された「国立大研究員が個人情報を公表」という事件に関するアンケート結果を発表＜その１＞@ネット・セキュリティ
• 不正アクセス行為の禁止等に関する法律@総務省