Top > RO全般 > 「IPAから脆弱性対応完了のメールが届く」

2008.12.12

IPAから脆弱性対応完了のメールが届く

 10月8日に「CSRFとは別な脆弱性を発見してIPAに報告」した、ガンホーゲームズの脆弱性。
 IPA(情報処理推進機構) セキュリティセンターから、ガンホーが対策を完了したとの報告がありました。
IPA セキュリティセンターです。

ガンホーゲームズの件につきまして、ウェブサイト運営者より、届出い
ただきました脆弱性に対する対応が完了したとの報告がありましたので
ご連絡いたします。

 対策が終わったとのことなので、どのような脆弱性があったのか記事にしたいと思います。
 
 この脆弱性は「セッション管理」、ガンホーIDとパスワードを入力後のログイン状態管理の脆弱性です。

 ガンホーゲームズを利用する(ROにログオンする)時には、ガンホーIDとパスワードを入力します。
 すると、ブラウザに「cookie」を発行し「ログオンが成功したよ」という資格情報を保存します。
 この情報を利用して、ガンホーゲームズ内で移動をしても、ログイン状態を保てる仕組みです。

 ログアウトボタン、若しくはブラウザを終了すると「cookie」は破棄され、ログイン状態も破棄されます。
 そのため、再度ログオンするためにはIDとPASSの入力が必要となります。これが通常の方法です。

 今回の脆弱性は、この「cookie」を含むいくつかの情報を「とある方法」で送信すると、ログオン出来るものです。
 ユーザーがログアウトボタンを押した後も、何らかの方法で情報を保存しておけば、第三者がログオン可能でした。
 つまり「ログアウトを押しても、ログオン時の資格情報は有効だった」ということです。
 
 本来であれば、ログアウト時にはサーバー側でも資格情報を破棄し、ログオン出来なくしなくてはいけません。

 また、ガンホーIDのPASSを変更した場合も、変更前の「cookie」を含む情報を送信することでログイン出来ました。
 (つまり、一度流出するとガンホーIDのPASSを変更しても、流出した情報でログイン可能なため、変更は無意味)

 通常の方法では「cookie」を含む情報を第三者が入手することは出来ません。
 ウイルス等にパソコンが汚染されており、この情報を流出させた場合に初めて影響する脆弱性です。
 
 外出先等で感染したパソコンより情報が流出した場合、ユーザー側では対策の方法が無い脆弱性でした。
 このため、ガンホーとIPAに報告したのですが、対策されて嬉しく思っています。

 極めて限定された方法とはいえ
 「出先のパソコンが汚染されてた場合、情報が流出しこの方法を利用されると打つ手なし」 
 というのは、なかなかに困った問題だったので。

 今回の脆弱性は、外出先から安全にログオンする方法を考え、プログラムを作成してて発見しました。
 今後、再度検証してみますが、携帯電話を利用した安全なログイン方法を検討したいと思います。

 現在、ワンタイムパスワードを利用しているのですから、本当はガンホーに対応してほしいのですが。
 どうでしょう? 外出先からの安全なログオンというのは、需要もありますしイメージアップにつながりますよ?


 蛇足

 手法を詳しく書いていないのは、同様の脆弱性を持つゲームが他にもある可能性が高いためです。
 もしご覧になっている他ゲームの管理者さんがいましたら、確認することをおすすめします。

関連記事

Trackback URL


Comments

これが噂の脆弱性か。
対応に結構時間かかったねぇ。
最近のメンテと何か関係あるのかしらん?
単に技術力に乏しいだけ

Comment form