M.C.P.C. (Mamesibori Creation Plus Communication)

印刷屋から五反田のWeb屋に転職したCLのブログです。

アドビフォーラムに存在した「本名がバレる」ウェブアプリケーション脆弱性について

Adobe セキュリティ

アドビシステムが提供するユーザコミュニティサイト・アドビフォーラムに存在した、「利用者の本名が、利用者の意図しないところで第三者に知られてしまうという不具合」が、2016年2月4日に修正されました。

不具合の内容

アドビフォーラムのスレッドを閲覧、特定操作で表示される影響評価指標で、そのスレッドを過去に閲覧した多数のユーザの「本名」が表示される。

下図は、事象発生中の第三者へ本名が開示されてしまう様子を再現したものです(実際には、多数の方の本名が表示されておりましたので、スクリーンショットはとらず、再現画像として用意しました)。

f:id:C_L:20160208144116p:plain

本名だけでなく、顔アイコンまで一緒に表示されていました。よって、Web世界で活動が広く知られているユーザであれば、顔アイコンでWebでの人格と本名が紐づけできるため、人によっては大変困ったことになっていました(いわゆるリアル割れ・リアルバレの恐れがあった)。

対応

アドビフォーラムには、要望を書けるフォーラムがあるのですが、不具合の修正前に書き込みが公開されてしまうため、悪用の恐れがありました。そこで、IPA独立行政法人情報処理推進機構)あてに、ウェブアプリケーションの脆弱性関連情報として届出しました。

  • 2016/01/08 申請・届出情報受信
  • 2016/01/14 届出情報受理
  • 2016/02/01 取り扱い開始
  • 2016/02/04 修正完了

なお、ウェブアプリケーションの脆弱性関連情報の場合、修正をもって取扱いが終了となり、IPAとしては特に開示をしないとのことです。また、脆弱性関連情報を公表するかどうかはウェブサイト運営者に委ねられているとしており、Adobe Systemsでは、

Security Bulletins and Advisories

にてアドビ製品全般の「セキュリティ」に関する開示をするとのことなので、参考までに上記リンクを提示しておきます。

感想

IPAから英語でAdobe Systemsに不具合の報告が伝えられ、2/1~2/4の間に修正していただけました。Adobe Systemsと、IPAの担当の方には迅速な対応をしていただけました。

ネット上で本名がほかの人に知られてしまうことに対するリスクは人により違いますので感想は差し控えますが、アドビフォーラムのウェブアプリケーションとしての不具合に関しては今後も真摯に対応をしていただけそうだし、私もアドビ製品のユーザとして、より安心して製品が利用できるようになりました。

補足

問題が解決したので、公開しても差し支えないと判断し、今回IPAに申請したアドビフォーラムのウェブアプリケーション脆弱性の指摘報告の一部を公開しておきます。

 2. 脆弱性関連情報
 
   1) 脆弱性を確認したウェブサイトのURL
      アドビフォーラム
      https://forums.adobe.com/thread/1969854
      (トップページ: https://forums.adobe.com/welcome)
 
   2) 脆弱性の種類
      利用者の意図しない個人情報の漏洩
 
   3) 脆弱性の発見に至った経緯
         当該ページ(https://forums.adobe.com/thread/1969854)にて、
         右ペインの「影響評価指標」の下部の「もっと表示」リンクをクリック
         すると表示されるグラフ下部の閲覧者欄に、ウェブアプリケーション
         設定に関係なく、本名が表示されます。
         ソーシャルネットワークサイトのmixiなどで実装されている「あしあと」
         に近い機能です。
 
   4) 脆弱性であると判断した理由
         当該サイトでユーザ登録時に名前(必須)・苗字(必須)・ユーザ
         名(任意)を登録する仕組みになっています。その後、各ユーザの
         設定ページの「プライバシー」で公開範囲を変更できる仕組みです
         が、本名の公開範囲を「本人のみ」に制限したのに、ログアウト後
         当該ページににアクセス後3)に示した操作をすることで、私の本名
         が表示されます。
         私の個人的な知り合いの方の本名も表示されていたので、連絡を
         取ったのですが、本名を公開設定にはしていないとのことでした。
 
   5) 脆弱性により発生しうる脅威
      (1)当該ウェブサービス提供者は製品利用の利便のためのコミュ
         ニケーションサイトとして運営しているので、提供者は提供
         が販売する製品利用者に対し悪意なく利用者登録を促す
      (2)利用者は、自分の本名が公開されると知らずサービスへ
         利用者登録する。
      (3)利用者が当該ウェブサービス内のコンテンツを閲覧すること
         で、当該コンテンツへのアクセス履歴(mixiのあしあと機能
         みたいな状態で)が記録される
      (4)利用者以外の第三者が秘匿されていない特定手順の操作をす
         ることにより、そのコンテンツ閲覧者の本名が知られてしまう
 
      第三者の操作(悪意ある場合・もしくは過失)によって、下記のような
      被害が発生する可能性があります。
      
        ・個人情報(本名)の漏洩
          本名を秘匿にしておきたい利用者にとって、意図せずに本名
          が漏洩しつづけます。