オンラインYOUのセキュリティ不備を指摘してみた

スタジオYOUってのは同人誌即売会の運営会社としては現状最大手クラスで、年間ののべ動員数としてはコミケをもしのぐと言われてます。小粒のオンリーイベントがメインなので知らない人は知らないというか、コミケほどのメジャー感はないけど。
時勢に漏れず、オンラインのみで申し込みが完結できるという便利な側面もあるんだけど、使ってたらセキュリティ的にイマドキじゃないというかグダグダなことに気がついたので問い合わせをしてみた。


平素、貴サイトおよび貴サービスを利用させて頂いております。

以前から貴サイトのセキュリティに問題を感じておりましたが、改めてご指摘させて頂ければと存じます。

1.「本人情報を確認・変更」のページでパスワードが平文保存されている
当該項目を開くと、設定したパスワードが画面上にそのまま表示されます。これは御社サーバ上に私が入力したパスワードがハッシュ化などをせずに保存されているということを意味すると考えられます。これは万が一、情報流失があった場合は住所氏名などの個人情報とともに、メールアドレスと平文のままのパスワードがそのまま流出する可能性を意味します。
個人的には貴サイトのパスワードは専用のものを設定しているので、流出したとしても他サイトにおけるリスト攻撃などの二次被害は低減されているものと思いますが、他のユーザ様においては他サイトと同一のメールアドレス・パスワードを設定している例も少なく無いと思います。
そういった場合、セキュリティ上の重大事故に繋がるおそれもありますし、近年のセキュリティ意識のトレンドから考えてもパスワードは不可逆ハッシュ化して保存するべきではないかと思います。

2.www.onlineyou.jpの証明書の扱いが不適切
https://www.onlineyou.jp にアクセスするとベリサインのSSL証明書によって認証・暗号化がされていますが、wwwを抜いた https://onlineyou.jp にアクセスをしてみても同じくwww.onlineyou.jpのSSL証明書が設定されており、証明書のエラー(コモンネームが違う)が表示され、エラーを無視してアクセスを続行するとwww.onlineyou.jpにリダイレクトされています。
そもそもエラーが表示される段階で適切ではありませんし、ベリサインのSSL証明書は個々のFQDNに対して発行されるもののため、このような2つのFQDNでの運用をするのであれば2枚の証明書を取得するか、あるいはグローバルサインなどの「デュアルアクセス証明書」を利用すべきと思います。

3.問い合わせフォームがhttpsではない
問い合わせフォームがhttpsではなく平文でのアクセスになっているように見受けられます。また実際に投稿をする際のURLを見るとmail.phpとなっており、担当者宛に内容がメールで送信される実装ではないかと推察されます。www.onlineyou.jpの問い合わせフォームも入力画面はhttpsであるものの、同様のメールで通知される実装ではないかとも推察されます。
つまりyouyou.co.jpでは入力時と貴社担当者への通知時、onlineyou.jpでは貴社担当者への通知時に、入力した個人情報を含む内容が平文で送信されているのではないかと推察されますが、これも安全管理上適切ではないと感じます。

貴社プライバシーポリシーにおいて

個人情報を保護するために、当該情報の不正アクセス、紛失、破壊、改ざん及び漏えい等を防止する適切かつ最善の措置を講じます。

と掲げてはいるものの、上記のようなサイト構築・実装上の不備をいくつか感じてしまったのでご連絡差し上げました。
私としましても貴社主催の即売会に何度かサークル参加させていただいており、このような不安があるままだと貴社サービスを利用するのをためらう面もございますので、ご一考頂ければ幸いです。

もしご返信いただいた場合、差し支えなければ内容を私のブログに掲載したいと考えておりますが、もし問題がございましたらその旨ご記載頂ければ幸いです。


リンクは一部修正してますが、それ以外は原文ママです。多少端折って書いてはいます。どんな反応があるかなという期待も込めて晒してみるテストといったところ。
この辺りはコミケというかcircle.msの方がしっかりしてる印象だなぁ。デフォルトでhttpsだし、あっちはMicrosoftががっつり裏についてAzureでやってるっぽいのに対し、ユウメディアは自社開発っぽくて細かいところまでは気が回ってない印象。
ちなみに今流行のHeartBleedの脆弱性はなかったけど、OpenSSLが1.0.1系じゃないだけかなという穿った見方をしてます。

一番エグいのはパスワードの平文保存かな。問い合わせフォームの非httpsとメール運用は多少議論の余地はあるけど、企業がやってて金も絡む問題はあるのでやはり躊躇うところ。
ユーザー側が自衛できるのはせめてこのサイト専用のランダム文字列パスワードを使うことかしら。あるいはオンライン申し込みをしないで、郵送申し込みをするという荒技も有りっちゃあ有り。面倒臭くなるけど。
あとそういえば決済周りがどうだったかがうろ覚えだな。このノリだとなんかしらありそうな気がするけど、再現するのが面倒くさいのでひとまず保留。

そんなわけで返信が来てOKが出ればそれも晒してみようかと思います。

あ、ちなみに何で気がついたのかというと、5月6日の「レインボーフレーバー10」にサークル参加してたりします。F31,32に配置されてるのでお暇なら是非。

コメント

タイトルとURLをコピーしました