- 2008.04.04 Friday
- セキュリティ関連
緊急警報(殴子スタイル様より)
内容を要約すると、
・FC2ブログを利用していたオーナーが、閉鎖後、アカウントを削除した
・即座に同じアカウント名を何者かが取得
・同じアドレス・同じブログ名で罠エントリーを作られた
※現在、上記の罠エントリーは運営により凍結されてアクセスできなくなっています
という事例があったそうです。つまり、同じアドレス、同じブログ名なのに全て別人が作った罠サイトという恐ろしいことに。引越しされる方も、ブログはパスワードを掛けた状態で(エントリーは全削除しても)アカウントは維持し続けた方がいいかも。
しかしこの手のサービスで、旧ユーザーと同じURLに新規ユーザーが作れちゃう可能性がある仕様があり得ないと思うんだけどなぁ……。
---
■さらに怖い話
ここまで書いて、こんな間抜けな仕様がホントにシステム的にありえるのか?と思って、FC2ブログのアカウントを取得→削除→同じ名前でブログを作れるか試してみたんです。
結論:
現状の仕様では、正規の手続きで、一度ブログを削除すると、即座に同じURLのブログを新規に作成することはできません(ブログIDが同じでサーバー番号が違っても不可)。
※ブログID=http://abcde.blog(サーバー番号).fc2.comの「abcde」の部分
FC2の場合、ブログ利用を申し込むと、自動的に申し込み時のメールアドレスが[FC2 ID]として登録されます(他にもwebとか掲示板とかいろいろ同じIDで管理できる仕組み)。
とりあえず[FC2 ID]を作って、ブログを作って、作ったブログをすぐに削除してみます。削除確認画面に、
と書いてあります。これを確認した上でブログを削除後、
1)ブログを削除して(この状態では[FC2 ID]は残っている)再度同じブログIDでブログサービスを登録しようとするとエラーになる。
2)[FC2 ID]も退会して、再度同じメールアドレスで[FC2 ID]を取得→再度同じブログIDでブログサービスを登録しようとしても、エラーになる。
3)違うメールアドレスで[FC2 ID]を取得→同じブログIDを取得しようとすると、やっぱりエラーになる。
また、ブログサービス利用開始時には[FC2 ID]に登録されているアドレスあてにメールでお知らせがきましたが、ブログ削除時には何の通知もありませんでした(=「やっぱり削除を止める」みたいなやりなおし処置も不可)
まとめると、一度ブログを削除してしまうと、
・[FC2 ID]がそのままでも
・[FC2 ID]削除後同じメールアドレスで[FC2 ID]を再登録しても
・[FC2 ID]削除後、別のメールアドレスで[FC2 ID]を再登録しても
いずれも同じブログIDのブログは作成できませんでした。
つまり、
「自分がブログを削除した後、即座に全く同じURLに別のブログが作られる」
ことは現在の仕様上はあり得ない。
数日経過したら使用可能になる、という仕様かどうかはこれから確認しますが。
さてどうなんだろう。
「ブログ削除後に即座に同じURLでの罠サイト復活」が事実だとすると、可能性としては、[FC2 ID]導入前からFC2ブログを使っていた場合には違う扱い(正規の手続きで削除後、同じブログIDに新しいブログを作れてしまう)というのもありえなくはないのかなとも思います。今回被害に合われた方はかなり古いユーザーさんのようですし。
もしそれがあたってたとしたら、大きな穴だよなぁ……。
もっと怖いのは、そういう特殊な仕様もなかった場合なんですが。
なお、「■さらに怖い話」以降に書いてあることは、すべて「猫の中の人が見聞した事実」と「それにもとづく猫の中の人の推測と感想」です。FC2ブログの仕様やセキュリティホールの存在を技術的に確認したわけではありませんし、確認するだけの知識もありません。FC2ブログサービスの安全性についての判断は、自分自身でお願いします。
■さらに怖い話
ここまで書いて、こんな間抜けな仕様がホントにシステム的にありえるのか?と思って、FC2ブログのアカウントを取得→削除→同じ名前でブログを作れるか試してみたんです。
結論:
現状の仕様では、正規の手続きで、一度ブログを削除すると、即座に同じURLのブログを新規に作成することはできません(ブログIDが同じでサーバー番号が違っても不可)。
※ブログID=http://abcde.blog(サーバー番号).fc2.comの「abcde」の部分
FC2の場合、ブログ利用を申し込むと、自動的に申し込み時のメールアドレスが[FC2 ID]として登録されます(他にもwebとか掲示板とかいろいろ同じIDで管理できる仕組み)。
とりあえず[FC2 ID]を作って、ブログを作って、作ったブログをすぐに削除してみます。削除確認画面に、
※ブログサービスを削除しますと
全てのエントリー、コメント、TB、設定、ファイル、現在のブログが消去されます。
また一度削除したブログIDを再度取得することはできなくなります。
全てのブログデータは再生不可能となりますのでご注意ください。
と書いてあります。これを確認した上でブログを削除後、
1)ブログを削除して(この状態では[FC2 ID]は残っている)再度同じブログIDでブログサービスを登録しようとするとエラーになる。
2)[FC2 ID]も退会して、再度同じメールアドレスで[FC2 ID]を取得→再度同じブログIDでブログサービスを登録しようとしても、エラーになる。
3)違うメールアドレスで[FC2 ID]を取得→同じブログIDを取得しようとすると、やっぱりエラーになる。
また、ブログサービス利用開始時には[FC2 ID]に登録されているアドレスあてにメールでお知らせがきましたが、ブログ削除時には何の通知もありませんでした(=「やっぱり削除を止める」みたいなやりなおし処置も不可)
まとめると、一度ブログを削除してしまうと、
・[FC2 ID]がそのままでも
・[FC2 ID]削除後同じメールアドレスで[FC2 ID]を再登録しても
・[FC2 ID]削除後、別のメールアドレスで[FC2 ID]を再登録しても
いずれも同じブログIDのブログは作成できませんでした。
つまり、
「自分がブログを削除した後、即座に全く同じURLに別のブログが作られる」
ことは現在の仕様上はあり得ない。
数日経過したら使用可能になる、という仕様かどうかはこれから確認しますが。
さてどうなんだろう。
「ブログ削除後に即座に同じURLでの罠サイト復活」が事実だとすると、可能性としては、[FC2 ID]導入前からFC2ブログを使っていた場合には違う扱い(正規の手続きで削除後、同じブログIDに新しいブログを作れてしまう)というのもありえなくはないのかなとも思います。今回被害に合われた方はかなり古いユーザーさんのようですし。
もしそれがあたってたとしたら、大きな穴だよなぁ……。
もっと怖いのは、そういう特殊な仕様もなかった場合なんですが。
なお、「■さらに怖い話」以降に書いてあることは、すべて「猫の中の人が見聞した事実」と「それにもとづく猫の中の人の推測と感想」です。FC2ブログの仕様やセキュリティホールの存在を技術的に確認したわけではありませんし、確認するだけの知識もありません。FC2ブログサービスの安全性についての判断は、自分自身でお願いします。