第8回 メールアドレスの登録チェックが、余計なお世話に？

杉山 俊春
三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
2006/7/22

（Illustrated by はるぷ）

---

星野君の会社のWebで公開していたHTMLファイルがすべて消されてしまった。調査の結果、かつてOSコマンドインジェクションの脆弱性を持ったアプリケーションを公開していたことが分かった。すでにリンクされていなかったのだが、検索エンジンのキャッシュに残っていたようだ。 そんな星野君の活躍（？）もあって、組織が変更されることになった……。

赤坂さん	「今日、お客さんから頼まれてる仕事やるけど、一緒にやってみる？？」
星野君	「あ、はいっ！ やります！」

　星野君の会社では7月に人事異動が行われた。その結果、星野君は、いままでいた7階のWeb担当チームから6階の技術担当で新設されたセキュリティグループへと移ることになった。とはいっても、星野君がWeb担当で行っていた仕事をセキュリティグループで行うという形になっただけで、仕事の内容がまったく変わるというわけではなかった。

高橋さん	「あ、赤坂さん。それ、始めるのもうちょっと待ってね。お客さんからの連絡待ちになってるから」
赤坂さん	「はーい」

　セキュリティグループは、高橋さんがリーダーでほかに数名という小さなグループだ。その中に赤坂さんもいる。

　Web担当にいたころもうすうす気付いてはいたが、高橋さんがほとんど席にいなかったのは主に技術担当のフロアで仕事をしていたからだったようだ。さすがに星野君も1日の大半の時間を喫煙所で過ごしているといううわさはおかしいと思っていた。事実、技術部門へ席が移った7月からはちゃんと席にいる（たまにいなくなるけど）。星野君は、1つ謎が解け、とても満足していた。

　脆弱性はなかったと思ったのに

高橋さん	「オッケー。お客さん側、準備できてるってさ」
赤坂さん	「じゃ、始めますねー」

　この日の仕事は、別の件でお世話になっているお客さんから頼まれた仕事で、できる範囲でいいので公開前のWebアプリケーションを検査してもらいたいというものだ。なぜかは星野君には分からないが、時々こういった依頼があり、赤坂さんや高橋さんが対応をしているようだ。

赤坂さん	「星野君。私がメインでやるから、星野君は並行してやってね。私が見つけた脆弱性と同じものを全部見つけられるように頑張ってー」
星野君	「全部……！ 頑張ります！」

　今回星野君が検査をするWebアプリケーションは、会員登録からログイン、登録情報の変更などができる小規模なショッピングサイトのようなものだ。星野君は一通り巡回してみた。巡回する分には大変ではないが、それぞれの機能を細かく見るとなるとどれくらい時間がかかるか見当がつかなかった。

星野君	「これ、けっこう時間かかりそうですね……」
赤坂さん	「んー……。もらってる時間2日しかないからこれ全部見るの難しいね。星野君は会員登録の部分だけでいいよ」
星野君	「あ、よかった。それくらいなら何とかできそうです」

　「赤坂さんよりもいろいろ見つけなきゃ！」と意気込んで検査を始めた星野君であったが、特におかしな挙動をする個所は見当たらなかった。Webブラウザから直接入力できる個所はもちろん、チェックボックスやhiddenフィールドなどの見落としがちな部分もちゃんと処理されているようだ。

　このWebアプリケーションは、一度会員登録をすると同じメールアドレスの登録ができないようになっている。そのため、星野君は、自分のメールアドレスを何度も登録しては退会してという面倒な作業をひたすら繰り返した。

　そうこうしているうちに時間が過ぎ、1日目が終わってしまった。

赤坂さん	「今日はここらへんで終わり！ また明日続きやろ」
星野君	「あ、もう終わりの時間なんですね……」
赤坂さん	「何か見つけた？？」
星野君	「いや……、何も……」
赤坂さん	「えー。ダメなところあるのにー」
星野君	「赤坂さんは何か見つけたんすね。さすが……」
赤坂さん	「まあ、明日もあるから頑張って」

1/4

Index
メールアドレスの登録チェックが、余計なお世話に？
	Page1 脆弱性はなかったと思ったのに
	Page2 メールアドレスを重複して登録できないってことは
	Page3 重複させたくなければ、重複を許容すればいい？
	Page4 不必要情報よりも、もっと危険な……

星野君のWebアプリほのぼの改造計画　連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）