電脳ショッピングカートにも“どこでもドア”

 ★阿修羅♪   
[ フォローアップ ] [ フォローアップを投稿 ] [ ★阿修羅♪ Ψ空耳の丘Ψ6 ] [ FAQ ]

 
投稿者 ワイヤードニュースから転載 日時 2000 年 4 月 29 日 05:09:12:

回答先: MS社製ソフトに“のぞき穴パスワード”、同社ついに認める 投稿者 佐藤雅彦 日時 2000 年 4 月 15 日 03:47:53:

●やあみんな。ぼ〜く、ドラエモン。
最近のびたくんが、インターネットづいちゃって、ちょっと大変なんだぁ。
ほかのお友だちのクレジットカードの中身が見たいよ見たいよって言うもんだから、
ぼ〜く、いろいろなソフトに“どこでもドア”をつくっちゃいましたぁ〜。
立花隆センセイも、「インターネットはどこでもドア」とか言っていたでしょ。
「どこでもドア」って、ホントはこういうことだったんだぁ。
ところで、ぼ〜くときどき、女子中学生なみにアタマ悪〜い人間たちを
だますために、ぬいぐるみをかぶってるんだ〜。
ぬいぐるみといっても、リスやウマじゃないよ〜。
汚な〜くてデブのオヤジで、そうそう僕の原作者がオバQに登場させた
ラーメン好きの小池さんみたいなモジャモジャ頭なんだ〜。
この変装で、畜死テツヤのニュース番組にでて、ジジいぶって対談ごっこして、
のびたくん対策の日頃のうっぷんをはらしているんだ〜。
 ペク遠山のキンさんじゃないよ〜。立花隆って、ぼ〜くが変装してるんだ〜。
 
★  ★  ★  ★  ★  ★  ★  ★  ★  ★

クレジットカード番号を暴露する裏口が発見される
Declan McCullagh

2000年4月27日 8:00am PDT  複数の電子商取引ウェブサイトに保存されている多数のクレジットカード番号を、サイトの裏口(バックドア)に通じるパスワードを使えば誰でも盗み出せることが明らかになった。発見したのは、英国のコンサルティング会社だ。

 サーベラス・インフォメーション・セキュリティー社は27日(米国時間)、『カート32』というショッピングカート・ソフトウェアを使っているウェブサイトに侵入し、そのサーバーにアクセスできる秘密のパスワードを発見したと発表した。

 カート32を販売している米マクマートリー=ウィテイカー社(本社ミズーリ州スプリングフィールド)は、裏口の存在を認めた。この裏口を使えば、クレジットカード番号や注文情報、配達先の住所などといったデータを入手できる。同社は、来週中に同プログラムの修正版を配布するという。

 カート32は、ウィンドウズ95およびウィンドウズNTベースのマシンで動くもので、多数の中小規模サイトによって採用されている。『ジャズワールド・コム』、『ミュージックワールドCD』、『コンピューターショップ・コム』、『ワイヤレストイズ・コム』、『チョコレートボールト・コム』などだ。

 マクマートリー社の技術サポート担当者であるマット・ヒュームズ氏は、「われわれはすでに裏口の存在を知らされている」と語った。

 当面、カート32を利用するサイト管理者が問題のセキュリティーホールを閉じるには、実行ファイルを編集し、手動でパスワードを削除する方法しかない。「5月1日か2日までには、はるかに簡単な修正方法を提供し、同ソフトを100%安全なものにできるだろう」とヒュームズ氏は言う。

 米アマゾン・コム社や米CDナウ社など大きな企業では、自社専用のショッピングカート・ソフトを用いる傾向がある。一方、小企業は、カート32のほか、競合するオーストラリアのウェブジーニー・ソフトウェア社の製品や、米オープン・マーケット社の『ショップサイト』、米マーキャンテック社の『ソフトカート』などといった既存のソフトを利用しているところが多い。

 カート32のパスワードは、マクマートリー社に悪意のある従業員がいて、その人物がクレジットカード番号を盗み出す目的で挿入した可能性もあるが、同社の技術サポートスタッフが、顧客のトラブルを遠隔修正できるよう故意に入れておいたとも考えられる。

 マクマートリー社によれば、今回発見されたセキュリティーホールはカート32の今までのバージョンに存在しているもので、最低でも過去1年間は、パスワードを知っている人間なら誰でもサイトの個人情報を入手できる状態になっていたという。

 サーベラス社のデビッド・リッチフィールド氏は26日夜、たまたま見たバナー広告でカート32を入手し、そこで同製品に脆弱性がないか探ってみることにしたと語る。

 「弟と私とで2時間ほど調べてみた(ところ、裏口が見つかった)。本当に驚いてしまった」

 リッチフィールド氏率いる社員8名のセキュリティー・コンサルティング会社、サーベラス社は今年すでに8件のセキュリティー報告を行なったという。今回の問題については、同社はことの重大さを考慮して、パスワードの公開に踏み切っている。

 侵入者が顧客ファイルを入手するには、パスワードを使ってショッピングカート・ソフトに変更を加え、ユーザーがサイトに接続したら情報を漏らすように設定すればよい。サーベラス社はまた、カート32の管理用パスワードを、元のパスワードを知らなくても変更できる方法も突き止めたという。

 リッチフィールド氏はさらに、同プログラムの設計者に関する妙な情報が、カート32の実行ファイル(700KB)に埋め込まれているのを発見した。例えば、「私の名は/ブライアン・L・ウィテイカー/私の妻は/メリッサ・K・ウィテイカーそして(私たちの子供は)ケイリー」といった具合だ。

 ある専門家は、マクマートリー社のバグ修正はあまりに遅すぎると非難している。

 「同社が来週の5月2日や3日まで問題の修正を待つつもりだとすれば、それは非常にまずい。ほうっておけばこの週末に何が起こるかくらい、誰でもわかることだ」。『ウィン2K・セキュリティー・アドバイス』サイトの管理者、スティーブ・マンズイック氏はこのように述べ、悪質なハッカー攻撃への懸念を表明した。
     
      [日本語版:高橋朋子/岩坂 彰]



フォローアップ:


  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。