はてなブックマークのモバイル版に脆弱性、コメント改ざん被害も

　はてなは1日、「はてなブックマーク モバイル版」に脆弱性があり、この脆弱性を利用した不正アクセスが行われていた事実が判明したとして、事態を公表した。

　はてなによると、一部ユーザーのブックマークコメントが改ざんされたとの報告があったことから、調査をしたところ「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスが行われていたことが判明したという。

　脆弱性は、はてなブックマークの一部ページで、NTTドコモ端末向けのセッションキーが意図せず第三者に知られてしまう状態となっていたもの。NTTドコモ端末でこのセッションキー付きのリンクをたどった場合に、本人でない別のアカウントでログインした状態になる不具合が生じており、これにより別のユーザーになりすまし、データを改ざんされた可能性が高いとしている。

　現時点で、ブックマークコメント改ざんは2件の報告を受けているが、2009年5月28日～9月28日の間にNTTドコモの端末から「はてなブックマーク モバイル版」にアクセスし、ログインした状態でエントリーページを閲覧したユーザーは、被害に遭った可能性があるという。

　第三者がなりすましにより利用可能となっていたのは、「ポケットはてな」から利用が可能なサービスの閲覧・編集・投稿・削除と、登録携帯メールアドレスの閲覧・変更の各操作。はてなの調査では、なりすましにより第三者が登録携帯メールアドレスの変更を行った事実は無いという。また、パスワードや氏名などの情報の閲覧や、有料サービスの申し込み、退会、サブアカウントの作成、ウイルス感染による二次被害などの可能性は無いとしている。

　はてなでは、この件は不正アクセス禁止法違反などに該当するため、所轄の警察署ならびに情報処理推進機構（IPA）に届出をすると説明。今回の脆弱性については既に修正が完了しているが、抜本的な対策としてNTTドコモ端末の認証のセキュアレベル自体を向上し、何らかの手段で認証キーが漏れた場合にも不正アクセスに利用されない仕様を近日中に実装するとしている。また、今後は社内の開発体制を見直し、コードレビュー、チェックの徹底といったセキュリティ対策を強化する。