ハンゲにログインしてみたら友達がみんながハンゲ王についてのブログを書いてる??
思った以上に効果がありすぎて3時間しかやらなかったので見なかった人も多いでしょう。
この現象をわかりやすく言うと、上のURLを開いた瞬間に自分のブログとイマピコに
ハンゲ王あしょかん様万歳!
詳細はこちら
http://hange.info/csrf.html
みんなみてね~
と書き込まれてしまうというものです。
すると自分の友達がまたそのブログを見てURLを開いてしまい……
この書き込みは一種のウィルスのように際限なくハンゲームに広がっていくのです。
その結果、たった三時間で こう なりました。
日記を消した人が多いので、実際はこの何倍もあったはずです。
これはパスワードを抜いたのではなくCSRFという一種のバグを利用した方法です。
ブログやイマピコに書き込むときのコマンドなどを皆さん自身に真似させることで、
実際に書き込んでしまうという手法になります。
ブログやイマピコの書き込み程度なら気持ちが悪いだけで済むでしょう。
しかし、実はこのCSRFを使うと大体のことができてしまうのです。
たとえば、アイテムを勝手にプレゼントしたり、パスワードを自動的に変更したり……
こう言われればこれがどれだけ重大な問題なのかお分かりになるでしょう。
CSRFというのは実はそれほど難しい攻撃手段ではありません。
ハンゲーム側が気をつけてさえいれば、このような問題が起きるはずもないのです。
CSRF以外にも、XSS、SQLインジェクションなど、攻撃手法は様々あります。
この中で最も初歩的なCSRFですらこれだけ簡単にできてしまう状況で、
しかも3時間が経過してもハンゲームはまともな対策の一つもできなかったのです。
今回の件でも、もし私がその気であれば数千人単位のIDを盗めていたかもしれません。
SQLインジェクションなどを組み合わせれば、
ハンゲームのユーザー全員のパスワードを盗むことですら不可能とは言い切れません。
10周年イベントを間近に控え、セキュリティ強化キャンペーンなどをやりながらも、
こんな基本的なセキュリティホールを当たり前のように残しているハンゲームに、
" 次はもっと大変なことになるかもしれないよ " と警鐘を鳴らしたかったのです。
ハンゲーム利用者の皆さんも、ただブログを消せば解決するというものでもありません。
それは、私程度の技術力の人間でもその気にさえなれば、
皆さんの大切なパスワードを簡単に盗めるのだという現実から目を背けているだけです。
いざとなったら警察に行けば大丈夫?
いえいえ、ネットゲームなどの大規模ハッキングは主に中国などの海外から行われます。
つまり、日本の警察では全く手出しができないのです。
今のハンゲームのセキュリティではパスワードなんてあって無いようなものです。
さらなるセキュリティの向上のため、皆さんも積極的に意見を送りましょう。
2010.10.30 あしょかん