Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OCNで他利用者のメールパスワードを変更できる不具合、メール受信も可能に

NTTコミュニケーションズの顧客向けサイト「OCNマイページ」において、利用者本人とは関係ない他利用者により、メールアカウントのパスワードが変更できる不具合が生じていたことがわかった。

2011年10月17日から2012年2月3日にかけて、顧客向けサイト「OCNマイページ」の「メールパスワードの変更ページ」に不具合があったもの。

「OCNマイページ」では、メールアカウントのパスワードを変更する際、利用者がメールアドレスと仮パスワードを申請、届いたメールのURLから仮パスワードを利用して再度ログインするしくみを採用している。

同社によれば、問題のシステムでは、仮パスワードと発行に用いたメールアドレスが関連付けされておらず、仮パスワードとほかの顧客が利用するメールアドレスでログインし、パスワードを変更することが可能だったという。

パスワードが別の顧客により変更されたケースは236件。パスワードを変更された場合、本来の利用者がメールを受信できなくなるほか、変更側がメールアドレスとパスワードを用いて他ユーザー宛のメールを受信できる状態だった。

今回の不具合で、117件については顧客が再設定を行い、ほかのケースについては同社が変更して対応した。同社では関連する顧客に対して事情を説明して、謝罪。不具合があったシステムについても修正を行っている。

(Security NEXT - 2012/02/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

ソフトバンク携帯電話、4時間半にわたり障害 - 原因は証明書の期限切れ
迷惑メールフィルタの不具合で受信メール約1030万件が消失 - ソフトバンク
慶大、AO入試出願者の関連書類を誤表示 - システム不具合で
予約顧客宛の自動送信メールが他顧客に誤送信 - チョイスホテルズジャパン
会員の個人情報がネット上で閲覧可能に - 輸入家電販売サイト
特典付きCDの通販サイトで不具合 - 第三者による顧客情報閲覧のおそれ
スレーブの「BIND 9」、特定環境下で不具合 - 信頼できないゾーンの取扱時に影響
みずほ証券でシステム障害、オンライン取引やATM入出金に影響
「投稿を表示する相手」の選択肢設定に一時不具合 - Facebook
LINEで他ユーザーのタイムラインが表示される不具合 - 外部CDNの設定ミスで