ユカタンは「現在は問題ない」と言うけれど
昨年4月の騒ぎの後にも、はまちちゃんはmixiのCSRF脆弱性を少なくとも4回は見つけています。新着日記が「ぼくはまちちゃん!」で埋まり、誰もが狂ったように「こんにちはこんにちは!」「こんにちはこんにちは!」と挨拶しまくる風景は、はまちちゃんのマイミクにとっては日常的なものです。
彼女は別にセキュリティの専門家ではなく、ごく普通のニート系女子です。そのたった一人にこれだけの脆弱性が見つけられてしまうmixiは、まぁ、あんまり堅牢な作りではないだろうと思われます。
現時点で1つの脆弱性も残されていないとは思えないのです。
日記が勝手に書かれるだけなら実害はありませんが、もし、強い悪意を持つ人が脆弱性を見つけたら、例えば次のような攻撃を行うかもしれません。
- 日記の設定を「友人まで公開」から「全体に公開」に変更する
- 自己紹介欄に攻撃コードを埋め込む(見た目は変わらない)
- プロフィールページを見ただけで感染
「勝手に日記を書き込む」と「勝手に設定を変更する」は、攻撃者としては(多分)同じような難易度です。
「見ただけで感染」はこれまで行われていませんが、はまちちゃんは過去に一度、これを実行できる脆弱性を見つけています(日記へのjavascript埋め込みが可能だった)。
日記が増えてたら誰でもすぐに気付きますが、悪意の攻撃者ならば発覚は遅らせようとするでしょう。
