え？ 同じIDで登録できる？ コンビニ証明書で話題「同時処理」の危険性：“典型的やられサイト”で学ぶセキュリティのワナ（4/4 ページ）

ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。

[谷井将人，ITmedia]

同時に処理が走ると……　最近は証明書交付サービスで問題に

　アカウント登録にもさまざまなワナがあった。特に「同時に同じデータ・システムに対して別々の処理が走るかもしれない」という状況を想定するのは、アカウント登録部分に限らず重要な観点だ。

　最近ではコンビニの証明書交付サービスで発生した問題でも話題になった。神奈川県川崎市では5月に、コンビニに設置してあるプリンタで戸籍謄本を印刷しようとしたところ、別人のものが出力されるという問題が発生した。

　原因は、2人の住民が同一タイミング（1秒以内）で交付申請した際に、後続の処理が先行する処理を上書きしてしまうバグだった。

富士通Japanの経緯説明

　ちなみに、BadTodoのパスワード周辺の実装には他にもワナが隠れている。表面上は8桁までのパスワードを登録できるように書いてあるが、実際には冒頭の6桁までしか使わないようになっている。7・8桁目はデータベースに保存されておらず、間違っていてもログインできる。

　徳丸さんによると、このような実装は古いシステムでたまに見かけるという。昔はパスワードが6桁までというサイトが結構あり、表面上は7文字以上入力できても切り詰めてしまう仕様になっていることがある。

　なお、入力できるパスワードの長さに決まったものはないが、現在では一般に「8文字以上」が最低ラインとされているという。