東横インWeb予約の脆弱性が修正された…が

東横インのWeb予約について脆弱と思われる箇所があったのでIPA(www.ipa.go.jp)に届け出ていましたが、修正完了の連絡が来たので、概要と現況を書いておきます。

2008年11月:システム変更で脆弱性が出現

東横インのWeb予約は2008年11月にシステム変更が行われ(www.toyoko-inn.com)、事前に登録手続きが必要な方式になっています。これは、あらかじめ名前や電話番号、メールアドレスなどの個人情報を登録しておくことで、実際の予約時に入力する項目を極力減らすもので、携帯電話など文字入力が億劫な端末から予約する際や、頻繁に宿泊する常連者にとってはありがたいシステムと言えるでしょう。

具体的には、

  • 氏名アルファベットと生年月日
  • パスワード(のみ)

いずれかを入力する方式となっていました。…これ、言うまでもなく危険ですね。

ウェブに限らず「ログイン」を行うシステムでは「ユーザー名とパスワード」のように、2つ以上の項目を入力するものが大半ですが、東横インのシステムではパスワードのみでログインが可能だったため、

  • うろ覚えのパスワードを入力してみたら、自分のではなくたまたま他人のパスワードに合致し、そのアカウントでログインできてしまう。
  • 姓名や生年月日など、あり得そうなパスワードを試して他人のアカウントでログインする。

といった事態が想像できました。(実際に、私は意図せず前者の状態になったことがあります。)

とくに、後者は悪意のある者によって「電話番号が取得される」「勝手に宿泊予約が行われる」といったことが可能です。東横インの場合、当日16時以降はキャンセル料が掛かるとのことで、金銭トラブルに発展する可能性も考えられます。

というわけで、XSSやSQLインジェクションなどとは性格が異なりますが、これもウェブ脆弱性の一種と判断しました。

2009年11月:ログイン方法が変更

昨年11月9日付で、次のようなリリースがなされています。

これまで「パスワードのみ」でログインされていたお客様におかれましては、2009年11月27日(金)より、これまでの「パスワード」に加えて、「生年月日」の入力が必要になります。

というわけで、パスワードのみでログインできる危険な状況は修正されました。が、…

脆弱性はほかにも存在する?

私はこれで安心とは思っていません。現段階では詳しいことは書けませんが。

利用者側の対策

新規に登録をしようと思っている場合

現時点で新規に登録をするのはあまりお勧めしません。前向きな対処法はなさそうなので、

  • Web予約はあきらめて電話予約を行う。
  • リスクを覚悟したうえでWeb登録を行う。

のどちらかを選択することになるでしょう。

既に登録を行っている場合

残念ながらまともな回避方法は思いつきませんが、登録情報を削除するという手はあります。ただし、ウェブ上から自分で削除することができないうえ、専用の連絡先が公開されていないので一筋縄ではいきません。参考までに、私が行った手順を紹介します。

  • 東横インの代表(03-5703-1045)へ電話する。
  • ウェブ担当の電話連絡先を聞く。(公開してよいのか分からないので番号は伏せておきますが、名称は「認証情報確認センター」というらしいです。)
  • 認証情報確認センターに電話し、担当者に登録情報を削除して欲しい旨を伝える。

ただし、わざわざ登録情報を削除するほどの危険性があるのかと言われると、それはその人次第でしょう。たとえば、本名、生年月日、メールアドレス、電話番号をすべて公開している人にとっては、他人にログインされること自体はあまり痛手でないかもしれませんし。

いずれにしても、決して登録削除を勧めるわけではありません。どうするのかは各自で判断するのがよいと思います。

2010年2月6日追記上述のように、私としては対策不十分と考えていましたが、東横イン側のポリシーとして現状で必要な対策は実施済みであり、IPA側でも問題ないことを確認済みとの連絡をいただきました。というわけで、上記「これで安心とは思っていません。」などの発言は撤回します。