先日来、Amazon で起きたことが取りざたされている。しかし、今回のケースは 2 つの独立した問題からなる。
- 日本版の Amazon が長らく Wish list (ほしい物リスト) をデフォルトで公開するという不適切な既定値にしていたこと
- 同時期に CSRF 問題が発覚した
最初の問題は、少々解説の必要がある。現在、私が知る限り、Wish list と称する機能には公開されてしまうものと、備忘録的な非公開のものが混在している。Amazon のものは性質的には前者に近い。しかし、DAZ 3D の Wish list のように後者の実装を行うものが混在しユーザに混乱をもたらしていると推測する。そして、ユーザも長らく Amazon のも後者であると根拠なく考えてきた。しかし、実装は実は前から全社であった。
つまり、1. の問題は急に最近起きたものではない。実のところ、前からそうであった。しかし、Amazon の説明が悪く誤解がはびこる余地があった。しかも、米国の Amazon では既定値が非公開である。その意味では説明を怠り期待と異なる実装をした Amazon は責任を免れない。
問題があるのは 2. の方である。これは CSRF は字面的な定義では「閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行なわせる攻撃手法」のことである。知られている範囲では mixi で横行したそれが有名である。もっとも、mixi で起きたインシデントはどうやら未だ未解決のようであるが。この件ではほしい物リストをメールで送信する動作を閲覧者に意図せずさせる。
2. の件は amazon の実装の問題のため深刻化した。CSRF を防ぐためには、トークンを埋め込んだりして意図せざる挙動を止めるのが定石とされる。しかし、Amazon の場合、そういう実装をしていなかったため img タグなどでリクエストを発行するということが可能であった。これは杜撰というしかない。CSRF の件は Amazon のすごいアクセス解析サービスのアーティクルに記載がある。
しかし、さりとて、それを引き合いにしてクレジットカードの番号も漏れるような解説を行うのは科学的ではない。無論、ありとあらゆる可能性が否定されるものではないが。「ソフトウェア工学の常識」といったようなマジックワードを使って説明を省略する姿勢は正しくない。さらには、行政命令で無期限営業停止が出るかもなどというのはもはや風説の流布というしかない。可能性がゼロではないからと言って何でも言えるというわけではない。そこには厳然と可能性の濃淡があるのだから。
