Web屋のネタ帳

非常に興味深いタレコミをいただいた。 人気殺到で参加は抽選（倍率5倍前後）の東京マラソン2008に申し込んだところ、「当選しました！」というメールが届いたそうだ。もちろんフィッシングとかそういうんじゃなく本物の当選メールである。

で、入金支払い用のURLというのがメールに書いてあるのだが、それが次のようなものだったそうである。

https://my.runnet.jp/tokyo_marathon_payment/index.php?id=dG9reW9fOTk5OTk5OQ%3D%3D
※上のパラメータはもちろんダミー。値だけ変えて書いとく。

見る人が見ると一発で「あやしい」とわかるパラメータである

では、「dG9reW9fOTk5OTk5OQ==」（「%3D」はURLデコードすると「=」なので）をbase64でデコードしてみる。

tokyo_9999999

予想通り、情報を隠避する技術ではなく情報を可逆置換する技術(base64)を用いて情報を隠避しているかのように見せかけているだけ。暗号化にまるでなってない「まやかし暗号」である。つまり、上のURLは

https://my.runnet.jp/tokyo_marathon_payment/index.php?id=tokyo_9999999
※数値はもちろんダミー

というのと同意味である可能性が限りなく高い。 タレコミ者いわく、数字の部分は「申し込み番号順らしき数値だった」とのこと。もしもそうだと仮定すると、申し込み番号は容易に予測可能であることを意味する。

なお、上のようなURLにアクセスすると、画面上で姓と名をカタカナで入力することが要求され、正しく名前を入力すると自分の住所氏名が表示されたそうだ。そこで自分の情報であることを確認して、コンビニ払いorクレジットカード払いのための情報をフォームに追加入力して、支払い完了、というフロー。

つまり、申し込み番号と姓名（カタカナ）が一致しないと申込者の情報は表示されない＝他人の情報を見るにはその人の姓名と申し込み番号の両方を知る必要がある。そういうことから、個人情報がダダ漏れということにはつながらないが、セキュリティ的に言って微妙である感は否めない。

高木氏あたりのお話を待ちたいところである。 （あれ？海外出張中ですか。。。）

少なくとも、すぐバレる＆バレると恥ずかしいコードであることだけは確かだ。こういうコーディングをする人＆それを発注しかつ受け入れを担当した人はそれをまずキモに命じていただきたい。飲み会の出欠管理くらいならともかく、東京マラソンクラスのイベントともなると期間限定のサイトだからという言い訳は通用しない。恐い都知事に怒られてもしーらない。