【重要】携帯版So-netブログにおけるログイン障害のお知らせ

平素は、So-netブログをご利用いただき誠にありがとうございます。

このたび、So-netブログのログイン認証に不具合があり、携帯版ブログにてログインを行った際、特定の条件下において、まれに他のブログ利用者の管理画面を表示していた可能性があることが判明いたしました。

現在は、原因個所の改修を行い、同様の事象が再現することはございません。

こうした事態を発生させたことにより、ご利用いただいているみなさまにご迷惑をおかけしますことを深くお詫び申し上げます。

※So-netブログの携帯版管理画面では、お客様の個人情報が表示されることはございません。また、IDやパスワードの流出もございません。

■障害内容
メールアドレスIDにてブログをご利用のお客様が、携帯電話からログインを行った際、タイムアウトやその他の原因において、セッションID（利用者識別のための情報）が無効と認識された場合に、他の利用者の管理画面が表示されてしまうことがある。

他の利用者の管理画面を表示した可能性のあるログイン件数：最大603件
（当該期間中のログイン回数における約0.01％）

■期間
2009年7月2日 から 2010年8月23日

■原因
携帯版のログイン機構における、セッション異常時の安全性制御に欠陥があったため。

（詳細）メールアドレスIDで登録しているお客様が、携帯電話を使用してログインされる際、ID・パスワードを暗号化して送信するとともに、セッションID を付加してデータベースを参照し、対照するブログの管理画面を表示しております。
今回の事象は、タイムアウトやその他の理由で無効と認識されてしまうセッションIDが付加され送信された場合において、対照するブログがないため本来「認証エラー」を表示するべきところを、プログラム上、次に有効なユーザーの管理画面を表示したケースがございました。

■対応
無効なセッションIDが付加されている場合は、すべて認証エラーとする安全性制御の追加を行いました。併せて、無効なセッションIDが発生する原因への対応を行って参ります。


この度は、ご迷惑ご心配をおかけすることとなり、誠に申し訳ございませんでした。

So-netブログを安心してご利用いただけますよう、システムの安全性を十分にこころがけてサービス運営を行って参る所存でおりますので、引き続きSo-netブログをよろしくお願い申し上げます。

※本件に関するお問い合わせは、[お問い合わせ]よりお願いいたします