niftyフォーラムで起こった問題の内容

会員制フォーラムを利用するためのログインフォーム、検索フォーム、そして発言可能な会議室で、利用者が入力したHTMLタグやスクリプトがそのまま出力されるようになっていた。このためCookieの漏洩、セッションハイジャックやログインフォーム自体の偽装が可能となってしまう。
たとえば実際に発言の練習ができる「お試し掲示板」というものが＠niftyのフォーラムに存在するが、ここに任意のHTMLタグや実行可能なスクリプトを書き込むことができる。このため、会員はこのような掲示板を利用するときに、個人情報を盗まれる可能性があるというものだ。

これ以降、場面ごとにインタビューで得られた、＠nifty広報からのコメントを掲載するが、かなり慎重で言葉を選んでの回答だった、という印象を強く受けた。

問題発覚から初期対処まで

実際には現象に気づいた利用者がフォーラムマネジャに連絡し、フォーラムマネジャが現象を確認したようである。＠niftyではこの時点でタグの利用を一時的に中止している。また、その後も数回にわたるメンテナンスでシステムの調整を行っている。
現在、掲示板では危険と思われるHTMLタグやスクリプトが発言内容に含まれる場合、これらは削除した状態で書き込まれる。これにより新規の発言ではタグを入力した部分が抜け落ちた状態で表示される。
発言するためのページにも、その旨の注意書きがあり、具体的に入力出来ないタグについてのヘルプ画面も用意されている。

会員への告知とその後の経過

フォーラムインフォメーションページで、以下の掲載（通知）がなされた。

• 6月20日(19時)
  　タグを一時的に休止


• 7月 3日
  　安全性向上について
  　タグの入力制限、および既存の発言についてはタグをそのまま表示するような対処を行った


• 7月11日
  　安全性向上の対応スケジュール


• 7月15日
  　安全性向上の対応について
  　3日に告知された内容について詳しく説明。具体的には、フィルタリング処理によりタグの制限を行うため、発言内容が当初意図した形式では表示されない場合がある、またはサイズが大きくなり、登録可能なサイズを超えることがあるため、発言者は各自確認してほしいというもの。


• 7月18日
  一部休止していた掲示板でのタグの利用を再開
  ただし、すべてのタグが利用できるわけではなく、危険のない一部のタグのみ許可。また、発言者は各自意図した表示と異なることがあるといった説明が引き続き掲載されている。

＠niftyの対応姿勢と今後の考察

問題の現象が確認されてから＠niftyが対処を開始するまでは2日間程度だったので、＠niftyの規模を考慮すれば初期対応自体は素早いものとして評価できる。
＠niftyは大手プロバイダの中でも、比較的自由度の高いサービスが多く、その意味でユーザ本位なサービスを心がけていると考えられる。今回の問題はそれが裏目に出てしまった感がある。
今後＠niftyとしては、利用者の安全性を優先しながらも、どこまで自由度を実現させるか、最終的なポリシーを調整することになりそうだ。