インターネットベンチャーの株式会社はてな(本社:東京)が25日発表した新機能「なぞなぞ認証」。来訪者に難問を出し、正答したものだけにアクセスを許可するという認証サービスだが、リリースされたその日のうちに早くもセキュリティホールが見つかった。あまりの脆弱ぶりに専門家のあいだでは、はてなのセキュリティ意識を疑問視する声もあがっている。
なぞなぞ認証にセキュリティホールを見つけたのは室町幕府勤務の蜷川新右衛門氏。新右衛門氏によれば、同認証方式を独自に検証したところ極めて致命的な脆弱性があったとのこと。具体的には
「とんちで答えるとバッファオーバーフローを引き起こし、“まいった”してしまう」
という。
新右衛門氏はPOC(実証コード)が動作するようすを示す動画も公開しており、その中では、
「このはしをわたるべからず」
というなぞなぞが、
「ならば真ん中をわたりましょう」
というとんちで、あっけなく攻略されてしまうまでが映し出されている。
こうした大きな脆弱性を放置したまま新サービスを公開したはてなや社長の近藤淳也氏に対して、ネットでは
「技術力が足りないのではないか」
「ちくしょうかわいいよめさんもらいやがって」
といった非難の声が殺到している。いっぽう新右衛門氏についても、ゼロデイで攻略コードを公開したことに合わせ、業界で「とんちハッカー」と呼ばれる謎のスキンヘッドとの関係がささやかれていることから、「恐喝めあてではないか」と見る向きもある。改めてネット企業とセキュリティ専門家のモラルが問われることとなりそうだ。