2006-11-22  匿メールに脆弱性

知っている人もいるかもしれません。某掲示板のいわゆる「匿メール」機能には脆弱性があり，条件を満たすと秘密にしたはずのメールアドレスが露になってしまい，だれが投稿したかバレてしまいます。

対象

CGIスクリプト「C-BOARD」を使った掲示板。ツリー型掲示板として広く使われている。

再現手順

• 匿メールを利用して掲示板に投稿する
• 掲示板の検索機能にて，匿メールにしたメールアドレスを検索する
• 匿メールの指定の有無に関係なくメールアドレスに該当する記事が抽出される

なお掲示板の設定によっては，検索機能が隠されていることがあります。たいてい隠れているだけで，機能そのものは生きています。隠れているものをどうやって稼動させるかは，ここではあえて書きません。

面白いからといって，お友達のメールアドレスをむやみに検索するのは止めましょう。知りすぎて不幸になっても知りません。

対策

• 複数のメールアドレスを使い分けましょう
• 怪しいサイトは利用しないようにしましょう

以上です。