> >

この件は、今年 5 月に立てた「iDisk に ics ファイルを置くときは注意を」というトピックで述べたものと同一です。うっかり同トピックのアーカイブ化を許してしまったので、再度掲載させていただきます。

再掲載の目的は次の二つです。

• セキュリティ上の脆弱性が存在することを他のユーザに認知していただき、利用上の注意を促すこと。
• そのために生じるユーザの不便さを早く .Mac に改善していただくこと。

以下では脆弱性の具遺体的内容について敢えて述べません。これは、具体的内容を広く告知することによって、 その脆弱性を悪用されたりいたずら目的で不当に試されるたり類似した脆弱性を探す行為によって .Mac サービスが DDoS 攻撃にさらされ、機能不全に陥ったりすることを未然に防ぐためです。

【どのようなときに危険性があるか】

公開する意志のない iCal などで作成/使用されるカレンダーファイル (ics ファイル) を iDisk 上の任意のフォルダーに置いたとき。たとえ iDisk の非公開スペース (例えば Documents フォルダーやそのサブフォルダー等) に置いたとしても該当します。

【どのような危険性があるか】

インターネット上の任意の第三者が、認証等を全く介さずに、そのカレンダーファイルの内容にアクセスすることができます。

【どうすれば回避できるか】

iDisk 上 (Backup フォルダーも含む) にカレンダーファイルを置かないことがもっとも確実です。置かざるを得ないときは .Mac アカウント名またはカレンダーファイルが置かれている iDisk 上の位置を漏洩させず、なおかつ、容易には推測できない位置とファイル名にしておくようにしてください。そして、カレンダーファイルには URL を記載しないようにしてください。

【本トピック掲載時点でのステータス】

本件の詳細については、発見当時フロントに立たれていらした moderator_morita 様に直接メールにて報告してあります。これを受けて moderator_morita 様より .Mac の担当者の方に改善要求が出されているとのことです。担当者の方に問題点が伝わっていることは現在フロントに立たれていらっしゃる moderator_kawai 様も同様の認識であるとのコメントをアーカイブされたトピックの方で moderator_kawai 様よりコメントを頂いています。

発見の報告をしてから 4 か月以上経ても、その後なんの改善も見られないので更にお伺いのコメントを付けたところ、「本件、その後の成り行きを確認いたします。少々お待ちください。」(9/17)とのこと。

一向に改善されないので 12/11 に .Mac テクニカルサポートの Discussion Boards において詳細を公開した。.Mac メンバーのみが参照できる。.Mac メンバーの iDisk 利用に関する安全性確保のための措置。