福山通運のログ漏洩について
福山通運の web page におけるログ漏洩について
先日、楽天でお買い物をして、昨日配達記録が見られるってメールを受け取ったので
さっそく、配達記録を見ようとページにアクセスしてみた。
http://www.fukutsu.co.jp/search/search.html
で、問い合わせ番号を入れて検索すると…。なんじゃこりゃ。 Apache のログの
ような web server のログがついてきている。試しに、適当な11桁の数字を入れて
やってみた。やっぱり起きる。起きないときもあるけど、だいたい 50% ぐらいの
確率で起きる。以下、11111111111 を入力したときの応答。
192.168.188.118 - - [21/Dec/2005:11:42:23 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 332
192.168.188.118 - - [21/Dec/2005:11:42:23 +0900] "GET /PUB03/bHHT04/29214282344.GIF HTTP/1.0" 404 151
192.168.188.118 - - [21/Dec/2005:11:42:23 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 332
192.168.188.118 - - [21/Dec/2005:11:42:23 +0900] "GET /PUB09/HHT00/29911858900.GIF HTTP/1.0" 404 151
192.168.188.118 - - [21/Dec/2005:11:42:23 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 474
192.168.188.118 - - [21/Dec/2005:11:42:24 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 474
192.168.188.118 - - [21/Dec/2005:11:42:24 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 332
192.168.188.118 - - [21/Dec/2005:11:42:24 +0900] "GET /PUB05/HHT01/29123318512.GIF HTTP/1.0" 404 151
192.168.188.118 - - [21/Dec/2005:11:42:24 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 474
192.168.188.118 - - [21/Dec/2005:11:42:24 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 332
192.168.188.118 - - [21/Dec/2005:11:42:24 +0900] "GET /PUB08/HHT06/29524922862.GIF HTTP/1.0" 404 151
どっかのIP - - [21/Dec/2005:11:42:24 +0900] "GET / HTTP/1.1" 304 0
192.168.188.118 - - [21/Dec/2005:11:42:24 +0900] "POST /cgi-bin/nsgigw/FORMW01 HTTP/1.0" 200 332
HTTP/1.1 200 OK
Server: Fujitsu-InfoProvider-Pro/3.1 (Solaris)
MIME-Version: 1.0
Date: Wed, 21 Dec 2005 02:42:24 GMT
Connection: close
Accept-Ranges: none
Content-Type:text/html
<!--This file created 98.3.17 4:58 PM by Claris Home Page version 2.0J-->
<HTML>
<HEAD>
<TITLE>配達状況照会</TITLE>
<META NAME=GENERATOR CONTENT="Claris Home Page 2.0J">
</HEAD>
<BODY TEXT="#4B4B4B" BGCOLOR="#FFFFFF" LINK="#99EB9A"
VLINK="#5E85FF">
<!-- GW PAGEINF ID=PAGE01 -->
<FORM METHOD="POST" ACTION="/cgi-bin/nsgigw/FORM01">
<!-- GW FORMINF ID=FORM01 APL=SSO0210 -->
<P><CENTER><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0>
<TR>
<TD>
<P><IMG SRC="/search/gif/ill.gif" WIDTH=70 HEIGHT=70 ALIGN=bottom>
</TD><TD>
<P><IMG SRC="/search/gif/tt.gif" WIDTH=272 HEIGHT=27 ALIGN=bottom>
</TD></TR>
</TABLE></CENTER>
<P><CENTER><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=2 WIDTH=600
bgcolor=#FFFFFF>
<TR>
<TD VALIGN=top>
<P><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0>
<TR>
<TD>
<P><CENTER>検索件数</CENTER>
</TD><TD>
<P><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0
bgcolor=#c6c6c6>
<TR>
<TD>
<P><CENTER><IMG SRC="/cgi-bin/nph-count?width=8&link=/search/search.html"></CENTER>
</TD></TR>
</TABLE>
</TD><TD>
<P>件目のお問合せです。
</TD></TR>
</TABLE>
<P><FONT COLOR="#AF0000">[お問合せ番号]</FONT>または<FONT
COLOR="#AF0000">[お客様出荷番号+お客様コード]</FONT>を入力してください。<BR>
<TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0>
<TR>
<TD VALIGN=top>
<P><FONT SIZE="-1">(注)</FONT>
</TD><TD VALIGN=top>
<P><FONT SIZE="-1">・</FONT>
</TD><TD VALIGN=top>
<P><FONT
SIZE="-1">半角文字を使用してください。(アルファベットは大文字)</FONT>
</TD></TR>
<TR>
<TD>
<P>
</TD><TD VALIGN=top>
<P><FONT SIZE="-1">・</FONT>
</TD><TD VALIGN=top>
<P><FONT
SIZE="-1">ハイフンとスペースを除いて入力してください。</FONT>
</TD></TR>
</TABLE>
</TD></TR>
<TR>
<TD VALIGN=top>
<P><CENTER><TABLE BORDER=1 CELLSPACING=0 CELLPADDING=2
bgcolor=#f7d474>
<TR>
<TD>
<P><FONT SIZE="-1"
COLOR="#1E2760">お問合せ番号 </FONT>
</TD><TD>
<P><INPUT TYPE="text" NAME="number-1" VALUE=""
SIZE=25>
</TD></TR>
</TABLE><BR>
<TABLE BORDER=1 CELLSPACING=0 CELLPADDING=2 bgcolor=#f7d474>
<TR>
<TD>
<P><FONT SIZE="-1"
COLOR="#1E2760">お客様出荷番号</FONT>
</TD><TD>
<P><INPUT TYPE="text" NAME="number-2" VALUE=""
SIZE=25>
</TD></TR>
<TR>
<TD>
<P><FONT SIZE="-1"
COLOR="#1E2760">お客様コード</FONT>
</TD><TD>
<P><INPUT TYPE="text" NAME="number-3" VALUE=""
SIZE=25>
</TD></TR>
</TABLE></CENTER>
<P><CENTER><FONT SIZE="-1"><INPUT TYPE="submit" NAME="送信"
VALUE="問合せ"><INPUT TYPE="reset" VALUE="取 消"></FONT>
</CENTER>
</TD></TR>
</TABLE></CENTER>
<P><CENTER><TABLE BORDER=1 CELLSPACING=1 CELLPADDING=2 WIDTH=600
bgcolor=#f7d474>
<TR>
<TD WIDTH=195>
<P><CENTER><FONT SIZE="-1"
COLOR="#1E2760">お問合せ番号</FONT></CENTER>
</TD><TD WIDTH=195>
<P><CENTER><FONT SIZE="-1"
COLOR="#1E2760">お客様出荷番号</FONT></CENTER>
</TD><TD nowrap WIDTH=195>
<P><CENTER><FONT SIZE="-1"
COLOR="#1E2760">お客様コード</FONT></CENTER>
</TD></TR>
<TR>
<TD bgcolor=#f7e8c4 WIDTH=195>
<P>11111111111
</TD><TD bgcolor=#f7e8c4 WIDTH=195>
<P>
</TD><TD bgcolor=#f7e8c4 WIDTH=195>
<P>
</TD></TR>
</TABLE></CENTER>
<P><CENTER><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=2 WIDTH=600
bgcolor=#FFFFFF>
<TR>
<TD VALIGN=top>
<P><TABLE BORDER=0 CELLSPACING=5 CELLPADDING=0>
<TR>
<TD>
<P>お届け先:
</TD><TD>
<P><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0
bgcolor=#c6c6c6>
<TR>
<TD>
<P> 様
</TD></TR>
</TABLE>
</TD><TD>
<P>
</TD><TD>
<P>個 数:
</TD><TD>
<P><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0
bgcolor=#c6c6c6>
<TR>
<TD>
<P> 個
</TD></TR>
</TABLE>
</TD><TD>
<P>
</TD><TD>
<P>重 量:
</TD><TD>
<P><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0
bgcolor=#c6c6c6>
<TR>
<TD>
<P> kg
</TD></TR>
</TABLE>
</TD></TR>
<TR>
<TD>
<P>配達状況:
</TD><TD COLSPAN=7>
<P><TABLE BORDER=0 CELLSPACING=0 CELLPADDING=0
bgcolor=#c6c6c6>
<TR>
<TD>
<P>該当する荷物はありません
</TD></TR>
</TABLE>
</TD></TR>
</TABLE>
<P><TABLE BORDER=1 CELLSPACING=1 CELLPADDING=2 WIDTH="100%"
bgcolor=#f7d474>
<TR>
<TD>
<P><FONT COLOR="#F7D474">_</FONT>
</TD><TD bgcolor=#f7e8c4>
<P> 年
</TD><TD nowrap>
<P><FONT
COLOR="#F7D474">____________________</FONT>
</TD><TD bgcolor=#f7e8c4>
<P><FONT COLOR="#F7E8C4">_</FONT>
</TD></TR>
<TR>
<TD>
<P><B><FONT COLOR="#1E2760">受 付</FONT></B>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD><TD>
<P>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD></TR>
<TR>
<TD>
<P><B><FONT COLOR="#1E2760">発 送</FONT></B>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD><TD>
<P>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD></TR>
<TR>
<TD>
<P><B><FONT COLOR="#1E2760">到 着</FONT></B>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD><TD>
<P>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD></TR>
<TR>
<TD>
<P><B><FONT COLOR="#1E2760">持 出</FONT></B>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD><TD>
<P>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD></TR>
<TR>
<TD>
<P><B><FONT COLOR="#1E2760">配達完了</FONT></B><FONT COLOR="#F7D474">_</FONT>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD><TD>
<P>
</TD><TD bgcolor=#f7e8c4>
<P>
</TD></TR>
</TABLE>
</TD></TR>
<TR>
<TD align=RIGHT>
<P ALIGN=RIGHT><TABLE BORDER=0 CELLPADDING=0>
<TR>
<TD>
</TD></TR>
</TABLE>
</TD></TR>
</TABLE></CENTER>
<P><CENTER><A HREF="/index.html" TARGET=""><IMG
SRC="/gif/home-bt.gif" ALT="home" WIDTH=39 HEIGHT=49 BORDER=0
ALIGN=bottom></A><BR>
<IMG SRC="/search/gif/sea-head.gif" ALT="イラスト" WIDTH=550 HEIGHT=50
ALIGN=middle></CENTER>
</FORM>
</BODY>
</HTML>
私のIP - - [21/Dec/2005:11:42:24 +0900] "POST /cgi-bin/nsgigw/FORM01 HTTP/1.1" 200 9094
なんだか、ログが見えてヤバい感じ。とりあえず、「問い合わせ」ページから
「おかしんじゃないの?」って送信しておいた。
192.168.188.118 からの社内からと思われるアクセスも載っていたので、試しに
http://www.fukutsu.co.jp/cgi-bin/nsgigw/FORMW01
にドキドキしながらアクセスしてみたら、
ERROR: 405(METHOD NOT ALLOWED)
なんて返ってきた。さすがにね。その後にアクセスされている GIF ファイルも
全て11桁で、私の荷物の問い合わせ番号に微妙に近い数字なので、多分、これは
荷物番号と関係があるファイルなのでしょう。
このログが漏洩している現象、原因はこの cgi とばかり思っていたのだけど、
IE で http://www.fukutsu.co.jp/search/search.html にアクセスしたら
私のIP - - [21/Dec/2005:12:15:26 +0900] "GET /search/search.html HTTP/1.1" 304 0
なんて応答が返ってきて、それ以前の web サーバとか、そんな世界みたい。
Fujitsu-InfoProvider-Pro/3.1 って実ははじめて聞いたのだけど、ちょっと
怪しい感じがする。Claris の 98年のコメントもどうかと思うし、福山通運って
良い噂聞かないし、これからどんな対応をするのか少し楽しみだ。
|
