ITMedia より、楽天のメルマガ個人情報流出問題の件に関して続報がありました（Yahoo!ニュースにも）。

問題が起こった部分だけ抜粋しますと、

同社によると、ユーザー宛てにメールで送った個人情報入り画面のURLを、ユーザーが自らソーシャルブックマークやブログなどに掲載していたことが原因という。同社は検索サイトにキャッシュなどの削除依頼を行い、URLに第三者がアクセスしても個人情報が見られない仕様に変更するなど対策した。

とのことです。やはり はてなブックマークコメントページ で、id:kengo9999q さんがコメントされていたようにソーシャルブックマークが原因のひとつだったようですね。

また、ある方よりコメント欄で情報提供をいただいたのですが、ブログの他にも OKWave などで自ら回答としてセッション ID 付きで回答の一部として投稿しているケースもあったようです。

セッションハイジャックについてチェックしておこう

いい機会ですので、セッションハイジャックについて簡単にチェックしてみます。以前書いた ActionScript 3 について Google のトップ10エントリを評価する (ラボブログ) のエントリの時と同じく、Google のトップ１０からざっと要点を押さえてみます。順不同です。

１．PHPを使った開発におけるセッションハイジャック対策について - みんなの動画サーチ開発者ブログ

session_cache_expire (30);
session_regenerate_id()

などを使ったシンプルな対策。ただし、session_regenerate_id() の安全性について議論されている こちらの質問 も要チェックです。

２．セッションハイジャックの対策（PHP） | Web&MUSICブログ　QUALL

あわせてPHPで脆弱性の少ないセキュアなアプリを作るために実装時に意識すること | Web&MUSICブログ　QUALLにウェブアプリケーションの１４の攻撃方法もまとまっているので要チェックです。

３．個人的なメモと備忘録 2005年 7月

フィンガープリントを使ってセッションハイジャック対策をする方法。

４．セッションハイジャック対策

Ｗｅｂのセッションハイジャックだけでなく、TCP/UDPのセッションハイジャックについても も記載があります。

５．[Tep-j-general] Re: セッションハイジャック対策(Recreate Session)

ネットワークレイヤーごとの、パケット盗聴の可能性について。これをされると、セッションＩＤが盗まれ、勝手にオンラインバンクの口座にアクセスされる可能性があります。

６．Nasuta開発ブログ: IPアドレスの一致によるセッションハイジャック対策

ＩＰアドレスによるセッションハイジャック対策。プラットフォームは Ruby on Rails?

７．携帯電話サイトでのセッションハイジャック対策 (HACK IT OUT)

DoCoMo と AU のセッション関連の取り回しの違いについて。ちょっと日付が古いですが、最近の携帯でも状況は同じなのでしょうか？