インターネット老人会の魔法書 Advent Calendar 2023 の23日目の記事です。

はまちちゃん事件

「はまちちゃん事件」とは、2005年に大手SNS「mixi」で発生した現象である。この事件では、多数のユーザーが「ぼくははまちちゃん！」というタイトルの日記を次々と公開するという事態が発生した。そのきっかけは、あるユーザーが投稿した日記で、その日記の本文には「こんにちはこんにちは!!」という言葉とともに特定のURLが貼り付けられていた。

この現象の原因は、Webアプリケーションの脆弱性の一種である「クロスサイトリクエストフォージェリ（Cross Site Request Forgeries：CSRF）」によるものだ。
この脆弱性は、正規ユーザーの操作で意図しない結果を引き起こす。
具体的には、ユーザーが特定のURLをクリックすると、そのユーザーの日記に「ぼくははまちちゃん！」というタイトルで新たな日記が自動的に書き込まれるという現象が発生した。
このURLをクリックしたユーザーも同じ投稿がされ、その投稿にはさらに同じURLが含まれていたため、被害者は連鎖的に広がった。

この事件をきっかけに模倣犯が現れ、あちこちのサイトでCSRFの脆弱性をつくイタズラが横行した。もちろん犯罪だが当時はその認識が薄く、実際この時期にそれで逮捕された人はいないと思われる。

この事件は、Webアプリケーションのセキュリティ問題を一般に広く知らしめるきっかけとなった。

はまちちゃん事件を通じて、Webアプリケーションのセキュリティ対策の重要性が改めて認識されたと言えるだろう。