水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2004年のえび日記 > 2004年2月 > 2004年2月5日(木曜日)

2004年2月5日(木曜日)

ヨセフアンドレオン

更新: 2004年10月20日

なんだこりゃ。……「声明 officeこと、河合一穂の逮捕にあたって (www.josephandleon.co.jp)

※追記: 声明文消滅しちゃいましたね。ACCS から何か言われたのでしょうか。

※2004-10-20 さらに追記: 声明文はいつのまにやら復活しています。どういう意図なんだか良く分かりませんが。

色々な意味で凄い文章だと思いますが、ともかく、このヨセフアンドレオンという会社が ASK ACCS の運営をしていたようですね。office さんの謝罪文には「ACCS、ファーストサーバ、JPCERT/CC ともう一件の会社に報告した」というような話が出ていましたが、伏せられていた「もう一件の会社」というのがこの会社だったのでしょう。

まあしかし、ACCS がこのような会社にサイトの運営を依頼していたこと自体が驚きです。事故調査委員会報告書の最後には、

具体的には、ACCS内部におけるセキュリティ体制の強化、外部の第三者によるホームページのセキュリティチェック等の実施、ホームページの製作・運営等を外部に委託する際の基準の策定委託先の再検討、取得すべき個人情報の再検討などを行うべきである。

以上、ASKACCS個人情報流出事故調査委員会の調査報告書 より

※引用文中の強調は引用者による

とあって、これはもう「今の運営会社はやめた方が良い」と言っちゃっているに等しいわけですが、無理もないと思いました。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩 / ファーストサーバ

追試も駄目?

著作権協サイト、別の2人も京大研究員と同手法で侵入か (www.asahi.com)」……TBS の報道だと 7件ということになっているらしいですが。

要するに、office さんの資料を見て追試した人たちが追求されるかもしれないという話ですね。情報を鵜呑みにしないで自ら動作確認したことが裏目に出るというのは、何とも皮肉な結果ではあります。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

テンポラリファイル上書き系?

他の人の確定申告書が流出、国税庁ホームページに欠陥 (www.asahi.com)」。これまた凄い話ですね。きっと、

というような処理をしていて、普通は

となるところ、これを Aさんと Bさんが同時に使ったら、

となって Aさんが B さんのデータを受け取ってしまった、というような話なのだろうと想像していますけれども。

関連する話題: セキュリティ

脆弱な CGI = トロイの木馬説

ああ、何でこんな脆弱な CGI が世に生み出されてしまうのかしら。CGI 制作者のセキュリティリテラシが低いのかしら。どうすれば上がるのかしら……などと色々なことを考えているうちにふと思ったこと。

CGI の脆弱性が故意に作られる可能性は無いのかしら。

会社ぐるみで脆弱な CGI をつくることは考えにくいですが、制作担当者個人が意図的に CGI に脆弱性を持たせるということはあり得るのではないかと思いました。

「任意のファイルが読める」「任意の OS コマンドが実行できる」という「欠陥」を CGI に持たせておいて配布します。会社はこの脆弱性に気づいていませんが、制作者個人はこれを意図して埋め込んでいます。制作者は退社後、この「欠陥」をもつ CGI を操作して、ユーザのデータを抜き取ったり、サーバ上でコマンドを実行したりします。この場合、CGI の脆弱性は意図された「バックドア」であり、CGI 自体は「トロイの木馬」になっているわけです。

……こういう可能性って、全くないと言えるのでしょうか。

いずれにしても、第三者によるチェックは必要だと思うのですが……。

関連する話題: セキュリティ / 思ったこと

最近の日記

関わった本など