2004年5月18日(火曜日)
丸見え系
更新: 2004年10月18日
とあるサイトで、フォームから送信されたと思われるデータが公開されていることを発見。普通に考えると設定ミスによる漏洩なのでしょうが、なんかデータに対してリンクが張られているし……アンケート結果を公開するような感覚で意図的に公開しているのかしら? 良く分かりませんが、データには思いっきりメールアドレスなどが含まれていて、問題があるように思えます。
とりあえずストックに追加しておきますが、IPA の例の窓口はこんなの受け付けてくれるのでしょうか? 「ソフトウエア等脆弱性関連情報取扱基準(案)」等に対する意見の募集 (www.meti.go.jp)で公開されている PDF 文書を見ると、適用範囲は以下のようになっていますね。
Ⅳ.本基準の適用範囲
本基準は、以下に掲げるものの脆弱性であって、その脆弱性に起因する被害が不特定多数の者に影響を及ぼし得るものに適用する。
1.日本国内で利用されているソフトウエア製品 (ソフトウエア製品において通信プロトコル等の仕様を実装した部分を含む。)
2.主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーション
以上、ソフトウエア等脆弱性関連情報取扱基準(案) より
ウェブサイトの問題全般を受け受けるわけではなく、ウェブアプリケーションの問題である必要があるように読めます。ウェブアプリケーションの定義は以下の通り。
5.ウェブアプリケーション インターネット上のウェブサイトで稼働する固有のシステム。
以上、ソフトウエア等脆弱性関連情報取扱基準(案) より
……Web サーバは固有のシステムではないように思えますので、その設定ミスなんてのは対象外のような気がします。
まあとりあえず通報してみて、「脆弱性関連情報に該当しない」という回答になったら公開という方向で。
※「脆弱性関連情報に該当しない」となった場合、その情報の公開を妨げる要素って何もないですよね。警視庁の「個人情報流出防止」 (www.keishicho.metro.tokyo.jp)を見ても、ディレクトリ丸見え系は不正アクセスではないという認識のようですし。
※2004-10-18 追記: IPA に届け出たらちゃんと受け付けてもらえまして、2004-10-06 に修正完了の連絡をいただきました。
- 「丸見え系」にコメントを書く
- 前(古い): 2004年5月17日(Monday)のえび日記
- 次(新しい): 2004年5月19日(Wednesday)のえび日記
