水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2004年のえび日記 > 2004年5月 > 2004年5月26日(水曜日)

2004年5月26日(水曜日)

メールマガジン乗っ取り?

また情報漏洩系の話が……「顧客情報流出、メルマガ改ざん配信の被害 自転車のツノダ (www.asahi.com)」。

自転車メーカーのツノダ(角田重夫社長、本社・愛知県小牧市)が新製品の紹介などを行うメールマガジンに登録している約1万6000人分の顧客情報が流出していたことが、分かった。また、メールマガジンが改ざんされて配信されたうえ、リンク先として掲載した同社のホームページのアドレスが改ざんされ、ウイルス感染する仕組みにもなっていた。同社は告訴も含め、対応を検討している。

以上、顧客情報流出、メルマガ改ざん配信の被害 自転車のツノダ より

……って、ざっと読んでもなんだか良く分からないですね。

ツノダのサイト (www.tu-bicycle.co.jp)に行ってみると、リリースが出ていない上に「メール会員登録」という部分を押しても何も起きずに閉口するわけですが、ソースを解析するとメール会員登録のリンク先は http://www.tu-bicycle.co.jp/touroku.html のようです。さらにそのフォームのソースを見ると、「メール配信システムASP CombzMail (regist.combzmail.jp)」を利用していることが伺えます。

そのサイトのトップを見ると、管理用のログインフォームがあるようなのですね。何らかの方法でこのメールマガジンの管理者としてログインすることができれば、ユーザの一覧を見たり、任意の内容のメールマガジンを発行できたりするのでしょう。そこで既存のメールマガジンのデータにユーザの一覧をくっつけて、サイトの URL 部分を悪意あるものに改竄して送信、というシナリオを想像しました。

とりあえず HTTPS じゃないところにログインフォームがあったり、「パスワード取り寄せ」というチェックボックスがあったりするのが気になるところですが、実際の所はどうなのでしょうね。

関連する話題: セキュリティ / 情報漏洩

MBSA1.2 正式版

Microsoft(R) Baseline Security Analyzer 1.2 日本語版、5 月 25 日(火)より正式提供を開始 (www.microsoft.com)だそうで。って、実は今までの MBSA1.2 がベータ版だということをすっかり忘れていました。

ちなみに、古い MBSA1.2 を使っている場合は……。

1 月 20 日より提供の MBSA 1.2 日本語早期提供版を利用しているユーザーは検査を実施する際、本ツールが正式なセキュリティ更新プログラムデータベースを弊社 Web サイトよりダウンロードするため、MBSA 1.2 等を新たにインストールする事無く使用できます。

以上、Microsoft(R) Baseline Security Analyzer 1.2 日本語版、5 月 25 日(火)より正式提供を開始 より

……なのだそうで、何も考えずにそのまま使い続けて良いようです。

関連する話題: セキュリティ / Microsoft

初公判

5月中とは聞いていましたが、今日でしたか。

しかし、asahi.com の記事がまたなんというか……。

著作権保護団体のインターネットサイトに許可なく接続したとして、不正アクセス禁止法違反の罪に問われた京都大学元研究員河合一穂被告(40)の初公判が26日、東京地裁であった。

以上、asahi.comの不正アクセス事件で初公判、京大元研究員が無罪主張 より

「許可なく接続したとして……罪に問われた」って、Web サイトに接続するのに許可がいるのですかね。

IT media の方には弁護側の主張も出ているようで。

弁護側は、アクセスしたサーバには不正アクセス禁止法で問題になるアクセス制御はなかったとし、逮捕・起訴について「ネットの行動の自由を侵すものであり、到底許されない」とした。

以上、ITmediaニュース:元研究員、無罪を主張 より

うーん、格好いいですね。弁護側のこの主張が通らないと、前に書いたような大変まずい事態が発生すると思うので、頑張って頂きたいです。

※まあ実際には IPA がパンクするようなことは起きず、脆弱性放置 or 匿名で容赦なく公表の方向になるのでしょうけれど、それにしてもまずいでしょう。

弁護側は検察側に対し「サーバのアクセス制御とは具体的に何か」など釈明を求めたが、検察側は「訴因に欠けるところはない」として突っぱね、立証段階で明らかにするとした。

以上、ITmediaニュース:元研究員、無罪を主張 より

争点としては、これが重要なポイントになるのでしょうね。

たとえば、管理用の FTP アクセスにいくら厳しいアクセス制限がなされていても、それが Web サイトのアクセス制御としては何の役にも立たないことは明らかなわけで……。検察がその辺りを混同していないのかどうかが気になるところです。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

ちからをためている!

ネットが不調だったり微妙に忙しかったりしてたまっていた日記を、一気に更新。

2週間分たまっていたので、今更新されたものが既に過去に流れているという……。

※なんか以前もあったような気がしますが。

関連する話題: 出来事

最近の日記

関わった本など

ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング