水無月ばけらのえび日記

メールマガジン乗っ取り?

また情報漏洩系の話が……「顧客情報流出、メルマガ改ざん配信の被害　自転車のツノダ (www.asahi.com)」。

……って、ざっと読んでもなんだか良く分からないですね。

ツノダのサイト (www.tu-bicycle.co.jp)に行ってみると、リリースが出ていない上に「メール会員登録」という部分を押しても何も起きずに閉口するわけですが、ソースを解析するとメール会員登録のリンク先は http://www.tu-bicycle.co.jp/touroku.html のようです。さらにそのフォームのソースを見ると、「メール配信システムASP CombzMail (regist.combzmail.jp)」を利用していることが伺えます。

そのサイトのトップを見ると、管理用のログインフォームがあるようなのですね。何らかの方法でこのメールマガジンの管理者としてログインすることができれば、ユーザの一覧を見たり、任意の内容のメールマガジンを発行できたりするのでしょう。そこで既存のメールマガジンのデータにユーザの一覧をくっつけて、サイトの URL 部分を悪意あるものに改竄して送信、というシナリオを想像しました。

とりあえず HTTPS じゃないところにログインフォームがあったり、「パスワード取り寄せ」というチェックボックスがあったりするのが気になるところですが、実際の所はどうなのでしょうね。

• 「メールマガジン乗っ取り?」にコメントを書く

関連する話題: セキュリティ / 情報漏洩

MBSA1.2 正式版

Microsoft(R) Baseline Security Analyzer 1.2 日本語版、5 月 25 日（火）より正式提供を開始 (www.microsoft.com)だそうで。って、実は今までの MBSA1.2 がベータ版だということをすっかり忘れていました。

ちなみに、古い MBSA1.2 を使っている場合は……。

……なのだそうで、何も考えずにそのまま使い続けて良いようです。

• 「MBSA1.2 正式版」にコメントを書く

関連する話題: セキュリティ / Microsoft

初公判

5月中とは聞いていましたが、今日でしたか。

• 不正アクセス事件で初公判、京大元研究員が無罪主張 - asahi.com : 社会 (www.asahi.com)
• ITmediaニュース：元研究員、無罪を主張 (www.itmedia.co.jp)

しかし、asahi.com の記事がまたなんというか……。

「許可なく接続したとして……罪に問われた」って、Web サイトに接続するのに許可がいるのですかね。

IT media の方には弁護側の主張も出ているようで。

うーん、格好いいですね。弁護側のこの主張が通らないと、前に書いたような大変まずい事態が発生すると思うので、頑張って頂きたいです。

※まあ実際には IPA がパンクするようなことは起きず、脆弱性放置 or 匿名で容赦なく公表の方向になるのでしょうけれど、それにしてもまずいでしょう。

争点としては、これが重要なポイントになるのでしょうね。

たとえば、管理用の FTP アクセスにいくら厳しいアクセス制限がなされていても、それが Web サイトのアクセス制御としては何の役にも立たないことは明らかなわけで……。検察がその辺りを混同していないのかどうかが気になるところです。

• 「初公判」にコメントを書く

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

ちからをためている!

ネットが不調だったり微妙に忙しかったりしてたまっていた日記を、一気に更新。

2週間分たまっていたので、今更新されたものが既に過去に流れているという……。

※なんか以前もあったような気がしますが。

• 「ちからをためている!」にコメントを書く

関連する話題: 出来事