水無月ばけらのえび日記

やられたのは静的ファイルだけ?

「当社運営サイトへの不正アクセスにおける追加調査結果のご報告 (www.kakaku.com)」というものが出ています。改竄された URL の一覧が出ているのですが……どうも静的ファイルばかりのように見えます。

「プログラム改ざん」と言われていたので動的な部分が改竄を受けていたのかと思っていましたが、これを見た限りでは、静的な Web ページが改竄されただけのようですね。改竄内容も iframe要素を加えるだけというシンプルなものですし、どのあたりで「レベルが高いアタックだったとの感触」が得られたのかがよく分からない感じですが。

※厳密には拡張子が .html だからといって静的とは限らないのですが、価格.com は Windows で運用されており、動的コンテンツは拡張子 .asp になっていましたから、.htm や .html は静的と考えてしまって良いでしょう。

……と思ったら、メール配信システムは改竄を受けていたという話が出ていますね……「価格.comの最安値通知メールにもウイルス拡散を試みる不正タグが混入 (internet.watch.impress.co.jp)」。あるいはプログラムではなく、HTML メールのテンプレートが書き換えられたのかもしれませんが。

• 「やられたのは静的ファイルだけ?」にコメントを書く

関連する話題: セキュリティ / 価格.com

1周目クリア

ロマサガ (www.amazon.co.jp)、デスもジュエルビーストも倒し、残るはサルーインのみ。

……あっさり撃破!

いや、デスもジュエルビーストも苦戦したのですが、サルーインは楽勝でした。誰も一度も倒れずに倒せてしまいましたし、BP をためて待っていたオーヴァドライブ要員も活躍の機会がありませんでした。

2周目以降はいろいろ追加要素があるらしいので、早速バーバラで2周目開始。

いちおう一周したので感想を述べておきますが、なかなか良い出来だと思います。追加されたシステムも追加されたお話も非常に良くできている印象です。また、過去の反省がかなり生かされているようで、戦闘時のナレーションや「ギユウ軍」によるチュートリアルなど、プレイヤーを置き去りにしないための細かい気配りが感じられます。

少し難を言うと、マップアビリティの付けはずしとカメラワークに理不尽さを感じました。

マップアビリティは同時に 5つまでしかつけられず、付け替えるには町などの安全な場所まで戻る必要があります。ダンジョンで「ジャンプが無いと進めません」と言われたら、ジャンプを装備するためだけに町まで戻ったりする必要があるわけです。しかもどのダンジョンで何が必要なのかはほぼノーヒント (ただしスカーブ山でクライミングが必要なのはヒントあり。いや、ヒント無くても山だという時点で想像つきますけど)。

一番ひどかったのはウェストエンド壊滅後にジュエルビーストの洞窟に潜ったときで、「ジャンプが必要」と言われて引き返したらヤシ村もサオキ村もウェストエンドも崩壊していたためアビリティの付け替えができず、結局ニューロードを通ってタルミッタまで戻らされました。そしてジャンプをつけてきたら、今度は「クライミングが必要」と言われまして……このときは正直、萎えました。

あとはカメラワーク。このゲームでは敵を避ける必要があるのですが、狭い洞窟の曲がり角などでは、プレイヤーの見えないところで敵に当たってしまう事があります。こっちはせっかく忍び足・ステルスを使っているのに、そういう事故が起きるとかなり残念な思いをします。洞窟の外でも、画面手前に向かって進んでいると進行方向が見えない事があったりします。敵を避ける必要があるのですから、もう少しキャラクターの進行方向がちゃんと見えるような配慮がほしかったところです。

とはいえ、全体の出来はかなり良かったと思います。「アンリミテッド:サガ (www.amazon.co.jp)」の汚名を晴らすには十分なのではないでしょうか?

※思いっきり余談ですが、アンリミテッド:サガと並び称される「ガンダム一年戦争 (www.amazon.co.jp)」では、制作側が「一年戦争はすみませんでした」と謝ったそうですね……「ああ、無情。ゲーム系:バンダイの気持ち (blog.livedoor.jp)」。

• 「1周目クリア」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

Wiki のファイル添付の脆弱性

「とある Wiki に XSS 脆弱性?」のお話、JVN で公開されました。

• JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
• JVN#465742E4：Wiki クローンにおけるクロスサイト・スクリプティングの脆弱性 (www.ipa.go.jp)

※JVN 側と IPA 側で表記が違う (IPA 側では「クロスサイト・スクリプティング」とナカグロが入っている) のが微妙に気になりますが。

話は単純で、「任意の HTML ファイルが添付できる」というだけです。HTML を用意し、添付します。添付されたファイルにアクセスすると、普通に HTML が表示されます。ただそれだけのことで、特別な細工は何も必要ありません。

スクリプトを含む HTML も添付できますので、悪意あるスクリプトを含む HTML を添付すれば攻撃が成立します。HTML が添付できることにはみんな気づいていたと思うのですが、それが悪用できるということに気づいていなかった……という感じでしょうか。

対応としては、

• 添付を無効にする
• Content-Disposition フィールドなどをつけて、添付ファイルがその場で開かれない (強制的にダウンロードされる) ようにする

といったものがあります。Hiki は後者の対応になっています。

後者に関しては、ダウンロード後にローカルで開けばローカルでスクリプトが実行されることになるわけですが、それはたとえばウィルス付きの exe ファイルを添付するとどうなるかという話と同じレベルのものであって、XSS ではありません。そもそも任意のファイルを添付できるということ自体が危険ですので、それをふまえて運用してくださいということで。

※なお、Hiki に関しましては ZnZさん (znz.s1.xrea.com)が開発者の方との連絡、対応方法の検討などをしてくださいました。ありがとうございました。この場を借りてお礼申し上げます。

• 「Wiki のファイル添付の脆弱性」へのコメント (1件)

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性