水無月ばけらのえび日記

Windows Server 2003 の IE でのイントラネットゾーンの扱い

むらまささん (www.fprog.org)に教えていただいたのですが、Windows Server 2003 (www.amazon.co.jp) の IE では、イントラネットゾーンが登録制になっているのですね。知りませんでした。

Windows XP (www.amazon.co.jp) などの場合、デフォルトで「ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める」が有効ですので、http://foo などはイントラネットゾーンとして処理されます。しかし、Windows Server 2003 でセキュリティ強化の構成が有効の場合は無効で、それどころかその選択肢自体が現れないようです。イントラネットゾーンは、「信頼済み」と同じようにサイトを登録して使うことになります。

ちなみに、初期状態では hcp://system というものが登録されています。これは「ヘルプとサポートセンター」を示す URL のようです。

• 「Windows Server 2003 の IE でのイントラネットゾーンの扱い」へのコメント (4件)

関連する話題: セキュリティ / Internet Explorer

ruby で RPC 関係の脆弱性

「ruby-1.8.2に任意のコマンド実行の脆弱性 (slashdot.jp)」だそうで。

XML-RPC は、普通は特定のメソッドだけを HTTP 経由で呼べるようにするわけですが、ruby-1.8.2 では、何も考えないで使うとあらゆるメソッドが全世界から呼べてしまう……というお話で良いのかしら。

• 「ruby で RPC 関係の脆弱性」にコメントを書く

関連する話題: セキュリティ

セカンダリ DNS 放置プレイ

「ドメイン名の登録と DNS サーバの設定に関する注意喚起 (www.ipa.go.jp)」という文書が出ています。

いわゆるセカンダリの DNS が放置プレイで、ドメインごと消滅していたりしても気づかないということは結構あると思います。いや、実はあんまり他人事ではなくて、弊社でも半年くらい前には同じ状態になっていたという……。たまたま私が DNS 関係の設定を確認していて気づいたのですが、逆に、そういう機会がないと意外に気づかなかったりするのですよね。他の DNS サーバは生きているので一応引けますし、特に問題らしい問題も出なかったりしますので。

最初から全部内部名にしておけば問題ないといえばないのですが、ISP から「この名前で登録しろ」とか言われたものに勝手に名前を付けることには問題がありますし…… (儀礼的な話ではなくて、ISP 側が IP アドレスを変えたときに困る)。

• 「セカンダリ DNS 放置プレイ」にコメントを書く

関連する話題: セキュリティ / DNS

某所の怖いエラー

うーん、パス名パラメータにドライブ名まで含まれているというケースは初めて見ました。"C:\winnt\……" なんてのを渡すといろいろ見えるのかなぁと思いつつも、怖くて試せないわけですが。

とりあえず明らかに無効な文字列を渡してみると、まあ普通にエラーメッセージが出るわけですが……なんか引数がおかしいとか言われていて、どうも OS コマンドの引数に任意の値がインジェクションできる雰囲気ですね。もちろん試しませんが。

• 「某所の怖いエラー」にコメントを書く

関連する話題: セキュリティ / Web

公開されているのかどうか……

なんか某社の社内向けページっぽいものが見えていますが……個人情報丸見えならともかく、こういうものだと意図的に公開している可能性もあり、問題なのかどうかよく分からないのですよね。経緯はこんな感じ。

• スクリプト無効だとトップページから先にはアクセスできないサイト
• 仕方ないのでソースを見る
• すると、アクセス解析用のフリーの CGI を呼んでいる記述を発見
• フリー CGI だけにアクセス解析結果を表示する URL が既知なので、アクセスしてみる
• 普通に見えた。トップページが 50PV/日みたい。この CGI にはアクセス制御機能があるようなので、それを使っていないということは意図的に公開しているのだと思われます。
• Referer のログを見ると、なんかパスに private とか含まれている URL がある (ちなみに、これを発見したのは私ではありません)
• アクセスしてみると、社内向けっぽいページだった。もちろん ID もパスワードも全く訊かれていません。

とりあえず、意図して公開しているものと判断しておきます。

• 「公開されているのかどうか……」にコメントを書く

関連する話題: セキュリティ / Web

脆弱性対策のチェックポイント

IPA から「ウェブサイトのセキュリティ対策の再確認を ～脆弱性対策のチェックポイント～ (www.ipa.go.jp)」という文書が出ています。

技術者向けの内容ではないような気がしますが。

• 「脆弱性対策のチェックポイント」にコメントを書く

関連する話題: セキュリティ / IPA

ドラッグオンドラグーン2は

「「ドラッグオンドラグーン2」は作られるべくして作られた続編である (www.itmedia.co.jp)」。

ドラッグオンドラグーン2 (www.amazon.co.jp)、私もまだそんなにプレイしていませんが、操作性は前作よりも確実に良くなっていると思います。前作ではあまり役に立たなかったジャンプやスライドが普通に使えるレベルになっていますし、ガードなんか必須ですし。

私が感じた前作との差異を簡単に挙げてみると……

• 敵に与えたダメージの数値が表示されるようになりました。これによって、敵に攻撃が当たっているかどうかはっきり分かるようになりました。
• ジャンプ力が大幅に UP しました。リアリティのない高さですが、いろいろなものが回避できたり、巨大な敵の頭部を攻撃できたりと多彩な使い方が出来ます。
• スライド後の硬直が無くなり、すぐ行動できるようになりました。普通にスライドして後ろに回り込めたりします。
• ドラゴンは地上戦でもロックオンできるようになりました。
• ドラゴンのダッシュが、ボタン押しっぱなしで加速に。前作では連打してもちょっとしか進めなかったのですが、今回は非常に爽快。
• ドラゴンがホバリングできるようになりました。前作では敵の頭上を通り過ぎてしまって、振り向いてまた通り過ぎて……なんてことをしていましたが、今回は L2 でホバリングして撃つことが出来ます (それでもゆっくりと進みますが)。
• 武器の成長が殺戮数ではなく経験値に依存するようになりました。全体的に成長が早くなり、また強敵を倒す方が成長が早いです。次のレベルまで 10000 とか言われても割と平気で達成できます。その代わりシャドウはいなくなったようですが。
• 敵のガードがかなり堅いです。盾を持っている敵が多いので、ガードブレイクを考える必要があります。
• 敵が賢くなったような気がします。なんか敵が大勢いる場合、後ろに回り込もうとしてくるように思います。リーチの短い武器を使っている場合、囲まれるとかなりまずいです。

以下メモ。

• ガード超重要。ガードできないとアンデッドナイトで死にます。
• 賞金稼ぎの吹き矢 (?) を武器で跳ね返して本人に当てると何故か大ダメージ。
• ノーム戦では、開始直後に経験値高めのノームが大量出現します。そこで MP回復薬を用意しておき、いきなり MP 回復→魔法ぶっ放し、の繰り返しで殺戮後、わざと死んでコンティニューすると効率よく経験値が稼げそう。私はやってないですけど。
• 信義の「刃こぼれしやすい」というのは、レベルが上がると弱くなるという意味。レベル1 で 80 あった攻撃力がレベル3 で 10 に低下します。しかし気にせずに使い続けてレベル4 にすると真の力を発揮。

• 「ドラッグオンドラグーン2は」にコメントを書く

関連する話題: ゲーム / ドラッグオンドラグーン

ミシュランのタイヤが脆弱

「７チームが一斉棄権　優勝はＭ・シュー　Ｆ１米国ＧＰ (www.asahi.com)」。ミシュランのタイヤに問題があって F1 が大変なことになったというお話ですが、尾張さんの日記 (?) が興味深いですね。

• 2005/6/18 空気圧 (www.f1.panasonic.com)
• 2005/6/19 選択肢 (www.f1.panasonic.com)
• 2005/6/20 セーフティ・ファースト (www.f1.panasonic.com)

6月18日の日記には問題のタイヤの写真も出ています。

• 「ミシュランのタイヤが脆弱」へのコメント (3件)

関連する話題: 出来事

ドラッグオンドラグーン2

ドラッグオンドラグーン2 (www.amazon.co.jp)、何となく購入。

• 「ドラッグオンドラグーン2」にコメントを書く

関連する話題: ゲーム / ドラッグオンドラグーン / 買い物

木達さん宇宙へ

「辞令　宇宙飛行を命ず 優秀社員へ『高～い』賞与 (www.tokyo-np.co.jp)」。

おめでとうございます。

• 「木達さん宇宙へ」へのコメント (1件)

関連する話題: 出来事

こっちが本家ですから

シアター志向のしっとりした画質ーー松下「TH-26LX500」 (www.itmedia.co.jp)

「サポートした」って、従来機種でも Tナビはサポートしていますから! 少なくともうちの LX300 はサポートしています。

というか、ビクターと同様にって……。

• 「こっちが本家ですから」にコメントを書く

関連する話題: 思ったこと

安心できない安心相談

「警察庁、「インターネット安全・安心相談」システム運用開始 (internet.watch.impress.co.jp)」なのだそうですが……実際に「警察庁 インターネット安全・安心相談 (www.cybersafety.go.jp)」を見てみると、フレームだし、スクリプト無効だと送信できないし……ということで、このサイト自体がちょっと安心できない感じですね。

• 「安心できない安心相談」にコメントを書く

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

Whois怖い

「米国の話聞き、試してみた」　フィッシング容疑者供述 (www.asahi.com)という記事が。

逮捕された人の情報が Whois で公開されているのはまずいと思いますが、逮捕された人の妹さんの情報が公開されているのはもっとまずいのではないかと思いました。

• 「Whois怖い」へのコメント (3件)

関連する話題: セキュリティ / プライバシー

ニュースサイトのアクセス性

「ブログに問われる書く技術、話す技術 (www.itmedia.co.jp)」というお話が出ていますが、内容はさておき思ったこと。

確かに珍しくないですし、検索している側としても嬉しくない事態ですが、本来はそんなことは起きないはずなのですよね。普通、Web の記事を引用したら元の記事にリンクしますから、ニュースサイトの方がランクが高くて当然なのです。

にもかかわらず逆転現象が起きたりするのは、引用されるニュースサイト側のアクセシビリティに問題があるからなのだろうと思います。

たとえば、MSN-Mainichi INTERACTIVE (www.mainichi-msn.co.jp) のニュースなんかはかなり良く引用されると思うのですが、個々の記事を見ると、title要素にその記事の題名が入っていない、h1要素もないという状態です。

読売などはちゃんとタイトルが入っていますが、こちらはこちらでいわゆる「ディープリンクお断り」の姿勢を見せています (参考: http://www.yomiuri.co.jp/policy/link/ )。そのため、その意思を尊重する人は、引用はしても記事へのリンクはしないことになります。これまた当然ですがランク低下の原因となります。

ニュースサイト側に明らかに負けている要因があると思うのですよね。

• 「ニュースサイトのアクセス性」にコメントを書く

関連する話題: アクセシビリティ

早期警戒パートナーシップの感想とか?

IT Pro にこんなのが出ていますね……「セキュリティ向上への地道な試み「早期警戒パートナーシップ」を知っていますか？ (itpro.nikkeibp.co.jp)」

これはソフトウェア製品の話であって、ウェブアプリケーションの話ではないですよね。ウェブアプリケーションについては、現在でもユーザへの報告無しのヤミ改修が主流だと思いますので。

私個人の感想を付け加えると、複数のベンダに影響する問題について調整してもらえるのが非常にありがたいと思いました。たとえば、JVN#FCAD9BD8 (jvn.jp) の届出には Shuriken と Outlook Express の名前しか出ていませんが、公開時には他の製品もたくさん名を連ねていました。それらは IPA や JPCERT/CC の方が独自に調査して連絡してくださったものに違いありません。個人が大量の MUA を調達して検証するのは難しいですし、こういう対応をしてもらえるのはありがたいです。

※ただ、その過程の情報が届出者のところにぜんぜん来ないのはどうかと思います。「○○の開発者にも連絡しました」というような報告があっても良さそうなものだと思いますが。

もっとも、これまたソフトウェア製品に限った話なのでして、ウェブアプリケーションの方はまた別な感想があったりなかったり。

• 「早期警戒パートナーシップの感想とか?」にコメントを書く

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ

メモ : URL にセッションが入ってしまっている場合の自衛策

「URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題 － (securit.gtrc.aist.go.jp)」という文書が出ていますが、URL にセッションを埋め込んでしまっているシステムをどうしても使わなければならない場合、ユーザの自衛策としては以下のような対応が考えられます。

• 絶対に URL を記載することがないように気をつける。特に、メールでログイン後画面についての説明をする際などに URL を記載してしまうことがあるので注意。
• アクセス中に他のサイトを見ないように気をつける。「■リンクのないサーバへもREFERERは送出され得る (securit.gtrc.aist.go.jp)」の件。IE6 やその他のブラウザでは起きないような気もするのですが、念のため。
• 用が済んだら、確実にログアウト操作を行う。

こんな感じの対応をマニュアル化して周知する感じ?

要は URL がセッション情報を含んでいるということを意識して、それが漏れないように注意する必要があるということで。

• 「メモ : URL にセッションが入ってしまっている場合の自衛策」へのコメント (1件)

関連する話題: セキュリティ

Apache モジュールを通さないで見えてしまう系

某サイトで、ちょっと URL を間違えたところ、サーバ側のスクリプトのソースと思われるものが見えてしまいました。想像するに、特定の URL が独自の Apache モジュールによってサーバ側で処理されることになっていて、しかしながらその対象となる URL の正規化がうまくできていないため、微妙に URL を間違えるとモジュールで処理されないまま出力されてしまうのではないかと。

※あるいはディレクトリトラバーサルも可能なのではないかと思いましたが、出来てしまったら怖いので試していません。

そういえば昔 .jsp を .js%70 と書くと見えるとか、.cgi を .cgi/ とすると見えるとかいう話がありましたが、それと同じような話だと思います。個人が開発しているような Apache モジュールって結構あると思いますが、中には結構まずいものもあるのかもしれません。

• 「Apache モジュールを通さないで見えてしまう系」へのコメント (1件)

関連する話題: セキュリティ

フィッシング詐欺で逮捕

「偽の「ヤフー」でフィッシングの疑い　会社員を逮捕 (www.asahi.com)」という記事が出ています。

うーむ、著作権法違反になるのですか……。

• 「フィッシング詐欺で逮捕」へのコメント (3件)

関連する話題: セキュリティ / Web

サルーインを叩き殺す

ロマサガ (www.amazon.co.jp)、2周目なので、運命石をサルーインに捧げてみました。ダイアモンドは持っていない (というかたぶん 2周目ではまだとれない) のですが、他の 9個を景気良く全部捧げてみました。

で、戦闘開始。サルーインソードの代わりにオブシダンソードを使ってきて LP がもりもり削られましたが、第一形態はまあ軽く撃破。で、形態が変わると……ゴッドハンド×3→アニメート→立て直そうとするも再びアニメートされたりして、最後は竜騎士一人。どうにもならず終了。

※竜騎士がいる時点でどうかという話もありますが……。ただ、絶対アニメートされないという点ではサルーイン戦に向いているかも。

まあまだ 2周目だしこだわっても仕方ないので、今度は形態が変わるなりクイックタイムを解禁。シムラクラムと聖杯・ミイラの薬コンボで無限クイックタイム発動。サルーインは何も出来ず、文字通り「叩き殺す」感じで勝利しました。

※シムラクラムを使って呼び出した雪だるまが武器や消費アイテムを使っても、雪だるまが消えると元に戻っています。アイテムを消費したのはあくまで雪だるまであって、本人ではないということのようです。シムラクラム→聖杯とミイラの薬使いまくり→わざと LP 消費技を使って雪だるま消滅→シムラクラム……を繰り返せば永遠にクイックタイムを維持することができます。

三周目は何となくグレイで。

• 「サルーインを叩き殺す」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

竜槍ケレンドロウズ

ロマサガ (www.amazon.co.jp)、邪教の廃墟でレッドドラゴンを倒したら、狙ってもいなかったのに「竜槍マリストリク」が一発で出て超ラッキー。

せっかくなのでもう一本の方も揃えようかと思い、シルバーさんを倒す倒す倒す。かなり強化してあるので2ターンで倒せるのですが、出るのは自然銀ばかり。倒しまくること一時間三十分にしてようやく「竜槍ケレンドロウズ」をゲットしました。

ちなみに、シルバードラゴンのブレスは術法防御が 133あればノーダメージになるようです。131だと 3ダメージ受けました。

• 「竜槍ケレンドロウズ」にコメントを書く

関連する話題: ゲーム / Sa・Ga / ミンストレルソング

動かすのは簡単だが、安全に動かすのは難しい

「言葉は知られていても危険性までは認識されていない「SQLインジェクション」 (www.itmedia.co.jp)」より。

御意。反射的に "PHP" という三文字が脳裏をよぎりましたが……。

• 「動かすのは簡単だが、安全に動かすのは難しい」にコメントを書く

関連する話題: セキュリティ / SQLインジェクション

直しても直しても直らない

JVN に新ネタ、「JVN#0DC004F6 desknet's におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」というものがでています。

以前指摘されて修正したはずの問題が別のパターンで可能だったという話のようです。実のところ、ブラウザベースのアプリケーションで HTML メールを安全に表示するというのはメチャクチャ大変なことなので、仕方ないのかなという気もします。

私が経験した事例では、HTML メールではありませんが、こんなケースがありました。

まずは HTML が添付できる掲示板の事例。

• 添付された HTML は本文の一部として表示されるが、<script> などの危険なタグは削除されるというサニタイズ処理
• しかし <<script> などと書くと何故か貫通
• 修正されたが、今度は <scr<script>ipt> などと書くと貫通
• 修正されたが、また別の方法でスクリプトが書ける事が発覚 (これは修正されていないので方法は伏せておきます)

それから、また別の HTML が書ける掲示板の事例。

• HTML が書けるが、使用できる要素はいくつかに限定されている。a要素が使用できる
• <a href="javascript:alert()"> などと書くと、タグ全体がエスケープされる。属性値に "script" という文字列が含まれているとエスケープされるというサニタイズ処理
• しかし <a href="javascrip&#116;:alert()"> などと数値文字参照で書くと貫通
• 修正されたが、<a href="javascrip&#116:alert()"> として文字参照末尾のセミコロンを省略すると貫通
• これは非公式に修正されたらしい (修正はアナウンスされていないし私も正式な報告を受けていないのですが、いつのまにかできなくなっていました)
• しかし、実はまだ別の方法でスクリプトが書ける (これも修正されていないので方法は伏せておきます)

どちらも「修正しました」「修正できていません」と泥沼としか言いようのない経緯をたどり、結局修正できていません。

これらはそもそも「HTML が添付できる」「HTML が書ける」という仕様ですので、危険でない HTML は使用できるようになっていなければなりません。そして特定の危険な組み合わせだけをサニタイズしようとしているわけですが、それがもう茨の道なわけです。後者のケースでは、「HTML では REFC (参照終了区切り子、セミコロン) が省略可能なケースがある」などという知識が要求されているわけですが、そんなマニアックなところまで把握しているプログラマはどのくらいいるのでしょうか。さらには、HTML の仕様書には出ていない MSIE の怪しい挙動に至るまで理解している必要があります。

というわけで、「危険な記述だけをサニタイズする」という発想はもう物凄い茨の道です。直しても直しても次から次へと貫通方法が発見されるというのは、ある意味当然だとさえ思います。

そして思うのですが、上で軽く触れたような「こういうサニタイズではこういう貫通方法があるので駄目」というノウハウがどこかに蓄積されていて、ウェブアプリケーションを作ろうという人たちが自由に参照できる形になっていると、いろいろな人が幸せになれるのかもしれません。「IPA ISEC　セキュア・プログラミング講座 (www.ipa.go.jp)」などに出ている事もあるのですが、もっと詳細に知らないと駄目な事ってあると思うのですよね。

……まあ、現状では「そういうのを公開すると一般ユーザが真似する」などと言う人が出てくるのは目に見えているので、難しいのでしょうけれど。

• 「直しても直しても直らない」へのコメント (3件)

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / IPA / JPCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ

カカクコム批判はボツ?

こんなお話がでています……佐々木俊尚の「ITジャーナル」：波紋を広げるカカクコム問題 (blog.goo.ne.jp)。

なんというか、「相変わらず」という言葉にすべてが集約されている感じですね。

• 「カカクコム批判はボツ?」にコメントを書く

関連する話題: セキュリティ / 価格.com

価格.com 事件 IPA からの報告

IPA から「コンピュータウイルス・不正アクセスの届出状況[5月分]について (www.ipa.go.jp)」という報告がでています。

期待の価格.com に関する情報ですが、被害事例 (i) がそれっぽいですね。

原因は不明、調査中だそうで。

セキュリティパッチは当てていたようですね。

Web アプリケーションの脆弱性を突かれたことを匂わせる記述になっていますが、明言はされていません。IPA も断定するだけの情報は持っていないということなのでしょうけれども。

• 「価格.com 事件 IPA からの報告」にコメントを書く

関連する話題: セキュリティ / 価格.com / IPA

パスワードは校長の名前

「パスワードは校長名、生徒が校内ＬＡＮに侵入　北海道 (www.asahi.com)」。

いや、思わず笑ってしまいました。昔「ウォー・ゲーム (www.amazon.co.jp)」という映画がありましたが……。

しかし、これは「不正アクセス」になるのでしょうかね。校長の名前が「その内容をみだりに第三者に知らせてはならないものとされている」のであれば「識別符号」に該当するわけですが。

• 「パスワードは校長の名前」にコメントを書く

関連する話題: セキュリティ

青色 LED がまぶしすぎる

「氾濫する青色LED――消費者から「目障り」と不満の声 (hotwired.goo.ne.jp)」。

そういえば Be Silent M7000 のパイロットランプも青なのですが、かなり強く輝いて見えるのでちょっと気になっていたのでした。

• 「青色 LED がまぶしすぎる」にコメントを書く

関連する話題: 思ったこと

カカクコム CEO インタビュー

価格.comのサイトにはこんなのが出ていますね。「株式会社カカクコム - 企業情報 投資家の皆様へ (www.kakaku.com)」。

その一方で、こんなのが出ています……「当社が不正アクセスの手口を公開しない理由」，カカクコムの穐田CEO」 (itpro.nikkeibp.co.jp)。これはやっぱり、ちょっと理解しがたい内容です。

これを読むと、「いわゆるプロのクラッカーではない，一般の人」が「面白半分で」実行できるような簡単な方法でクラックできたのだと解釈できてしまいます。これは、実際にそうだったのかもしれませんね。具体的な exploitコードが公開されれば、誰でもすぐに他のサービスに応用できるようなものだったのかもしれません。

しかし、そもそも具体的な exploitコードを公開してほしいと思っている人がいるのでしょうか? 少なくとも私は、

• OS や Web サーバのセキュリティホールによるもので、最新のパッチを適用していても防げないものだったのか?
• ウェブアプリケーションの脆弱性 (たとえば SQL インジェクション) だったのか?

といったあたりに Yes / No で答えていただけるだけでだいぶ安心できる (あるいは、逆に他人事ではないと分かる) ので、これだけでも公開してほしいと思っています。これらに Yes / No で答えたからといって「いわゆるプロのクラッカーではない，一般の人」が「面白半分で」何かをすることが出来るとはとうてい思えないのですけれども、そんな最低限の情報すら公開されていないのですよね。

だからこそ、多くの人が早期の情報公開を望んでいるのでしょう。情報が早く公開されれば、早く対応を始めることができ、早く対応が終わります。対応に時間がかかるなら、なおのこと早く対応を始めたいと思うでしょう。情報が公開されなければ、いつまで経っても何の対策も出来ないままですし……。

ここで言う「クラッカー」って、どういう人を想定しているのでしょうか。今回は実際に悪意をもって攻撃を行った人が存在していると考えられるのですが、その人が別のサイトをターゲットにするとか、別の人にこっそり手口を教えるといった可能性は考えなくて良いものなのでしょうか。現状は、クラッカーは既に情報を持っていて、しかしながら防御側はまだ情報を持っていないという状態だと思うのですが……。

うーん、これは微妙ですが、

• サーバはそれなりにちゃんと管理していたし、ちゃんと OS のパッチも当てていた
• しかしウェブアプリケーションの脆弱性が放置されていた

という状況を評価したものだと解釈すると、いちおう矛盾無く理解できますね。そうであってほしいですが。

……まあそれはさておき、引用が前後しますが

この点が非常に重要ですね。この手のサイトでは閉鎖は金銭的な損失に直結しますから、個人の責任で閉鎖の判断をするのは非常に難しくなります。

昨日の某所でもこれが話題になりましたが、このような自体を想定した緊急対応マニュアルを整備しておく必要がありそうです。こういう事態が発生したときに、すぐにサイトを閉鎖するという判断が出来る (閉鎖の判断をしなくてはならない) ようなルールを整備しておくことで、少なくとも「サイト閉鎖が遅れて被害を拡大させた」というような事態は避けられるのではないか、というお話になりました。

カカクコムの対応はツッコミどころ満載ですし、情報も出てこないので苛立ちますが、それでも出来るところはありますので、そういうところから実践して行きたいですね。

• 「カカクコム CEO インタビュー」にコメントを書く

関連する話題: セキュリティ / 価格.com

ハッカー神話健在?

某所にて、「皆さんはプロなのでサーバにアクセスしたりできるのでしょうけれど……」などと言われたりして、興味深く思いました。

昔、高木さんが日記にハッカーの虚像というお話を書かれていた (d.hatena.ne.jp)わけですが、やっぱり「その道のプロは自在に任意のサーバに侵入できる」と思われている方は未だに多いのかもしれないですね。価格.com の問題でも「サイバー攻撃」という謎の言葉が使われましたが、その裏には「プロの手によるサイバー攻撃なんだから防ぎようがないよね」という誤った認識があるのではないかな、と思っています。

当たり前ですが、たとえその道のプロであっても、アクセスできるようになっているところにしかアクセスできません。不正アクセス云々というのは、単に管理者の意図しない理由によってアクセス可能になってしまっているという話です。もちろん、その「意図しない理由」の内容は様々で、

• 単にパスワードが漏れた
• OS の脆弱性を放置していた (OS の脆弱性を知らない or 放置の危険性を理解していなかった)
• ウェブアプリケーションに脆弱性があった

などいろいろありますが、「手口」を見ても、そんな特殊な技術や知識は必要ない場合が多いです。もっとも、なにをもって「特殊」とするのかが微妙で、

• フォームのページの HTML のソースを表示する
• そのソースをローカルに保存する
• 元の URL に相当する base要素を追加する
• input type="hidden" の value をテキストエディタで書き換える
• その HTML を開く
• フォームを送信する

というような手順は、多少なりとも Web に携わる人間なら誰でもすぐに簡単に実行できるのですが、マスコミや裁判所のフィルターを通ると「プログラムを改竄」「HTML ソースを巧みに改変」などという評価になってしまうわけですね。

• 「ハッカー神話健在?」へのコメント (1件)

関連する話題: セキュリティ