水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2008年のえび日記 > 2008年7月 > 2008年7月24日(木曜日)

2008年7月24日(木曜日)

IPAからの指摘を教訓にできなかったアイリスプラザ

うわぁ。これは大ショックです。

そしてお詫びとご説明 (www.irisplaza.co.jp)FAQ (www.irisplaza.co.jp)

Q.不正アクセスに対する対策はしていたのか?

A.ファイヤーウォールやSQLインジェクション対策はしておりましたが、既に使われていない古いプログラムは対策されておらず、結果的にそのプログラムから攻撃を受けています。

「SQLインジェクション対策はしておりましたが」って言い切られてしまいましたが、2年前にIPAから指摘を受けて初めて対策したのですよね? 2006年8月24日の時点では、アイリスプラザのトップページにある検索フォームで単引用符を検索したとき、以下のようなメッセージが表示されていました。

Microsoft OLE DB Provider for ODBC Drivers エラー '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]データ型の演算子が無効です。データ型演算子は modulo、データ型は varchar です。

/Meisai.asp, 行 45

そして、商品ページのURLのID部分に%27を付けるとこんなメッセージが。

Microsoft OLE DB Provider for ODBC Drivers エラー '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]文字列 '' の前で引用符が閉じていません。

/OyaSet.asp, 行 12

実際に任意のSQL文が実行できるかどうかまでは確認しませんでしたが、状況証拠としては十分でしょう。

IPAからの指摘を受けた後の動きは非常に素早く、即日修正されたようです。その素早さ自体は評価したいところですが……。

私が見たのはトップページと商品ページという、これ以上目立ちようがないようなページだけです。それらがことごとく脆弱だったわけですから、指摘されたポイントを修正して終わりにするのではなく、「他のページも危ないのではないか」と思ってほしいところです。そこで棚卸しと総点検を行っていれば、「既に使われていない古いプログラム」が放置されることもなかったのではないかと思います。

IPAから指摘を受けたという事実は、経営に伝わったりしているのですかね? 現場レベルで修正して終わりにしてしまったりすると、棚卸しの機会なんて得られないわけでして。こういう事件が起きないことを願って届け出ているのですから、指摘された側でもちゃんといろいろ考えてほしいところではあります。

関連する話題: セキュリティ / SQLインジェクション / 情報セキュリティ早期警戒パートナーシップ

マール王国の人形姫 天使が奏でる愛のうた

Wiiの「みんなのニンテンドーチャンネル」が更新されて機能強化されたということでいろいろ見ていたのですが、こんなのを発見。

DSで出るのですね……。PS版は、魔法一発で終わる単調な戦闘、同じ景色がひたすら続くダンジョン、役に立たないモンスター仲間システム……など、システム面にいろいろ課題はあったものの、ストーリーは悪くない感じでした。リメイクでシステム面が改善されていれば、だいぶ良いゲームになりそうな気がします。

関連する話題: ゲーム / ニンテンドーDS

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト