水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 丸見え系

丸見え系

2004年5月18日(火曜日)

丸見え系

更新: 2004年10月18日

とあるサイトで、フォームから送信されたと思われるデータが公開されていることを発見。普通に考えると設定ミスによる漏洩なのでしょうが、なんかデータに対してリンクが張られているし……アンケート結果を公開するような感覚で意図的に公開しているのかしら? 良く分かりませんが、データには思いっきりメールアドレスなどが含まれていて、問題があるように思えます。

とりあえずストックに追加しておきますが、IPA の例の窓口はこんなの受け付けてくれるのでしょうか? 「ソフトウエア等脆弱性関連情報取扱基準(案)」等に対する意見の募集 (www.meti.go.jp)で公開されている PDF 文書を見ると、適用範囲は以下のようになっていますね。

Ⅳ.本基準の適用範囲

本基準は、以下に掲げるものの脆弱性であって、その脆弱性に起因する被害が不特定多数の者に影響を及ぼし得るものに適用する。

1.日本国内で利用されているソフトウエア製品 (ソフトウエア製品において通信プロトコル等の仕様を実装した部分を含む。)

2.主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーション

以上、ソフトウエア等脆弱性関連情報取扱基準(案) より

ウェブサイトの問題全般を受け受けるわけではなく、ウェブアプリケーションの問題である必要があるように読めます。ウェブアプリケーションの定義は以下の通り。

5.ウェブアプリケーション インターネット上のウェブサイトで稼働する固有のシステム。

以上、ソフトウエア等脆弱性関連情報取扱基準(案) より

……Web サーバは固有のシステムではないように思えますので、その設定ミスなんてのは対象外のような気がします。

まあとりあえず通報してみて、「脆弱性関連情報に該当しない」という回答になったら公開という方向で。

※「脆弱性関連情報に該当しない」となった場合、その情報の公開を妨げる要素って何もないですよね。警視庁の「個人情報流出防止」 (www.keishicho.metro.tokyo.jp)を見ても、ディレクトリ丸見え系は不正アクセスではないという認識のようですし。

※2004-10-18 追記: IPA に届け出たらちゃんと受け付けてもらえまして、2004-10-06 に修正完了の連絡をいただきました。

関連する話題: セキュリティ / IPA

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト