水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 価格.com 事件 IPA からの報告

価格.com 事件 IPA からの報告

2005年6月6日(月曜日)

価格.com 事件 IPA からの報告

IPA から「コンピュータウイルス・不正アクセスの届出状況[5月分]について (www.ipa.go.jp)」という報告がでています。

期待の価格.com に関する情報ですが、被害事例 (i) がそれっぽいですね。

(i) Webサーバに侵入され、利用者がWebコンテンツを閲覧しただけで不正なプログラムをダウンロードさせられてしまう仕組みを埋め込まれているのを発見。改ざん行為と修復作業のいたちごっこが繰り返された。改ざん箇所の調査を進めるうちに、データベースでの改ざん形跡が発見されるなどし、最終的には一時的なサイト閉鎖に追い込まれた。原因は不明(届出元で引き続き調査中)。

原因は不明、調査中だそうで。

被害事例(i)では、セキュリティパッチ適用や外部からのサーバアタック診断を適切に実施していたにも関わらず、サーバへの侵入を許す結果となってしまっています。このサイトでは、単に情報を公開するだけのコンテンツに加え、利用者からの書き込みを受け入れる仕組み(掲示板やサービス申込みフォームなど)もありました。こうしたサイトでは OS やサーバソフトの脆弱性対策に加え、利用者からの入力を受け付けるWebアプリケーションの処理方法が適切かどうかのチェックなども必要となり、対策範囲が広範に渡ってしまうケースが多いと思われます。セキュリティ対策を施す範囲とその内容について、再確認しましょう。

セキュリティパッチは当てていたようですね。

Web アプリケーションの脆弱性を突かれたことを匂わせる記述になっていますが、明言はされていません。IPA も断定するだけの情報は持っていないということなのでしょうけれども。

関連する話題: セキュリティ / 価格.com / IPA

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト