Home > コンピュータ関連 > セキュリティ Archive

セキュリティ Archive

「予告.in」に不正コード埋め込み

  • Posted by:
  • 2008年8月 4日 23:21

「2時間で作った」が売りだったんですが、多少時間が掛かってもテストしないと...
と思ったニュース。

サイトの趣旨は素晴らしいと思っていただけに、驚きを隠せません。

「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿

 犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。

 問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。

 クロスサイトスクリプティング(XSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性があったという。

 矢野さんはユーザーからの連絡で状況を確認。不正コードを排除し、不正コードを送信・表示できないような対策を講じた。犯行予告を投稿後、すぐに反映する形式から、いったん内容を確認してから反映させる方式に一時的に変更した。

 警視庁には、これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。必要があれば被害届を出したいという意思を伝えた。警視庁は事実関係を把握し、調査を行っているという。

 矢野さんは「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪。プログラムの整備やセキュリティー対策強化を行っていくとしている。


こちらでは、厳しい意見も。

予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」

犯行予告サイト『予告in』にセキュリティ脆弱性があるとしてクロスサイトスクリプティング (Cross Site Scripting) を利用したコードが『予告in』に貼られるという騒動が起きた。
8月2日の深夜の出来事で『Internet Exploler』(その他互換ブラウザ)でアクセスすると不正なコードが送信されるというもの。

そのコードを踏むと『2ちゃんねるニュース速報VIP』に「警視庁○○する」犯行予告として書き込まれるのだ。
それだけではなく名前欄は“fusianasan”(IP、もしくはリモートホストが表示される)、本文は「嘘です」というもの。

クロスサイトスクリプティングとはいわゆるサイトを横断したコードである。
今回は『予告in』にあるスクリプトを踏むと『2ちゃんねる』に投稿するように仕組まれたようだが、もちろん『2ちゃんねる』以外にも投稿させようと思えば出来る。

『予告in』運営側は「一時的な対応策として犯行予告の投稿時、すぐに反映するリアルタイム形式から、一旦内容を確認してから反映させる確認方式に一時的に変更」としている。

現在この不正コードは対策されているという。

今回の件について某IT企業に勤めるエンジニア(匿名)に聞いてみると、
「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」
と語る。

『予告in』側は「コードを踏んで『警視庁○○する』と投稿した人は本人の意志ではない、すべての要因はコードを開発&埋め込んだ犯人に原因がある事」としている。

このようなスクリプトのおかげで一時的に“犯行予告を予告”するサイトになってしまった『予告in』だが、今後は今まで通り“収集・通報サイト”として頑張って欲しい。

クロスサイトスクリプティングというのは、セキュアプログラミングの基本中の基本。
WEB系エンジニアなら、知らないってことはないと思うんですけどね...

『予告in』に行ってみると、「犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。」とありますので、コードの不具合というより、対策コードそのものが実装されていなかったということのようです。
不正コードを投稿した人も当然悪いのですが、このレベルになると開発者にも問題があるように思います。

ドリームキャスト

  • Posted by:
  • 2008年3月11日 18:26

セキュリティネタです。

注意:ドリームキャスト10周年を祝ってuser.dreamcast.comのメールアドレスを発行

要約すると、既に販売を終了しているということでセガが手放したドメインを、第三者が取得し、偽サイトを立ち上げているとのこと。
目的はよく分かりませんが、メールアドレスの収集なのでしょうか...

一般的にフィッシングというと、そっくりなドメインを使うわけですが、これは正真正銘の本物で、取得自体は違法性が無いというところがミソ。(取得申請の内容は偽っているようです)
なにしろ、ドメインが本物だということで、上記サイトもすっかり騙されてニュースとして紹介後、あわてて訂正しています。

正直、セガがドメインを手放すのがちょっと早すぎたように思います。
.comドメイン一つくらい維持したって、どうってことないでしょうに。

日立が「廃棄したはず」の個人情報入りHDD、中古店に流出

  • Posted by:
  • 2008年1月21日 00:28

[livedoor ニュース]日立が「廃棄したはず」の個人情報入りHDD、中古店に流出
[ITmedia]日立が「廃棄したはず」の個人情報入りHDD、中古店に流出


 日立製作所は1月18日、廃棄したはずの個人情報入りHDD 1台が中古業者に流出していたことが分かり、14日に回収したと発表した。東京消防庁から修理・交換を依頼されたPCのHDDで、職員など2500人分の個人情報などが含まれていた。

 HDDの修理を委託された子会社が「動作不能」と判断し、金属材料のリサイクルのためリサイクル業者に売却したところ、誤って外部に持ち出されたという。

 HDDには、東京消防庁の職員100人分の個人情報と、建物の防火安全管理権原者リストに記載された名前や住所など2400人分の個人情報が含まれていた。

 中古品量販店でHDDの一部を購入した人から、東京消防庁にメールで通報があり判明した。リサイクル業者から中古量販店へ持ち出された経緯は現在調査中という。

 日立は「IT機器の廃棄処理方法を見直すとともに、再発防止に全力で取り組む」としている。

昔からよくあった話ですが。
「リサイクル業者から中古量販店へ持ち出された経緯は現在調査中」なのに、何故「誤って外部に持ち出された」と言い切れてしまうのかは不思議ですね。
また、HDDの修理を委託された子会社が「動作不能」と判断したのに、中古品量販店で普通に売られ、しかも中身がきちんと見れるようになっていた訳ですから、この点も不思議です。

廃棄する際には、穴を開けるなどして、再利用できないようにするのが常識なのですが、大手でもこれが実態なのですね...

Windows Defender日本語版リリース

  • Posted by:
  • 2006年11月11日 12:48

スパイウェア対策ソフト「Windows Defender」日本語版も正式リリース

これはいいですね。
今まではAD-AWAREを使っていたんですが、英語嫌いなので日本語版の無償ソフトが出てきるのは嬉しいですね。
マイクロソフト製なら、まあとりあえずは変な不具合とかも無さそうだし。

ちょっと使ってみて、軽いようならこっちを使ってみようかな。

Index of all entries

Home > コンピュータ関連 > セキュリティ Archive

Search
Feeds
Tag Cloud
Recommend

SQLパズル 第2版 プログラミングが変わる書き方/考え方
SQLパズル 第2版 プログラミングが変わる書き方/考え方

ソフトウェアアーキテクチャ―ソフトウェア開発のためのパターン体系
ソフトウェアアーキテクチャ―ソフトウェア開発のためのパターン体系

ITアーキテクト vol.1
ITアーキテクト vol.1

オブジェクト指向における再利用のためのデザインパターン
オブジェクト指向における再利用のためのデザインパターン

アンチパターン―ソフトウェア危篤患者の救出
アンチパターン―ソフトウェア危篤患者の救出

おら!オラ!オラクル
おら!オラ!オラクル

プログラマの数学
プログラマの数学

スタイルシート スタンダード・デザインガイド―SEO/ユーザビリティ/アクセシビリティを考慮した実践的HTML&CSSデザイン術
スタイルシート スタンダード・デザインガイド―SEO/ユーザビリティ/アクセシビリティを考慮した実践的HTML&CSSデザイン術

セオリー・オブ・スタイルシート
セオリー・オブ・スタイルシート

テクニカルセキュリティ技術
テクニカルセキュリティ技術

まってる。
まってる。

Return to page top