別館「S3日記」

新年早々、株式会社札幌丸井三越（旧札幌丸井今井）から物騒な御手紙をいただいた。　何やら、ウェブショップで個人情報の流出があったという物。　これで思い出すのは2009年11月1日に指摘させて頂いた問題。　そこら辺の経緯は、本ブログにも掲載したので、そちらを御覧頂くとして...

丸井今井のネットショップにおける脆弱性に関して

丸井今井のネットショップにおける脆弱性に関して（詳細）

意味不明の電話

IPAから御相談が...

丸井今井問題

IPAから再度御相談が...

そんな事を踏まえて、今回は社として公開質問状を出してみた。　たぶん、非公開でやると有耶無耶にされる恐れがあるが、公開質問状という形をとると無視できないだろうと判断したわけである。　一連の動きについては逐一、会社のブログに掲載したので御覧頂きたい。

丸井今井のお詫び文書には疑問がいっぱい

公開質問状

御報告

公開質問状への回答

回答に関しての疑問点

基本的には、疑わしい段階で閉鎖をし、時期的には遅れたものの顧客への告知をしているので、対応としては素晴らしいものがあると思います。　ただ、本当に個人情報が流出したのか？という疑問点が残ったままですので、完全な対応が出来るのか疑問であったりします。　公開質問状への回答の中で「自社では再現できなかった」旨書かれていますので、対応が出来たのかどうかの検証が出来ないと思われるからです。　ここら辺、現実問題として起こりうることなのかどうか、私なんかよりも数倍も詳しい方が日本にはいらっしゃいますので、そういった方の分析を期待したいところです。

Posted by pismo at 21:25 | Comments (0) | TrackBack (0)

ここのブログで以前取り上げさせて頂いた帯広市の某病院。　その病院名で何度も検索してきているのが判っていたので、ここでの指摘を理解した上で改善して頂けたんだろうなぁと思っていたら、改悪されてました。　御客様にとっても手間のかかる方法になっているし、セキュリティ上も大問題という大改悪。　驚くと共に、呆れ果ててしまいました。

最近大流行の「お見舞いメール」におけるセキュリティの問題点を指摘させて頂いているわけですが、このページで指摘した某病院の問題点と、このページで指摘した「お見舞いメール」の問題点を読んで頂ければ、真っ当なエンジニアであれば解決方法は自ずと判るはずです。　しかしながら、後者の方で「問題あり」と指摘した方法にわざわざ変えてしまったんですねぇ。　エンジニアが如何に無能かがよく判る事例だと思います。

実はこんなエンジニアは、この世の中に大量に蔓延っています。　勉強しないから、他のエンジニアが言っていることを理解できない。　勉強しないから、おかしな事になっていることを理解できない。　現在、北海道内の病院について調査していますが、多くの場合、無知故に御客様を危険にさらしている状態であるウェブサイトが9割以上あります。　判明したものから指摘しているのですが、無反応の病院がほとんど。　エンジニアが無知・無能であったり、金を握っている連中が理解できなかったりするわけです。　しかも、個人情報保護方針を提示している病院が、その個人情報保護方針に反した行為を行っていることを理解しない。　みんなが知っている大病院でも、そんなザマです。

馬鹿がエンジニアをしているが故に、御客様を危険にさらしている（＝不幸にしている）状態なんですね。　指摘された病院は、対応が出来るまでウェブサイトを閉鎖すべきなんです。　情報セキュリティを甘く見ていると被害に遭うのは御客様だと言うことを理解すべきなんですね。　自分が痛くも痒くもないから無責任な行動をとる。　まるで、どこかのお役所みたいなことが病院の中では行われているんです。　そういった危険を理解し、無防備な「お見舞いメール」を使わないようにしないと、御客様の個人情報は守られません。

ハッキリ言います。

個人情報は自分で守るしかないんです。

エンジニアが馬鹿だから。
経営者が馬鹿だから。
個人情報保護方針がザルだから。

Posted by pismo at 22:21 | Comments (0) | TrackBack (0)

また、とんでもないサイトを見つけてしまったので晒してみる。　該当のサイトは財団法人札幌市中小企業共済センターが運営する「さぽーとさっぽろ」のサイトである。　誰が制作したのかは判らないが、もし、プロが制作したのなら「廃業すべき」だし、中の職員が制作したのなら「懲戒もの」だ。　何故なら、大嘘をついているのだから。

知り合いから教えてもらったので、資料請求をする事にした。　そのページは「ドメイン名がアレ」だけど、一応SSL通信がなされているので、少なくとも入力画面は暗号化されているようである。　また、「お客様と「さぽーとさっぽろ」との間で秘匿性のある暗号化通信を行う仕組みを採用」とも書かれている。

ところが...

ブラウザが警告を出したぞ！　そのまま進むと...

httpで始まる平文のページが表示された！　と言う事は、少なくとも表示されている個人情報は一切暗号化されていないという事になる。　「暗号化通信を行う仕組みを採用」って書いてあったよね？　なのに平文って、どういう事なのさ！　しかも、警告が出てたという事はフォームから送信された段階で平文になっていたという事。

で、結局、平文のまま送られてしまうと言う...orz

「プライバシー保護のためSSL暗号化通信を使用しています。」とか言いながら、フォームの表示部分だけ暗号化して、個人情報は一切暗号化されていないという「大嘘つき」のサイトでした。　これ、セミナーでも使えそうなのでキャプチャ画像を大事に取っておこう。　札幌市が絡んでいるサイトで、これは拙いよね。　酷すぎる。

追記（2011/09/21 13:57）：
入力フォームだけが別ドメインなので、どこのサーバーのものを使っているのか調べてみたら、こんな情報が出てきた。

Posted by pismo at 12:20 | Comments (0) | TrackBack (0)

以前は「ウイルス対策をすればよい」とか、「ファイアウォールで不要なポートを閉じればよい」「サーバで不必要なサービスは上げない」と言われていましたが、これでは不完全な時代になっているんですね。　というか、そういった意識が浸透したと攻撃者が考えたのでしょう。　最近は、特定のアンチウイルスソフトでは検知されないように作り込んだりしているそうな。　その結果、セキュリティ対策をあざ笑うように攻撃用アプリケーションが社内に侵入してしまうんだそう。　そして、様々な情報を盗み出すのがトレンドなのだそうである。

続きを読む "情報セキュリティって一筋縄ではいかない？" »

Posted by pismo at 02:17 | Comments (0) | TrackBack (0)

中間証明書が入っていないのでオレオレ証明書になっている。
このドメイン、GMOリサーチ株式会社が持っているものらしい。
GMOってネット関連企業グループだよな。
そんな会社が、こんな失敗をしているとは情けない。
GMO自体もオレオレ企業グループなのかな？

Posted by pismo at 22:47 | Comments (0) | TrackBack (0)

え〜、現在無職のぴずもです！

先週の土曜日に札幌市東区民センターで開かれた「第5回 北海道情報セキュリティ勉強会（せきゅぽろ）」に行ってきました。　今回は、自分にとっては「てっしーの丸出し」でお馴染みのTessyさんによる、CTFについてのお話し。

自分的にはCTFってゲーム（？）的にしか考えていなかったのだが、セキュリティ上重要な要素を含んだゲーム感覚の「能力を試す場」であることが判った。　ぶっちゃけ、情報セキュリティに関しては以前の仕事で関わっていたのだが、全然レベルが違うもので面食らいました。　まだまだ、お前は甘いんだよ！と頭をハンマーで殴られた気さえするモノでしたが、ゲーム感覚で出来るのと過去問があると言うことなので、空き時間を利用して挑戦してみたいと思いました。

毎度毎度思うのが、勉強会に参加すると「自分はダメダメだな〜」と思い知らされると同時に、何となくやる気が出ることですかねぇ。　参加者の層が若いこともあって、四十をとうに過ぎたオジサンには良い刺激になります。　今回は特に、頭の硬さを思い知らされたわけで、いつでも使い物になる「軟らか頭」に改造しないとダメだなぁというのを、ヒシヒシと感じました。

そういえば、すもけさんの会社の人たち（と思われる）の参加は、大変興味が湧くところです。　若い人たちを次々の勉強会に誘うというのは大変良いことだと思いますね。　社内で勉強会をするのも大事だけど、社外の勉強会に参加するのも大変大事だと思っています。　そういった参加者がどんどん増えていけば良いな〜って思います。

簡単ですが...

これは、恒例のおやつ。　今回は大変大好きな「一久大福堂」の大福2個です。　苺大福と、もう一つはなんだろう？　初めて食べた味でした。

こちらは、まっちゃだいふくさんのお土産。　言わずと知れた「面白い恋人」です。

Posted by pismo at 16:20 | Comments (0) | TrackBack (0)

先日、北海道帯広市にある北斗病院の「お見舞いメール」を例にとって、お見舞いメールの危険性について書かせて頂きました。　その後、いろいろ調べた結果、北海道内の病院で「お見舞いメール」を導入している病院が多数あって、その全てにおいて個人情報流出の可能性があることが判明しましたので、最悪な例と共にお話ししたいと思います。　ちなみに、「お見舞いメール」を導入している病院はここを使って調べました。

まず、「お見舞いメール」には入力フォームに従って必要な情報を入力する「フォーム型」と、メーラーが起動して自由文形式で入力する「メーラー型」の2種類があることが判明しました。　多くの病院では「フォーム型」を利用して利便性を向上させていますが、「メーラー型」を使っている病院も少なくありません。

「フォーム型」を利用している病院に関しては、次のような問題点がありました。　「サーバ証明書が導入されていない」ため、SSLによる「暗号化通信に対応していない」のと「正しいサーバであることを確認できない」ということです。　従って、個人情報流出の可能性は高いということが言えるでしょう。　なおかつ、独自ドメインで運用していないため「サーバ偽装が容易」なサイトも幾つか見られました。

「メーラー型」を利用している病院に関しては、次のような問題点がありました。　通常のメールを使うため「暗号化通信に対応していない」のと、正しいアドレスかどうか確認できないため「誤送信の可能性がある」ということです。　従って、フォーム型以上に個人情報流出の可能性が高いということが言えるでしょう。　また、「フォーム型」と同様に、独自ドメインで運用していないため「サーバ偽装が容易」なサイトも幾つか見られました。

そして、「メーラー型」において、大変酷いサイトを見つけましたので、ここに報告させて頂きます。　それは北海道深川市にある北海道中央病院というところなんですが、ここは個人情報流出の危険性が非常に高いので、「お見舞いメール」を使用しない方が宜しいかと思います。

まずはトップページから...

ドメイン名を確認すると、fukanavi.com という意味不明のドメイン名になっています。　この段階で怪しさ満点なのですが、例によってwhoisで確認してみると...

となっていて、「深川市」を名乗る所が登録したドメインみたいです。　ただ、本当に「深川市」であるかどうかは判りません。　.comドメインは無審査で誰でも取れるので、ウソの記述をしても問題ないですから...

んで、問題の「お見舞いメール」のバナーをクリックするとメーラーが立ち上がるんですけど...

その送信先メールアドレスのドメインは plala.or.jp となっています。　これもwhoisで調べれば判るんですけど、「ぷらら」というプロバイダなんですね。　先ほどとドメイン名が変わっている上に、所有者も変わっています。　北斗病院の時も書きましたが、これでは本当に病院に送信されるのか判りません。　悪意を持った第三者が取得したアドレスに書き替えても、書き替えられていることすら判らないということになります。

これは大変危険です。　そもそも、ウェブサイト自体の所有者が本当に「北海道中央病院」であるかどうかを知る手段がありません。　その上に、「お見舞いメール」の送信先が本当に「北海道中央病院」であるかどうかを知る手段もないんですね。　だから、ウェブサイトそのものの偽装も非常に容易な上に、違うアドレスにメールを送信させることも容易なんですよ。

これは、悪意のある第三者に「どうぞ偽装して個人情報を持っていってください」と病院自体が宣伝しているようなものなんですね。　こんな所に安易にメールを送ってはいけません。　個人情報が盛大に流出する可能性があります。　こんな感じの病院が、恐らく全国に散在していることでしょう。　大変危険なことだと思います。　サービスするつもりが、セキュリティインシデントを発生させてしまうんですから...

どうして、こんな事が起こってしまうのでしょうか？　それは、病院にいる社内SEの知識不足というのもあります。　給与が非常に低いため優秀なSEが集まらないということもあるでしょうし、そもそも、SEを専業としていないという病院も多いと思います。　また、自前で社内SEを用意できないため、外部に丸投げしたりということもあるでしょう。　でも、それならば「お見舞いメール」なんていう仕組みを用意しなければ良いだけの話しです。　身の丈にあった仕組み作りが大切なんだということを経営者は理解すべきなんですね。

ちなみに、最近は「お見舞いメール」のASPも存在しているようです。　ただ、これらは病院独自のドメインを使えないと個人情報流出の危険性を排除することが出来ません。　従って、それらのサービスを利用しても何ら解決にはならないと言うことだけは書いておきたいと思います。

Posted by pismo at 12:44 | Comments (0) | TrackBack (0)

Twitterで自分がフォローしている、ある人のツィートを見て驚きました。　iPhoneのTwitterクライアントにはGeoTagを付けられるモノが多いようですが、その人は自宅からGeoTagを付けてツィートしていたのです。　何故、自宅からと判るのかといえば、それは単純にツィートの内容に依ります。

んで、何でそれが問題なのかというと、TwitterクライアントによってはGeoTagの表示機能があるんですね。　自分が使っているHootSuiteだと、GoogleMapで場所を教えてくれます。　コレがまた、非常に精度が高いんですわ。　iPhoneのGPSって高精度に作られているのでしょうか？　ほとんどピッタンコの位置を示しています。

ってことは、まぁ、男子の場合は問題ないとしても、女子の場合は自宅バレしてしまうので、異性（まれに同性？）によるストーキング行為に発展する可能性もないとは言えないと思います。　非常に危険ですね。　もちろん、男子でも同じような被害に遭う可能性がありますが、女子の方が被害が大きいと思います。

これを避けるには、Twitterクライアントを使用する際にはGeoTag機能がOFFになっていることを確認した方が良いかと思います。　自分はiPhoneを持っていないので、各Twitterクライアントがどのような仕様になっているかを知る由はありません。　なので、残念ながら、どうしたら良いのかをこの場で教授することは出来ません。　各自確認して頂くしかないと思います。

ちなみに、今回、自宅バレした人は「ITに詳しい」方で、ボランティアで「ITに関するセミナー」を行っているそうです。　まぁ、自称なので本当のところのITスキルは知りませんが、このようなことをしてしまうということは、ITスキルは相当に低いものと思われますねぇ。　そんな人に教えてもらっている人は不幸としか言いようがないですが...　残念ながら、その方から教授して頂いている方は、内容が本当に「正しい」のか自分で確認された方が宜しいかと思います。　自称「詳しい」という人は、多くの場合、その程度のレベルしか持っていないのは世の常ですから。

Posted by pismo at 23:11 | Comments (4) | TrackBack (0)

先日来、このブログで指摘している証明書問題なのですが、キャプチャ画像を利用して解説したいと思います。　ちなみに、現在直接指摘させて頂いている病院は、北海道帯広市にある北斗病院という、比較的大きな病院です。　社内SEが2名いるそうですが、彼等は一体何をしているのでしょうか？

さて、まずはトップページを表示してみます。

ここではドメイン名が「hokuto7.or.jp」となっています。　このドメインをwhoisで確認すると、以下のような情報が得られ、確かに北斗病院のものであることが判ります。

トップページには「お見舞いメール」というリンクがあります。　ここが問題のページなのですが、そこのリンクをクリックすると次のような同意画面が出てきます。

ここのドメイン名も「hokuto7.or.jp」となっていますので、確かに北斗病院のサイトにいることを確認できます。　ここで「同意する」をクリックしましょう。　そうすると問題の個人情報入力画面に遷移します。

ここで、鍵マークが表示されて情報が保護されていることが確認できます。　ここまでは問題ないですね。　でも、ドメイン名を見ると「hokuto7.sakura.ne.jp」となっています。　あれ？変わっていますねぇ。　北斗病院のサイトだったはずなのに、違う所に移動しちゃっています。　このドメインをwhoisで確認してみましょう。

北斗病院のドメインじゃないですね。　ってことは、個人情報入力画面は北斗病院のサイトには無いことを示しています。　困りました。　個人情報を入力する画面が北斗病院のサイトではないと言うことは、他の人に盗まれてしまう可能性があることを示していると言うことになります。　というか、他の人のサイトの可能性を否定できない状況ですね。　ここでは決して個人情報を入力してはいけません。　何故なら、北斗病院のサイトではないのですから。

でも、鍵マークが表示されているって事は安全なんですよね？と思う人もいらっしゃることでしょう。　ここに大きな穴があります。　鍵マークをクリックするとサーバ証明書というものを見ることが出来ますので、北斗病院のものなのかどうか確認してみましょう。

ここでも表示されているのは「sakura.ne.jp」でした。　と言う事は、北斗病院のサーバ証明書ではありませんねぇ。　北斗病院のサーバではないと言うことを証明してくれています。　ですから、入力したデータは北斗病院に届くことは一切保障されていません。

しかも、「sakura.ne.jp」という文字列の前に「*」が書かれています。　これは「ワイルドカード」というもので、「sakura.ne.jp」というドメインにある全てのサーバが、確かに「sakura.ne.jp」のものであることを証明しています。　と言う事は、「pismo.sakura.ne.jp」であろうが正しいことを証明してくれちゃいます。

もう、お判りですね。　個人情報入力画面は北斗病院のものであるかどうか判らない上に、他人が画面をそっくりそのまままねて作れば、入力した情報が北斗病院以外の第三者に渡ってしまうことを示しているのです。

大変危険ですね。

個人情報を守りたいのならば、確かに個人情報を送って良い所のサイトかどうかを確認しましょう。　そうしないと、気が付かないうちに第三者に個人情報を送ってしまうことになりかねません。　それが悪意をもった第三者ならば、個人情報が大流出する可能性が大きいことを認識すべきでしょう。

Posted by pismo at 14:16 | Comments (0) | TrackBack (0)

先日書いた、ある病院のサイトでのサーバ証明書問題であるが、若干進展があったので記載する。　前回指摘した問題点を改めて、病院側に報告させて頂いた。　特に、改悪されている部分については強調し、個人情報流出の可能性が高まったという指摘をさせて頂いた。　その後、以下のような回答が来た。

ただし、現在のところサーバ偽装による個人情報流出の可能性は残ったまま、該当のページは残置されている。　つまり言っていることと、やっていることが一致していないのである。　従って、該当ページでの個人情報入力は大変危険であることを改めて書かせて頂く。

あと、ぶっちゃけ、対応は非常に簡単であるのに、回答を頂いてから1週間以上も残置されている件を見ても、当該病院のSEのレベルの低さは「呆れるほど酷い」としか言いようがない。　意固地になるのも結構だが、お客様を危険にさらしている現状を考えると、きちんと対応できる人間を早急に採用する必要があるのではないかと思う。

ちなみに、この病院はインターネットによる紹介状発行システムを地域の病院に使わせている。　今回の一連の対応を見てもそうだが、こちらの方にも同様の危険があるのではないかと推測できるし、こちらの方がクリティカルな情報を扱うのだから、もっと危険であることを認識すべきである。

何れにしても、ここの病院もそうだが、多くの病院のウェブサイトに設置されている「御見舞いメール」システムは使用しない方が賢明である。　他の病院でも、個人情報流出の可能性があることを把握している。

次回は、問題のサイトのキャプチャ画像を使用して「何が問題なのか」を説明したいと思う。

Posted by pismo at 10:48 | Comments (0) | TrackBack (0)

ある病院のサイトで、サーバ証明書を導入せずに個人情報を入力させている所があったので、個人情報流出の可能性があると指摘させて頂いた。　数日後、以下のような返事が来た。　かねてからの検討事項と言うよりも、指摘されて慌てて対応しているのがバレバレなんだけど...

本日確認した所、確かにSSLには対応していた。　だが、驚いたことにプロバイダが用意したワイルドカード証明書が使われていた。　これだと、その病院が取得したドメイン名でサーバを証明することが出来ないため、フォームの部分はプロバイダのサブドメインに遷移している。　と言う事は、「確かにその病院のサーバである」事を確認できないまま、個人情報を入力させられるのである。

意味ないじゃん！

しかも、ワイルドカード証明書だから、同一プロバイダの別サーバで偽装した場合、サーバ偽装に気付かずに個人情報を入力してしまうのである。　結果として、個人情報流出の可能性が消えていないのだ。

そこの病院には社内SEが2名いるそうであるが、2名とも無知だったのだろう。　サーバ偽装なんて、だいぶん以前から言われていることなのに勉強すらしていないのであるから、驚いた。　しかも、鍵マークを表示させて利用者を安心させておいて、個人情報流出の危機に曝すのだから酷い話である。　悪質と行っても過言ではないだろう。

時が来たら、画像を付けて「どれだけ酷いか」をアップしようと思っている。

Posted by pismo at 16:32 | Comments (0) | TrackBack (0)

今日は午後から北海道情報セキュリティ勉強会に参加してきましたよ。　非常に勉強になるので、毎回参加は必須かなぁと思っています。　御菓子が楽しみな、この勉強会。　今日の御菓子は「北菓楼」の「北の夢ドーム」というジャンボシュークリームでした。

さて、勉強会の内容ですが、マイクロソフトの砂金さんによるセッションです。　お題は「クラウドのセキュリティ」ということで、Windows Azureにおけるセキュリティの話です。

まず、自分はGAEも使ったことがない時代の流れに超乗り遅れた人間なんですけど、そんな人間にも判りやすくクラウドの解説から。　自分が接しているクラウドといえば、HootSuiteやfoursquareのようなAmazonEC2（いわゆるIaaS/HaaS）を使ったサービスなのですが、Windows Azureはプラットホームまで提供されているPaaSなんですね。　SaaSはエセクラウドが多いと感じているので、チョット除外して考えます。

まぁ、そんな基本のところから入って、セキュリティの話へ繋がっていくわけですけど、やっぱりデータに関する考え方は想定通りかなぁと。　要するに「外部に置くことに不安があるデータは置かない」という事だそうで、この考え方はクラウドに限らず共通の考え方ですよね。　クラウドはイメージ的にはセキュリティガチガチという感じなんですけど、それでも「不安があるものは置かない」なんですね。　結局、クラウドサービスの範囲外におけるアプリケーションの作りに左右される部分が大きいわけですから、当然といえば当然なんですけど。

と言う事で、周囲でもクラウドを活用したサービス開発のアイディアとかがあるみたいなんですが、セキュリティを考えると無理っぽい話になってしまうんだな〜と思ったりしています。　結局のところ、セキュリティというのは当然なんですが、どんなサービスを使っても、どんなサービスを提供しても無視することは出来ない、重要な事項なんですよね。

やはり、自分の向かっている方向性は間違っていないと思うわけですわ。　認識を新たにして、目標に向かって進む決意を強くしたわけです。

Posted by pismo at 21:45 | Comments (0) | TrackBack (0)

よく、ネットショップなどからクレジットカード情報が流出すると、「カード情報を持っているなんて...」という論調がWeb屋さんから聞かれるんだけど、問題の本質はそこにないんだよな。　彼等の論調をそのまま捉えると、「個人情報は流出しても仕方がないけどクレジットカード情報はダメ」という事になる。　この論調は本末転倒であることに彼等は気付いていない。　だから、同じような事件が繰り返し発生するのだ。

問題の本質は「一般的な攻撃に耐えうるウェブアプリケーションを作っていない」事にあるわけであって、構築後に「十分なセキュリティチェックを受けてない」ことが問題なのだということを認識すべきである。　要するに「クレジットカード情報流出を批判している人たちが、キチンとアプリケーションを作れば何の問題もない」わけなのだ。

ここを判っていないWeb屋さんが淘汰されない限りは、クレジットカード情報の流出や個人情報の流出は止まらないであろう。　なんせ、問題の本質を判っていない技術力のない人たちが、技術的な問題に挑戦するわけであるからね。　無い物ねだりをしてもダメだっていうことが良く判ると思う。

また、発注者側もセキュリティを判っていないし、金をケチるから十分な試験を実施することなく本番投入されるので、結果として問題が発生してしまうのだということを理解すべきだね。　発注先の技術力を見抜く力、セキュリティへの理解、無理な経費削減をしない、それらが安全・安心なネットショップを経営するためには必要なのだということを発注者側も理解しましょう。

Posted by pismo at 17:40 | Comments (0) | TrackBack (0)

本日、昨日発見されたAmebaなう（PC版）の脆弱性と同様の脆弱性がAmebaブログにも発見された。　投稿に記載されたURLに飛ぶと、勝手に投稿されることが判明。　必須項目のうち、数字で記載が必要なもののひとつはランダムに生成することで、広範なユーザーへ影響を及ぼすことが可能であることが判明した。

今のところ、サイバーエージェント社は沈黙しているが、当方でサンプルスクリプトを使って動作させたところ、いとも簡単に投稿できてしまった。　サンプルスクリプトは自分自身のブログへの投稿のみだが、チョットした知識があれば広範なユーザーへ影響を及ぼすスクリプトを生成することは可能。

現在のところ、サービスを停止するなどの処置はとっていない。

Posted by pismo at 18:06 | Comments (0) | TrackBack (0)

本日から運用開始されたAmebaなう（PC版）に脆弱性が確認された。　投稿に記載されたURLに飛ぶと、勝手に投稿される他、フォローもさせられてしまう。　コード自体は非常に単純なもので構成できるため、悪意を持ったURLを記載することも可能であり、その場合はウイルスへの感染などが予想される。

今のところ、サイバーエージェント社は沈黙しているが、スタッフを名乗るボットは「勝手に投稿されたものを削除するよう」呼びかけている。　また、勝手にフォローさせられてしまったユーザーのフォロー解除に関しても呼びかけをしてるようだが、サービスを停止するなどの処置はとっていない。

Posted by pismo at 19:32 | Comments (0) | TrackBack (0)

御相談が来るのには何週間もかかるのに、取扱終了通知だけは翌日かい！って突っ込みたくなるような、メチャメチャ早い対応です。　結局のところ、取り扱って貰えなかったと言うことなのですが...　個人情報流出の可能性があるウェブアプリケーションの欠陥については「脆弱性」として扱って欲しいという希望を書いて終了となりました。

と言う事だそうです。　ただ、参考情報として運営者への通知はして貰えるそうなので、IPAとしては「出来る限りのことは行った」と言うことなのでしょう。　今回の対応については多々反省点がありましたので、今後の活動に活かしていきたいと思います。　っていうか、次はあるのか判らないですけどねぇ。　ウチの会社でも「エバンジェリスト」として活動させて頂ければ、研究という名目で多少はチャンスはあるのでしょうが...

Posted by pismo at 15:48 | Comments (0) | TrackBack (0)

昨日、2週間振りにIPAからメールが届きましたが、内容は再度の御相談と言うことでした。　まぁ、御相談というか前回送付したメールの内容確認と、脆弱性には当たらないので追跡調査はしないとの連絡でした。

後者に関してはIPAが定義する脆弱性というのが、今回発見したようなユーザIDとパスワードを同一に設定できるアホアプリを相手にしていないということなので、残念ながら諦めるしかないのですが...　現実問題として考えれば、今回のようなアホアプリが脆弱であることには違いなく、情報漏洩の根源になることを考えると納得はいかないのですが、現在は脆弱性とは認めないと言うことなので仕方のないことでしょう。　ちなみに、今回のようなアホアプリ相手には、ユーザIDとパスワードを同一にしたブルートフォース攻撃で個人情報を抽出することは容易だと考えていますので、広義では脆弱性だと思っています。

前者に関しては、とりあえず

を運営者（丸井今井）に対して申し入れをして頂ければ、少なくとも企業姿勢だけは明確になるので良いのではないかと判断し、回答しました。　一番重要なのは「個人情報漏洩の可能性が現在も残っている可能性が高いこと」でして、そう言った意味で丸井今井の対策は完全な失敗だと思っています。

何れにしても「運営者に対して申し入れをして取扱終了」との事なので、運営者が何ら対策しなくても問題ないわけです。　今にして思えば、初報はIPAだけにして、丸井今井に通報しない方が良かったのではないかと思っています。　そうすれば、中途半端に修正されることなく、また長期間に渡って利用者に対して告知をしないといった後ろ向きの対応を取られずに済んだのではないかと思っています。　そう言った意味で、完全に対応を誤ったかなぁというのが率直な感想です。

Posted by pismo at 00:32 | Comments (0) | TrackBack (0)

今日は午後から北海道情報セキュリティ勉強会に参加してきましたよ。　実は前回も申し込んでいたんだけど、風邪でダウンして参加できなかったんだよな。　美味しい御菓子が出ると評判なので楽しみにしていたんだけど、ようやく参加できました。　今日の御菓子は「チョコモンブラン」だったけど、これって澄川の「ろまん亭」のヤツかな？

さて、勉強会の内容ですが、サイバー大学の園田さんと横山さんによるセッションです。　園田さんは「不正アクセスとは何か」で、横山さんは「研究ってなんだ？」というお題。　両方とも大変勉強になりましたが、園田さんのセッションは特に最近直面した問題だったので大変興味深かったですわ。

脆弱性を発見したときに「不正アクセス」にならないようにするためには「寸止め」しかないとのこと。　日本の法律的には「動機は関係ない」のだそうで、パスワードで保護されているサーバーに対する、他人のアカウントによるアクセスは全て「不正アクセス」になってしまうのだそうである。　なので、寸止めしか自分の身を守る手段はないとのこと。　また、該当の企業に通報してもリスクを負うだけなので、IPAの脆弱性通報システムを活用して欲しいそうだ。

あ〜、先日の場合、企業への通報とIPAへの通報を同時にしちゃったけど、IPAへの通報だけにしておいた方が良かったのかなぁ。　難しいモンだね。

それにしても、まっちゃだいふくさん、休みの日は勉強会に参加（っていうか主催者側か）して、家族サービスの方は大丈夫なんだろうかと心配になっちゃいますね。

Posted by pismo at 19:20 | Comments (0) | TrackBack (0)

なので、積極的に勉強会に参加したいと思っているし、ペネトレーションテストなんかも出来るようになりたいなぁと思っています。　ぶっちゃけ、今の会社の事業方針が見えない以上、自分で自分の思う方向に向かってスキルを上げていくしかないんですよね。　まぁ、会社としても情報セキュリティスペシャリストが1名でもいれば、箔が付くでしょうしね。

その一歩として、丸井今井事件の対応をプライベートでしてみたわけですが、大企業というものはテコでも動かないというのが正直な感想ですね。　まぁ、企業体質にも依るのでしょうが、隠蔽したがるというのは驚き以外の何物でもありませんでした。

それと、IPAの対応ですね。　情報を投げてから一週間もかかって「御相談」がやってきて、それに速攻で返事を返したのですが、間もなく二週間になろうというのに音沙汰無しです。　まぁ、相手は役所なので仕事が遅いのは仕方がないことなのでしょうが、その間も個人情報流出の可能性が放置されていることを考えると「それで良いのか！」と活を入れたくなります。

Posted by pismo at 10:59 | Comments (0) | TrackBack (0)

丸井今井のネットショップに於ける「脆弱性および情報漏洩の可能性」発見から1週間以上経過しましたが、ようやくIPAからアクションがありました。　ただ、IPAとしては「アプリケーションの脆弱性ではない」との判断だそうで、一応、軽く反論してみました。

IPAからのメール抜粋。

という内容だったので、まぁ、判断は尊重するけど「本当にそれでいいんですか？」というニュアンスの反論をしています。　以下、反論メール抜粋。

まぁ、こんな感じの反論をしたので取扱終了は決定でしょうが、IPAの責任ある対応を期待したいところです。　そうでないと、IPAの存在意義って何だ？って話になりますからねぇ。

Posted by pismo at 21:38 | Comments (0) | TrackBack (0)

対策が行われたようですのでアップします。

丸井今井のネットショップに関して情報漏洩の危険性の情報を入手したため調査したところ、個人情報漏洩（丸井今井のクレジットカード情報を含む）の問題がある事が判明しました。　この問題はそもそも、システム構築時に「ユーザー名」と「パスワード」を同一に設定できるようになっている事が原因で、初歩的なシステム構築上のミスから発生しているものであります。

本情報を把握したのはツレ（丸井今井ウェブショップの顧客）が誤って自分の愛称をユーザー名・パスワードに入力した時に他人の名前が出てきたとの情報を得たことからである。　調査の結果、個人情報が丸見え（当該ユーザーはクレジットカード情報を登録していない）になったので、発覚した11月1日の夕方に丸井今井の問い合わせ窓口から通報。　同時にIPAの窓口にも届出を行った。　丸井今井の問い合わせ窓口に投げたコメントは以下の通り。

それにしても、このシステムを構築したのは何処の会社だろうか？　ホント初歩的なミスで、個人情報漏洩の危機が発生しているんだから、システム構築を行う資格はないのではないか？　っていうか、キチンと設計したのかと小一時間問い詰めたい気分である。

ちなみに、丸井今井は残念な事に本脆弱性を無かった事にしたいらしく、ユーザーへの告知は一切行われていない事を添えておく。　本来、脆弱性が発見された場合は全ユーザーに告知をして謝罪を行うべきであると考える。　何故ならば、長期間放置された可能性がある事からユーザー情報が外部に漏洩している可能性を否定できないからだ。　そう言った意味で、ユーザーに対して一切の告知を行わずにメンテナンスという形で処理をしたのは、責任ある企業のやり方ではないと思うし、お客様相手の商売を行う企業として責任を果たしていないと感じる。

Posted by pismo at 18:21 | Comments (0) | TrackBack (0)

昨日、丸井今井の問い合わせ窓口とIPAに届出を行った、丸井今井のネットショップに於ける脆弱性ですが、現在のところ全く音沙汰無しです。　ただ、何らかの対策は実施されている模様で、現在メンテナンス中になっています。　詳細は、後日。

Posted by pismo at 14:03 | Comments (0) | TrackBack (0)

先日から話題になっている「サンシャイン牧場」の情報漏洩危機ですが、ひとまず対策が行われたとのアナウンスがありました。　しかしながら、情報漏洩（クレジットカード情報）の危機があったのは事実のようなので、それに対してのアナウンスが欲しいところだと思いますね。　対策が行われたという事は、そのうち脆弱性に関して詳しい情報が、然るべき機関からもたらされるとは思いますが、mixiの対応には透明性が欠片もないですね。

情報元：「サンシャイン牧場・課金システム修正のアナウンス」（水無月ばけらのえび日記）

Posted by pismo at 11:29 | Comments (0) | TrackBack (0)

mixiアプリで話題の「サンシャイン牧場」ですが、有料アイテムの販売が開始されたみたいですね。　ところが、その課金システムに脆弱性があるとの事で、いろんな所で警告が発せられています。　現実を直視したくない人もいるかもしれませんが、カード情報漏洩の危機があったという事だけは認識しておくべきでしょう。　具体的に、どのような問題点があったのかは脆弱な部分をオープンにしてしまう事になるため、みなさん口を濁していらっしゃいますが...

情報によると、「サンシャイン牧場」は中国産だそうで、そう言った意味で脆弱性のチェックが甘かったと言う事なんでしょうかねぇ？　まぁ、提供する側のmixiにもチェックする義務があるように思えますけどね。

情報元：「サンシャイン牧場 アイテム課金」（水無月ばけらのえび日記）

Posted by pismo at 22:34 | Comments (0) | TrackBack (0)