別館「S3日記」

今日は午後から北海道情報セキュリティ勉強会に参加してきましたよ。　非常に勉強になるので、毎回参加は必須かなぁと思っています。　御菓子が楽しみな、この勉強会。　今日の御菓子は「北菓楼」の「北の夢ドーム」というジャンボシュークリームでした。

さて、勉強会の内容ですが、マイクロソフトの砂金さんによるセッションです。　お題は「クラウドのセキュリティ」ということで、Windows Azureにおけるセキュリティの話です。

まず、自分はGAEも使ったことがない時代の流れに超乗り遅れた人間なんですけど、そんな人間にも判りやすくクラウドの解説から。　自分が接しているクラウドといえば、HootSuiteやfoursquareのようなAmazonEC2（いわゆるIaaS/HaaS）を使ったサービスなのですが、Windows Azureはプラットホームまで提供されているPaaSなんですね。　SaaSはエセクラウドが多いと感じているので、チョット除外して考えます。

まぁ、そんな基本のところから入って、セキュリティの話へ繋がっていくわけですけど、やっぱりデータに関する考え方は想定通りかなぁと。　要するに「外部に置くことに不安があるデータは置かない」という事だそうで、この考え方はクラウドに限らず共通の考え方ですよね。　クラウドはイメージ的にはセキュリティガチガチという感じなんですけど、それでも「不安があるものは置かない」なんですね。　結局、クラウドサービスの範囲外におけるアプリケーションの作りに左右される部分が大きいわけですから、当然といえば当然なんですけど。

と言う事で、周囲でもクラウドを活用したサービス開発のアイディアとかがあるみたいなんですが、セキュリティを考えると無理っぽい話になってしまうんだな〜と思ったりしています。　結局のところ、セキュリティというのは当然なんですが、どんなサービスを使っても、どんなサービスを提供しても無視することは出来ない、重要な事項なんですよね。

やはり、自分の向かっている方向性は間違っていないと思うわけですわ。　認識を新たにして、目標に向かって進む決意を強くしたわけです。

この記事に投げ銭をする
  Posted by pismo at 21:45 | Comments (0) | TrackBack (0)

よく、ネットショップなどからクレジットカード情報が流出すると、「カード情報を持っているなんて...」という論調がWeb屋さんから聞かれるんだけど、問題の本質はそこにないんだよな。　彼等の論調をそのまま捉えると、「個人情報は流出しても仕方がないけどクレジットカード情報はダメ」という事になる。　この論調は本末転倒であることに彼等は気付いていない。　だから、同じような事件が繰り返し発生するのだ。

問題の本質は「一般的な攻撃に耐えうるウェブアプリケーションを作っていない」事にあるわけであって、構築後に「十分なセキュリティチェックを受けてない」ことが問題なのだということを認識すべきである。　要するに「クレジットカード情報流出を批判している人たちが、キチンとアプリケーションを作れば何の問題もない」わけなのだ。

ここを判っていないWeb屋さんが淘汰されない限りは、クレジットカード情報の流出や個人情報の流出は止まらないであろう。　なんせ、問題の本質を判っていない技術力のない人たちが、技術的な問題に挑戦するわけであるからね。　無い物ねだりをしてもダメだっていうことが良く判ると思う。

また、発注者側もセキュリティを判っていないし、金をケチるから十分な試験を実施することなく本番投入されるので、結果として問題が発生してしまうのだということを理解すべきだね。　発注先の技術力を見抜く力、セキュリティへの理解、無理な経費削減をしない、それらが安全・安心なネットショップを経営するためには必要なのだということを発注者側も理解しましょう。

この記事に投げ銭をする
  Posted by pismo at 17:40 | Comments (0) | TrackBack (0)

本日、昨日発見されたAmebaなう（PC版）の脆弱性と同様の脆弱性がAmebaブログにも発見された。　投稿に記載されたURLに飛ぶと、勝手に投稿されることが判明。　必須項目のうち、数字で記載が必要なもののひとつはランダムに生成することで、広範なユーザーへ影響を及ぼすことが可能であることが判明した。

今のところ、サイバーエージェント社は沈黙しているが、当方でサンプルスクリプトを使って動作させたところ、いとも簡単に投稿できてしまった。　サンプルスクリプトは自分自身のブログへの投稿のみだが、チョットした知識があれば広範なユーザーへ影響を及ぼすスクリプトを生成することは可能。

現在のところ、サービスを停止するなどの処置はとっていない。

この記事に投げ銭をする
  Posted by pismo at 18:06 | Comments (0) | TrackBack (0)

本日から運用開始されたAmebaなう（PC版）に脆弱性が確認された。　投稿に記載されたURLに飛ぶと、勝手に投稿される他、フォローもさせられてしまう。　コード自体は非常に単純なもので構成できるため、悪意を持ったURLを記載することも可能であり、その場合はウイルスへの感染などが予想される。

今のところ、サイバーエージェント社は沈黙しているが、スタッフを名乗るボットは「勝手に投稿されたものを削除するよう」呼びかけている。　また、勝手にフォローさせられてしまったユーザーのフォロー解除に関しても呼びかけをしてるようだが、サービスを停止するなどの処置はとっていない。

この記事に投げ銭をする
  Posted by pismo at 19:32 | Comments (0) | TrackBack (0)

御相談が来るのには何週間もかかるのに、取扱終了通知だけは翌日かい！って突っ込みたくなるような、メチャメチャ早い対応です。　結局のところ、取り扱って貰えなかったと言うことなのですが...　個人情報流出の可能性があるウェブアプリケーションの欠陥については「脆弱性」として扱って欲しいという希望を書いて終了となりました。

と言う事だそうです。　ただ、参考情報として運営者への通知はして貰えるそうなので、IPAとしては「出来る限りのことは行った」と言うことなのでしょう。　今回の対応については多々反省点がありましたので、今後の活動に活かしていきたいと思います。　っていうか、次はあるのか判らないですけどねぇ。　ウチの会社でも「エバンジェリスト」として活動させて頂ければ、研究という名目で多少はチャンスはあるのでしょうが...

この記事に投げ銭をする
  Posted by pismo at 15:48 | Comments (0) | TrackBack (0)

昨日、2週間振りにIPAからメールが届きましたが、内容は再度の御相談と言うことでした。　まぁ、御相談というか前回送付したメールの内容確認と、脆弱性には当たらないので追跡調査はしないとの連絡でした。

後者に関してはIPAが定義する脆弱性というのが、今回発見したようなユーザIDとパスワードを同一に設定できるアホアプリを相手にしていないということなので、残念ながら諦めるしかないのですが...　現実問題として考えれば、今回のようなアホアプリが脆弱であることには違いなく、情報漏洩の根源になることを考えると納得はいかないのですが、現在は脆弱性とは認めないと言うことなので仕方のないことでしょう。　ちなみに、今回のようなアホアプリ相手には、ユーザIDとパスワードを同一にしたブルートフォース攻撃で個人情報を抽出することは容易だと考えていますので、広義では脆弱性だと思っています。

前者に関しては、とりあえず

を運営者（丸井今井）に対して申し入れをして頂ければ、少なくとも企業姿勢だけは明確になるので良いのではないかと判断し、回答しました。　一番重要なのは「個人情報漏洩の可能性が現在も残っている可能性が高いこと」でして、そう言った意味で丸井今井の対策は完全な失敗だと思っています。

何れにしても「運営者に対して申し入れをして取扱終了」との事なので、運営者が何ら対策しなくても問題ないわけです。　今にして思えば、初報はIPAだけにして、丸井今井に通報しない方が良かったのではないかと思っています。　そうすれば、中途半端に修正されることなく、また長期間に渡って利用者に対して告知をしないといった後ろ向きの対応を取られずに済んだのではないかと思っています。　そう言った意味で、完全に対応を誤ったかなぁというのが率直な感想です。

この記事に投げ銭をする
  Posted by pismo at 00:32 | Comments (0) | TrackBack (0)

今日は午後から北海道情報セキュリティ勉強会に参加してきましたよ。　実は前回も申し込んでいたんだけど、風邪でダウンして参加できなかったんだよな。　美味しい御菓子が出ると評判なので楽しみにしていたんだけど、ようやく参加できました。　今日の御菓子は「チョコモンブラン」だったけど、これって澄川の「ろまん亭」のヤツかな？

さて、勉強会の内容ですが、サイバー大学の園田さんと横山さんによるセッションです。　園田さんは「不正アクセスとは何か」で、横山さんは「研究ってなんだ？」というお題。　両方とも大変勉強になりましたが、園田さんのセッションは特に最近直面した問題だったので大変興味深かったですわ。

脆弱性を発見したときに「不正アクセス」にならないようにするためには「寸止め」しかないとのこと。　日本の法律的には「動機は関係ない」のだそうで、パスワードで保護されているサーバーに対する、他人のアカウントによるアクセスは全て「不正アクセス」になってしまうのだそうである。　なので、寸止めしか自分の身を守る手段はないとのこと。　また、該当の企業に通報してもリスクを負うだけなので、IPAの脆弱性通報システムを活用して欲しいそうだ。

あ〜、先日の場合、企業への通報とIPAへの通報を同時にしちゃったけど、IPAへの通報だけにしておいた方が良かったのかなぁ。　難しいモンだね。

それにしても、まっちゃだいふくさん、休みの日は勉強会に参加（っていうか主催者側か）して、家族サービスの方は大丈夫なんだろうかと心配になっちゃいますね。

この記事に投げ銭をする
  Posted by pismo at 19:20 | Comments (0) | TrackBack (0)

なので、積極的に勉強会に参加したいと思っているし、ペネトレーションテストなんかも出来るようになりたいなぁと思っています。　ぶっちゃけ、今の会社の事業方針が見えない以上、自分で自分の思う方向に向かってスキルを上げていくしかないんですよね。　まぁ、会社としても情報セキュリティスペシャリストが1名でもいれば、箔が付くでしょうしね。

その一歩として、丸井今井事件の対応をプライベートでしてみたわけですが、大企業というものはテコでも動かないというのが正直な感想ですね。　まぁ、企業体質にも依るのでしょうが、隠蔽したがるというのは驚き以外の何物でもありませんでした。

それと、IPAの対応ですね。　情報を投げてから一週間もかかって「御相談」がやってきて、それに速攻で返事を返したのですが、間もなく二週間になろうというのに音沙汰無しです。　まぁ、相手は役所なので仕事が遅いのは仕方がないことなのでしょうが、その間も個人情報流出の可能性が放置されていることを考えると「それで良いのか！」と活を入れたくなります。

この記事に投げ銭をする
  Posted by pismo at 10:59 | Comments (0) | TrackBack (0)

丸井今井のネットショップに於ける「脆弱性および情報漏洩の可能性」発見から1週間以上経過しましたが、ようやくIPAからアクションがありました。　ただ、IPAとしては「アプリケーションの脆弱性ではない」との判断だそうで、一応、軽く反論してみました。

IPAからのメール抜粋。

という内容だったので、まぁ、判断は尊重するけど「本当にそれでいいんですか？」というニュアンスの反論をしています。　以下、反論メール抜粋。

まぁ、こんな感じの反論をしたので取扱終了は決定でしょうが、IPAの責任ある対応を期待したいところです。　そうでないと、IPAの存在意義って何だ？って話になりますからねぇ。

この記事に投げ銭をする
  Posted by pismo at 21:38 | Comments (0) | TrackBack (0)

対策が行われたようですのでアップします。

丸井今井のネットショップに関して情報漏洩の危険性の情報を入手したため調査したところ、個人情報漏洩（丸井今井のクレジットカード情報を含む）の問題がある事が判明しました。　この問題はそもそも、システム構築時に「ユーザー名」と「パスワード」を同一に設定できるようになっている事が原因で、初歩的なシステム構築上のミスから発生しているものであります。

本情報を把握したのはツレ（丸井今井ウェブショップの顧客）が誤って自分の愛称をユーザー名・パスワードに入力した時に他人の名前が出てきたとの情報を得たことからである。　調査の結果、個人情報が丸見え（当該ユーザーはクレジットカード情報を登録していない）になったので、発覚した11月1日の夕方に丸井今井の問い合わせ窓口から通報。　同時にIPAの窓口にも届出を行った。　丸井今井の問い合わせ窓口に投げたコメントは以下の通り。

それにしても、このシステムを構築したのは何処の会社だろうか？　ホント初歩的なミスで、個人情報漏洩の危機が発生しているんだから、システム構築を行う資格はないのではないか？　っていうか、キチンと設計したのかと小一時間問い詰めたい気分である。

ちなみに、丸井今井は残念な事に本脆弱性を無かった事にしたいらしく、ユーザーへの告知は一切行われていない事を添えておく。　本来、脆弱性が発見された場合は全ユーザーに告知をして謝罪を行うべきであると考える。　何故ならば、長期間放置された可能性がある事からユーザー情報が外部に漏洩している可能性を否定できないからだ。　そう言った意味で、ユーザーに対して一切の告知を行わずにメンテナンスという形で処理をしたのは、責任ある企業のやり方ではないと思うし、お客様相手の商売を行う企業として責任を果たしていないと感じる。

この記事に投げ銭をする
  Posted by pismo at 18:21 | Comments (0) | TrackBack (0)

昨日、丸井今井の問い合わせ窓口とIPAに届出を行った、丸井今井のネットショップに於ける脆弱性ですが、現在のところ全く音沙汰無しです。　ただ、何らかの対策は実施されている模様で、現在メンテナンス中になっています。　詳細は、後日。

この記事に投げ銭をする
  Posted by pismo at 14:03 | Comments (0) | TrackBack (0)

先日から話題になっている「サンシャイン牧場」の情報漏洩危機ですが、ひとまず対策が行われたとのアナウンスがありました。　しかしながら、情報漏洩（クレジットカード情報）の危機があったのは事実のようなので、それに対してのアナウンスが欲しいところだと思いますね。　対策が行われたという事は、そのうち脆弱性に関して詳しい情報が、然るべき機関からもたらされるとは思いますが、mixiの対応には透明性が欠片もないですね。

情報元：「サンシャイン牧場・課金システム修正のアナウンス」（水無月ばけらのえび日記）

この記事に投げ銭をする
  Posted by pismo at 11:29 | Comments (0) | TrackBack (0)

mixiアプリで話題の「サンシャイン牧場」ですが、有料アイテムの販売が開始されたみたいですね。　ところが、その課金システムに脆弱性があるとの事で、いろんな所で警告が発せられています。　現実を直視したくない人もいるかもしれませんが、カード情報漏洩の危機があったという事だけは認識しておくべきでしょう。　具体的に、どのような問題点があったのかは脆弱な部分をオープンにしてしまう事になるため、みなさん口を濁していらっしゃいますが...

情報によると、「サンシャイン牧場」は中国産だそうで、そう言った意味で脆弱性のチェックが甘かったと言う事なんでしょうかねぇ？　まぁ、提供する側のmixiにもチェックする義務があるように思えますけどね。

情報元：「サンシャイン牧場 アイテム課金」（水無月ばけらのえび日記）

この記事に投げ銭をする
  Posted by pismo at 22:34 | Comments (0) | TrackBack (0)