« diskpartでフォーマット | トップページ | 終焉ノ弐~ソノ先が無いモノ~ »

終焉ノ序~オワリのハジマリ~

ココログ管理サイトのセキュリティに不安が残り、使い続けるデメリットが大きくなったので、近々このブログを終了する予定。

ただ、移転先の準備とか仕掛けが必要なのと、書いておくべきことはあるため、もう少しだけ続く。

とりあえず、ココログ管理ページ情報漏れの中間メモとかまたココログ管理サイトのことについてだけどさ・・・・ココログ管理サイトって、先月からセッションハイジャック対策できてないらしいって、知ってた?について、何回かに分けてだが、書いておこうと思う。

※以下、俺の私見が多く含まれると思います、というか、冷静に記述できる自信は全くない。

まず、過去記事にあるたとえの国レベルの某関連機関ってのは、IPA。

年2回情報処理試験やってるところの総元締め。

独立行政法人ってなんだかよくわからんけど、ドメイン見れば明らかに政府機関。

国家や政府ってのは、国民の安心・安全を守ったり、不安を取り除いたりしてくれるものとばかり、少なくとも形式上はそういうものだと思っていたのに、実際は、自分が決めた範囲以外を相手にしない、たとえそれが脅威を放置することになっても、決められた狭い範囲でしか対応しない、柔軟性に欠ける、天下り専用の受け皿でしかないということが、よくわかった。

だから、情報処理試験のCBT化が進まないんだよ、たぶん。
紙業者との癒着とかも、あるんだろうぜ、きっと。
少なくとも、今後、情報処理試験を受験する気にならんくなった。

ただ、脅威を招いた元凶は、ココログ管理サイト運営側なので、IPAのあり方がわかったことは、収穫と言えよう。

 

さて、分かったことは、むしろ、サイト運営をされている方には朗報だ。

今回、ココログ管理サイトの非SSL化をWEBアプリケーションの脆弱性としてIPAへ報告を行った。
使い続ける上で、分かっていくことがあるのは普通なので、指摘したいことはややブレが入ったかも知れないが、とりあえず、非SSL化が脆弱であるということを報告したわけだ。

IPAの見解はこうだ。

公開されている個人情報保護ポリシーには、通信を暗号化することが明記されていないから暗号化しないことは脆弱性とはみなされず、問題とは言えない。

この主張は一見正しいように見えるが、まさに法の穴を突くように、抜け道を正当化しているだけで、単に、こんな、大手が運営しているサービスで、しかも素人のよくわからない報告には関わりたくないという意図が明らかだ。

逆に、ポリシー明記しなければ個人情報を扱うサイトを運営するのにSSLを実装しなくても脆弱性とみなされないということでよいか、という意図の質問を投げたが、回答は無かったことからも、それが言える。

#やりとりのすべてはまた別途投稿したいと思う。

IPA的には、暗号化することを明記しないポリシーを掲げてあれば、手出し口出ししませんよということらしい。

さぁ、サイト運営者さん、ポリシーから暗号化とかいう文字列は消しちゃいましょう。
認証ページだろうが、決済ページだろうが、HTTPで脆弱性はなし
IPAが味方ですよ。
Let's平文!
無防備万歳!!

 

でも、攻撃者はポリシーなんて、介してくれないはず。

パケットってのは比較的簡単に盗聴できる。
#物理的に細工をする以外にも、クライアントPCやサーバへ侵入するといった方法もある。
たとえば、ネットカフェのルータで盗聴とかも、不可能じゃないよね。
実際、どこで盗聴されてるかわかったもんじゃない。

HTTPS(SSL)で暗号化されていれば、たとえパケットを盗聴されても、解読は困難。
通常、ものすごい計算量が必要だ。

HTTPだったら、それが不要になり、丸見え。

攻撃者の目の前をHTTPSとHTTPの2つのパケットが通過したら、当然、HTTPパケットを見る、と俺は思う。

攻撃者がある程度のハッカーであれば、足が付かないように、その中から価値のある情報を盗む程度で済ますかも知れない。
ただし、ユーザが通信中にそれに気付かないうちに。

攻撃者が低俗なクラッカーであれば、システムの破壊に使えるデータを探し、ユーザやシステムに攻撃を仕掛けるはず。
たとえば、
アクセス先サイト&メールアドレスからフィッシングメール送信
リクエストクッキーコピーによるウィルスコードや無駄データの投稿
などなど。
サイト利用者様へというメールでアンケートを装ったフィッシングサイトへ誘導されたら、引っかかる可能性はゼロではない。
ウィルスコードの投稿はサーバ側の処理で何とかなるかも知れないけど、ウィルスサイトへの誘導コードだったら対処できないまま、攻撃に加担することになる。
短時間に多くの無駄投稿があったらサービスに影響が出る可能性もある。

ココログ管理サイトに関して、上記攻撃が可能な状態にある可能性を否定できない、と私はIPAにメール済み。
これに対し、IPAからはどこまで検証したのか、回答には全く含まれていない。
催促入れて、TAT10日(営業日計算)。
お役所仕事万々歳だ!!

 

ニフ側の対応はそれ以上にひどかったわけだが、どうせ、日本人がやってるわけじゃないだろうし、バイトだろ。
バイトじゃ仕方ねぇか。
それに対し、IPAの方は無駄に難しいこと並べ立てるわりに、対処方法も解決策も何も示さない、中身のないことこの上なし。
中身全くなくて、TAT10日って、独立行政法人って何様?
TATは48時間以内に少なくとも一次回答、休日返上、IT業界じゃ当たり前だろ?
俺の書いた内容も分からんのかも知れんけど、それでも酷い、思い出すだけでもむかっ腹。

 

続きは回答内容も含め次回。

私信:excompさん、コメント公開していただいて結構です。こちらも公開しました。

 

追記:なんか無駄なことだけはしやがる

<script type="text/javascript" src="/.shared-stats/cna/javascripts/swfobject.js"></script>
<script type="text/javascript" src="/.shared-stats/cna/javascripts/swfmacmousewheel2.js"></script>
<script type="text/javascript">swfobject.registerObject("cna_object", "9.0.28", "/.shared-stats/cna/expressInstall.swf");swfmacmousewheel.registerObject("cna_object");
</script>

|

« diskpartでフォーマット | トップページ | 終焉ノ弐~ソノ先が無いモノ~ »

ウェブログ・ココログ関連」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

コメント

この記事へのコメントは終了しました。