初心者のためのWebセキュリティ
2008年03月24日11:49
当サイトでもお伝えした、amazonの「ほしい物リスト」の問題ですが、3月12日から停止していたこの機能、あっさり元の状態のまま、サービスが再開しております。
クロスサイトリクエストフォージェリ(CSRF)問題くらいは解決したのだろうかと不安に思うわけですが、素人の私には対応されたのかされていないのか、わかりません。

とりあえず、この事件を知らない上に「ほしい物リスト(旧ウィッシュリスト)」をご使用の方は、設定を変更され、amazonからのまめなログアウトをおすすめいたします。

これと同じ頃に起きていた別の大事件も含めて、初心者の方向けに、Webで起こった色々なセキュリティ関連の話題をお伝えしたいと思います。




■amazonのほしい物リスト事件

詳細は以下。

当サイト関連記事:Amazonのウィッシュリスト(ほしい物リスト)が祭り状態

騒ぎが拡大したのは、2008年3月12日ですが、この仕様は以前から知っている方は知っていました。そして中には、本名を特定する事に使用したと思われる方もいらっしゃったのです。
私が確認できただけでも、2007年9月頃からそういう事例はあったようです。

小谷野敦さんはなぜ奥さんの実名にたどりつけたのか − チラシの裏


もうひとつの問題は、CSRF問題
私も詳しいことはよくわかりませんが、amazonにログインした状態で、ある簡単なプログラムが仕組まれたサイトに行ってしまうと、自分の本名とメールアドレスが勝手に送信されてしまうということみたいです。

2chとかに大量に貼られたらしいので、2chに行く時はamazonをログアウトした方がいいかもですね。もちろん、amazonで対応済みかもしれませんが、確認がとれていませんので。

どういう対策がなされたのか、それとも「そのままでいいんじゃね?」ということになったのかわかりませんが、あっさり、元の仕様で再開されているようです。

Amazon「ほしい物リスト」検索機能が再開、初期設定は「公開」のまま − INTERNET Watch
 初期設定では、リストが一般公開されるため、ユーザーがリストを非公開に設定しなおさなければ不特定多数からリストを閲覧されるとして、12日頃からインターネット上で話題に。以降、検索機能が利用できない状態が続いていた。記者が確認したところでは、検索機能は20日までに再開されたが、ほしい物リストの初期設定は「公開」のままとなっている。



■トレンドマイクロのホームページがハッキングされた事件

トレンドマイクロのウイルス情報ページが改ざん被害、ウイルス感染も − CNET Japan

日本をターゲットにしたSQLインジェクション攻撃が多発、ラックが警告 − INTERNET Watch

ウイルス対策ソフト大手のトレンドマイクロ社のホームページが改ざんされて、アクセスした人にウイルスが感染するという恐ろしい事件。
2008年3月11日19時ころから改ざんされており、翌3月12日に事件が明るみに出ました。
この改ざん事件は、トレンドマイクロの他、@niftyや豊中市でも被害を受けているそうです。

[セキュリティ]ニフティ、韓流コンテンツなどで改ざん被害、ウイルス感染の危険を警告 − Yahoo!ニュース
 被害に遭った「@nifty韓流」は、韓国のWoW!Koreaが制作・運営しニフティに提供しているコンテンツで、3月11日に改ざんが発覚、以降サービスを停止している。改ざんがいつ行われたかはいまのところ不明で現在WoW!Korea側に調査を依頼しているという。ニフティでは「SQLインジェクションによる被害だと思われる」(広報)としている。

 一方のコンテンツ「太王四神記公式ホームページ」はニフティ自身が制作・運営しているもので、2月26日-3月11日まで改ざんされた状態が続いていた。この間閲覧するとウイルス感染の危険があったという。現在は復旧しサービスを再開している。「@nifty韓流」の被害とは全く別の被害で、「たまたま時期が重なっただけ」(同)という。

 いずれのコンテンツについても、「万が一ウイルスに感染した場合、お客様のパソコン内の情報が第三者へ漏えいする可能性」があるとして、ウイルスチェックと駆除の実施などについてサイト上で警告。また、念のためIDやパスワードの変更するとともに、「ウイルスチェックソフトをインストールされていない場合はインストールする」「ウイルスチェックソフトを常に最新の状態にアップデートする」「Windows Updateを実施する」ことを呼びかけている。


トレンドマイクロと言えば、下記の事件も記憶に新しいところです。

トレンドマイクロ、ウイルス対策ソフトの更新ファイルに不具合 − CNET Japan

2005年4月の事件でしたが、当時、大騒ぎだったような記憶があります。



■カカクコム事件

2005年と言えば、この事件も忘れる事ができないですね。
カカクコムのサイトがクラッキングされ、ホームページにアクセスした人がウイルスに感染。『お知らせメール』サービスに登録された電子メールアドレス22,511件が流出した事件です。
犯人は中国人留学生だったとの事ですが、逮捕されていたんですね。

カカクコム − ウィキペディア
カカクコムは情報をきちんと公開すべきだ − ITpro

当時も私はブログをやっておりました。
私はやっていませんでしたが、カカクコムのアフィリエイトというものもあったのです。
もし、「カカクコムのアフィリエイトをしていて私のせいで被害にあわれた方がいたら・・・」と私はアフィリエイトをする事が怖くなりました。

当サイト関連記事:カカクコム事件に思う。

この後、私は「サイトを閉鎖する」と言い出して、多くの方にご迷惑とご心配をおかけしました。
当時からの読者のみなさま、本当に申し訳ありませんでした。
今では、Webの危険性などを多くの方に伝えたり、注意を呼びかけたりする事が有益だと思っています。


この事件を思い出すきっかけとなったのは、今回のトレンドマイクロの事件ですが、この2つの事件に関して、すごく有益な考察をされていらっしゃるサイトさまがいらっしました。

「例えば、PHPを避ける」ってなぁにその曖昧な書き方? − Web屋のネタ帳
「例えば、」
IIS+ASP(ActiveServerPage)で書かれたサイトだって相当おかしなコードが多くてヨワヨワな場合が多いのはこの業界の人なら誰もが薄々わかっていることなわけで。(しかもその手の予想はたいていあたってる)
「経緯」
とか言う単語をこういう形で出すのが許されるんであれば、何年か前までさかのぼればカカクコム(IIS+ASPで構築されてた)の事件の件とか、ごく最近で言えば、IIS+ASP(+SQLServer)を狙った攻撃が多発して、トレンドマイクロのウィルス情報のページがウィルス汚染されたというナイス洒落な件をも「経緯」としてひもといたほうがインパクトあるんじゃなかろうか。
ならば、「例えば、IISとActiveServerPageを避ける」とか書きますか?


ぜひご一読下さいませ。



■ぼくはまちちゃん事件

CSRFと言えば、この事件の話題も見かけたような気がします。

CSRF(「ぼくはまちちゃん」騒動の項参照) − ウィキペディア
2005年4月中旬ごろ、SNS サイトの一つである mixi に於て、突如として「ぼくはまちちゃん!こんにちはこんにちは!!」という定型文が、投稿者の意図せぬまま書きこまれるという事態が発生した。この書き込みには別の mixi 利用者を同様の罠に誘き寄せるような細工がしてあったため、同メッセージは急速に mixi 上に溢れることとなった。


「ぼくはまちちゃん」 ――知られざるCSRF攻撃 − atmarkIT



■mixiでの数々の本名バレ事件

犯罪行為を自慢した方の本名がmixi経由で明らかになったり、winnyでPCの情報が流出した方の本名がmixi経由で明らかになったり、mixiによる本名バレ事件は、もう、どれを例に挙げていいのかわからないくらい多いです。

それまで、本名で登録する事をすすめていたmixiが、本名の登録に注意を促したのは、2006年10月頃みたいです。

mixi、本名登録やプロフィールの記載内容に注意喚起 − Japan.internet.com CyberAtlas
なかでも注目すべきはこれまで本名登録を推奨してきた同サイトが、「本名で登録すれば、お知り合いがあなたを発見しやすくなり身近な交流が広がります。反面、全く知らない人にも本名がわかってしまう可能性があります。」と記載している点だ。


mixiは入ったことはありますが、3日でやめました。
情報を保つことが私には無理だと思ったからです。そんなわけでmixiのことはほとんど知りません。

今もご利用中の方は、何卒ご注意下さいませ。

当サイト関連記事:自分の情報をどこまで出すか



■結論

これらの事件を通して、ネットで活動する際、初心者の方には注意していただきたい点をまとめておきたいと思います。
私が初心者として肝に銘じている事です。

・ネットで公開する情報には注意しておく。
特にmixi。もはやクローズドなサイトではない。公開されたブログや2chに書き込むのと同レベルと考えた方がいいと思う。

・色々なサイトのログアウトはこまめに行う。

・知らないサイトにホイホイ行かない。
CSRFというよくわからない魔物が潜んでるかも。
リファラスパムとかいうのもありますよ。
リファラ(リンク元)が気になった時は、まずは、ドメイン制約検索

・プログラムがちょっぴり書けるようになっても天狗にならない。
プロのサイトですらハッキングされます。
データベースとか使うのは100年早い。Cookieも同様。
顧客情報をネットに置くのは100万年早い。

・その道のプロにかかれば初心者のプログラムとか脆弱性だらけ。
目をつけられれば簡単に撃破されます。不必要な敵を作らないように心がけたいものです。


<追記>

・Winnyには死んでも手を出さない。
・ウィルス対策ソフトをインストールしておく。

基本ですが、言い忘れていたので追加しておきますね。




カテゴリー「ウェブ全般」内の最新記事
Comments(0)TrackBack(0)clip!ウェブ全般 
このBlogのトップへ前の記事次の記事

この記事にコメントする

注:livedoorBlogの仕様により、コメントは400字以内となっております。
コメントが長くなりそうな場合は、
メモ帳にコピペなどされておかれることをお勧めいたします。

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
トラックバックURL