PCデポよりゴルスタより「アカウントロック」が気になる？：セキュリティクラスタ まとめのまとめ 2016年8月版（3/3 ページ）

修正済みの脆弱性を使ったWebアプリケーションの攻撃方法を公開するのって問題なの？

　日本のネット通販を行うサイトの多くで使用されている「EC-CUBE」というECサイトを構築するためのWebアプリケーションがあります。開発主体となる会社はありますが、オープンソースであり、ソースコードやパッチは全て公開されています。

　このEC-CUBEの脆弱性を多く発見しているg_sato（@secmemoblog）氏がブログで、過去に発見して既に修正された脆弱性に対する攻撃方法を2回に分けて公開しようとしたところ、前編を公開したところで開発元のロックオンから公開中止を求めるクレームが入り、後編の公開が中止となりました。

　また、これを受けて、EC-CUBEを使ったサイト構築の経験が長いというサンクユーの堀川治（@ohorikawa）氏がブログを書き、EC-CUBEのユーザーはオープンソースであることを理解していない上に、サイトが公開されてからメンテナンスをしていないところも多いということで、カジュアルに攻撃できるような情報公開を止めたロックオンを支持する意見を表明します。

　これらの動きを見て、セキュリティクラスタではアプリケーションの攻撃手法を公開することの是非が議論の的となりました。Webのセキュリティに関わっている人からは、「攻撃者は公開を停止してもしなくても、既に公開されている脆弱性に対するパッチや差分を見ることで攻撃は可能なのでは」といった意見を述べていました。

　とはいえ、たくさんのサイトが未修正のまま放置されている以上、バグ報告者もなかなか簡単に攻撃情報を公開するわけにはいかないようです。

　この他にも、2016年8月のセキュリティクラスタは以下のような話題で盛り上がっていました。9月はどのようなことが起きるのでしょうね。

• セキュリティ・キャンプが開催される
• PCデポ、大炎上
• 中高生限定SNS「ゴルスタ」管理人がユーザーの個人情報を公開して大炎上
• Dropboxで6800万件の認証情報が盗まれていたことが判明
• Yahoo!のアカウント情報が2億人分流出
• Windows10 Anniversary Updateで勝手にSSHサーバが起動する
• クレジットカードのセキュリティコードを保存してるサイトってどうよ？