- PR -

脆弱性を見つけた時の対応は?

投稿者投稿内容
sanpei
会議室デビュー日: 2005/07/31
投稿数: 2
投稿日時: 2005-07-31 01:57
私がたまに使っているショッピングサイトで、脆弱性らしきものを
見つけてしまいました。

そのサイトを使っている時に、以下のような現象が起きました。

自分が未ログイン状態で、商品を色々と見ていて、あるリンクを
クリックすると、突然ログイン状態に。
ログインした覚えは無いので、不思議に思いながらそのログイン
情報を見ると、他人の情報のようでした。
(他人の情報のようだ、と言っているのは、ログイン状態で見られる情報が、購入履歴ぐらいのためです。)

セッション管理に問題があるような感じでした。

こういう時のユーザの対応としては、
・管理者に現象を連絡する
・サイトの使用を止める
等々あると思いますが、何が正しいんでしょうか?

私は、怖いのでそのサイトの使用を以降止めました。

[ メッセージ編集済み 編集者: sanpei 編集日時 2005-07-31 02:20 ]
じゃんぬねっと
ぬし
会議室デビュー日: 2004/12/22
投稿数: 7811
お住まい・勤務地: 愛知県名古屋市
投稿日時: 2005-07-31 03:13
引用:

こういう時のユーザの対応としては、
・管理者に現象を連絡する
・サイトの使用を止める
等々あると思いますが、何が正しいんでしょうか?
私は、怖いのでそのサイトの使用を以降止めました。


とりあえず、管理者への連絡はしておくと親切なんでしょうけど...
しかし、本当に危ないサイトですね...



_________________
C# と VB.NET の入門サイト
じゃんぬねっと日誌
甕星
ぬし
会議室デビュー日: 2003/03/07
投稿数: 1185
お住まい・勤務地: 湖の見える丘の上
投稿日時: 2005-07-31 13:31
IPAや管理者に届けるかな。

問題はその後、脆弱性情報を公開するか否かですね。情報を公開するか否か?どのような手順をとって公開するか?公開する情報はどの程度まで詳細に記述するか?は今のところ正答が無いんですよね。IPAのガイドラインに従った場合、脆弱性情報の一般公開のタイミングや時期の判断はIPAが行い、発見者はIPAが公開するまで秘密にしておくように求められます。

「脆弱性がある」と言うだけで一切詳細を書かなかったとしても、愉快犯的なクラッカーを集める事につながり、被害を大きくしかねません。ともすれば発見者が損害賠償を求められる事にもつながりかねません。

私ならIPAに報告した後、そのサイトを使うのを止め、忘れるようにつとめるかな。

_________________
甕星 <mikahosi@abox9.so-net.ne.jp>
http://blogs.msmvp.jp/mikahosi/

[ メッセージ編集済み 編集者: 甕星 編集日時 2005-07-31 13:32 ]
unibon
ぬし
会議室デビュー日: 2002/08/22
投稿数: 1532
お住まい・勤務地: 美人谷        良回答(20pt)
投稿日時: 2005-07-31 15:18
unibon です。こんにちわ。

引用:

sanpeiさんの書き込み (2005-07-31 01:57) より:
こういう時のユーザの対応としては、
・管理者に現象を連絡する
・サイトの使用を止める
等々あると思いますが、何が正しいんでしょうか?


結論から言えば、なにも言わない、のが良いのかもしれません(したがってサイトの使用を止めることになります)。
そのサイトがそのような脆弱性を持っているのならば、その程度の急ごしらえのサイトなのです。イチイチそんなことを報告していたら、キリがありません。
また、たとえばですが、そのサイトで将来クラックがあって被害があったときに、たとえば「過失のない十二分なセキュリティが行われていた」とそのサイトが主張したいときには、なまじ過去に脆弱性の報告を受けていたら、そのサイトにとって嫌かもしれません。
性善説から言えば、そのサイトの管理者に親切に教えてあげるのが良いのかもしれません。技術者だったらいっそうそうしたくなります。しかし、ワンクリック詐欺などが蔓延するこのご時世、それがかならずしも皆の利益にはならないと思います。
たとえで言えば、道で、ズボンやスカートのファスナーが開いている人に親切に教えてあげて良いものか、に似た感じですかね。親切に教えてあげて、逆に、あんたのせいで恥をかかされた、と怒られてはかないません。あるいは、小銭をばら撒いていた人に、親切に拾ってあげていたら、いつのまにか自分の財布をスラれていた、という手口もありますよね。
はにまる
ぬし
会議室デビュー日: 2003/12/19
投稿数: 969
お住まい・勤務地: 誤字脱字の国
投稿日時: 2005-07-31 16:53
ん?今から利用を止めたとしても、既に利用済みな訳ですから
sanpeiさんの情報がそのサイトにあるんでしょ?

であれば、放置できないのでは...

1つめは、甕星さんが仰る様にIPAに連絡して早めに対処して頂く。
2つめは、当サイトに個人情報を可能な限り削除してもらう様に依頼する。

この2つじゃないですかね。2つ目は可能なのか解りませんが。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2005-08-01 11:10
どもです。がると申します。
んっと…積極的発言と消極的発言を。
選択は個人の責任においてよろしくお願いいたします :-P

積極的見地からすると、やはり報告はすべきです。
現在は甕星のおっしゃるとおり、IPAというところがあります
ので、こちらに連絡をするとよいです。
個人が直接企業と連絡するよりも圧倒的に気楽で、また、
きちんと追跡調査などもしてくれるので大変に好ましいです。

ただ…消極的見地からすると、2つの点において、IPAへの
連絡を疑問視してしまう部分もあります。
ひとつには、IPAの脆弱性報告は飽く迄「合法の範囲内に
おいて脆弱性が発見された場合」に限られます。
まぁ今回のような

引用:

自分が未ログイン状態で、商品を色々と見ていて、あるリンクを
クリックすると、突然ログイン状態に。


であればまず不正アクセスは成り立たないと思われるのですが。
それでも、可能性として何か痛くもない腹を探られる可能性は
否定しません。

また、連絡をしたとして、何らかのアクロバティック的発言で
「これは仕様であって脆弱性ではない」という意味のない判断
がなされる可能性も否定しません。

以上を鑑みて、あとはご自身の判断かと思います。
まぁ、よほど事後対応がよくない限り、そのサイトの利用は
やめたほうがいいとは思いますが :-P
あと、一応自分の情報の削除依頼は出しておいたほうがよいかと。
どこまで有効かは微妙ですが、うまく消えればめっけもの
なので :-P
sanpei
会議室デビュー日: 2005/07/31
投稿数: 2
投稿日時: 2005-08-02 01:00
皆さん、色々な回答ありがとうございました。

私の対応としては、
「今後このサイトを利用しない、管理者にも報告しない」
ことにしました。

個人情報に関しては、そのサイトはデジタルコンテンツのショッピング
サイトなので、登録している情報はメールアドレスのみのため、個人
情報の削除依頼をするつもりはありません。
購入時にクレジットカード情報を入力しますが、そのサイトが適切に
扱っているであろうと信じます。
適切に扱っていなかったとしたら、削除依頼を出しても無駄でしょうし。

IPAに関しては、がるがるさんの言われるような痛くも無い腹を
探られたり、面倒な事になるのもイヤなので報告はしません。
被害を被ったわけでも無いですしね。
恥ずかしながらIPAで脆弱性報告を受け付けているなんて、初めて
知りました。

でも、こんな妙な動きをするショッピングサイトって普通に
あるものなんですね。
技術者の端くれとしては、ちょっと信じられませんでした。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-08-08 01:32
こんばんは。
乗り遅れの感もありますが、私が脆弱性報告をしたときの話を書きます。
…参考になる話では無いと思います。単なる小話として捉えて頂ければ幸いです。

時は数年前。割と最近まで「URLを一寸変えたら顧客名簿が…」なんて話は良くありましたので、その時の脆弱性も、ご多分に洩れず情けないものでした。

・序章〜ある平和な夜〜
 ある商品を買い、付属の応募権にて抽選に参加するため、そのサイトを訪れた。その後訪れる事態もしらず。

・違和感〜「いかにも」なURL〜
 応募後、サイトを色々見ている内に、怪しいURLがある事に気付く。
 “http://〜/view.cgi?file=../html/XX.html”のような、「いかにも」なURL…。

・実験〜URL書き換え〜
 「まさか」と思いつつ、好奇心に負けて試してしまう。
 “http://〜/view.cgi?file=../../…/etc/passwd”入力。
 表示される、Linux環境と思しきユーザ情報リスト…脆弱性確定の瞬間。
 この後、CGI の Perlソースまで見えてしまう事により、少なくとも応募の際に登録した個人情報が相当危ないと認識、管理者に報告の決意。

・報告〜使命感に燃え〜
 「管理者」と明記した連絡先は無いため、サイト中を探して何かしらのアドレスを発見、メールを送信する。曰く、
 「〜のURLで、システムファイルが漏洩してしまう。一般的にこれは重大な脆弱性だ」
 「応募の際送信した個人情報が心配な上、他の方への影響も考えると、是非にも対処をお願いしたい」
 ※この時、良いことをしたという満足感と、「もしかしたらお礼が…」という下心があったことは否めない。

・さらなる検証〜深刻な脆弱性〜
 事実上大部分のファイルを見ることが可能となっている状態で、ソースの解析を試みる。
 まず、応募者の個人データは CSVとしてファイル保存することが判明。これにより漏洩確定。
 更に恐ろしい事実判明。所謂 OSコマンドインジェクション脆弱性 ( Perl で open関数を迂闊に使うと良くある ) もあり、任意のコマンドが実行可能、Linux のバージョン ( issue.net で判断 ) からすると、ローカル exploit と組み合わせて、遠隔からの root 奪取ができることをほぼ確信する。

・一次回答〜無難な答え〜
 翌営業日、サイト運営のスタッフらしき人からメールが届く。曰く、
 「報告に感謝している」
 「システムの開発元に問い合わせて状況を確認する」
 程なく、サイトのシステムの一部はメンテナンス中に。少しホッとする。
 尤も、URLさえ知っていれば、依然問題の CGIは使用できる状況ではあった。

 その後、「脆弱であることを確認し、システム利用を停止した」とのメールが。
 ただし、依然乗っ取りの危険性があることには変わりないため、更にメールを送る。
 「停止されているのは誠に結構と存ず。なれど、URLを知る者はまだ弱点を利用できる。開発元にお伝え願いたい」
 「未確認ではあるが、サーバ自体の乗っ取りまで含めた、深刻な被害が出る可能性もあると愚考する。ご考慮を願う」
 ※流石に解析した事実を告げることは躊躇われた…

・メール漏洩〜驚愕の舞台裏〜
 …その後届いたメールに驚き慄く。担当者が上司に書いたメールを、間違えて当方に送信してしまった模様。曰く、
 「報告者への対応を如何すべきか。彼は相当なクレーマーである」
 「今後『たかり』の要求が来る可能性もある」
 …茫然自失。後に怒髪衝冠の衝動が体を襲う。
 その後、「メール取り消し」のメールが来る。悪名高き MSO の機能であるが役には立たぬ。時間はもう戻らない…。

・決裂〜クレーマーと化す〜
 程なく、謝罪メールが届く。
 「上司に送るはずのメールを誤って送信した」( 一目瞭然である )
 「失礼な発言をお見せし、申し訳ない」( 論点がずれている )

 この後は怒りしか無かった。感情を抑え切れなかったことを、今では後悔している。
 「失礼なのは発言では無い。報告者に対する貴社の認識の問題である」
 「そも問題は、個人情報の漏洩しうるサイトの脆弱性である」
 「私は未だ個人情報漏洩の危機下にあり、他にも同様の方々が存在する。その事実をどのように捉えているのか」
 「担当者個人の見解のみならず、責任ある方の認識をお聞かせ願う」
 …担当者は謝罪一辺倒であった。

・失意〜協力は不可能と悟る〜
 遣り取りを続けている内に、既に知人からの鋭い助言により、諦観の極致に達していた。「かかる状況にて貴公が問題解決に尽力したとて、感謝されうる余地や有りや」
 「善意の報告者」の自負の崩壊。私はサイトの運営を妨害し、停止に追い込んだクレーマーであったのだ。サイト側の人間以外には情報を漏らしていないとしても。
 終戦を決意。最後に通した筋は「未だ脆弱性残るサイトからの、個人情報の処分」のみであった。

・終末〜虚しさのみぞ残りける〜
 数日後。個人情報処分の確約を取り付け、既に忘却を試みていた私に届いたのは一通の手紙であった。それは白々しいとも思える「感謝状」と、お礼として二枚のキャラクターテレホンカード。
 …たぎる想いを抑えつつ、有効に利用させて貰った。形式的かも知れぬが、感謝があったのは、まだ救いであったか…。
 時は流れ、ごく最近記憶が蘇り、ふとサイトを訪れようと考えた。しかし既にサイトは閉鎖していた。ニュースサイトにて検索を行った結果、何年か前に、運営企業が倒産していたことが判明する。苦い思い出となったことを痛感した。

P.S.
申し訳ないです。調子に乗って書いていたら、とてつもない長文になってしまいました。
最近長文になることが多くて反省しきりです。…ただ、記憶の中にしまっておくのも辛くて、はけ口を求めていたのは確かです。平にご容赦を。
当時は IPAに関しては知りませんでしたし ( 恐らく無かったのでは? )、某○ffice氏のような活動を知る前でもありました。
今は、このような想いをすることなく、問題点を指摘できる環境が整っていることを願って止みません。

[ メッセージ編集済み 編集者: angel 編集日時 2005-08-08 07:28 ]

スキルアップ/キャリアアップ(JOB@IT)