サイトのアドレスを盗まれたとしたら、誰が悪いのか[ソニーの件から]
2011年05月08日 プログラミングTIPS
ソニーの情報流出が止まらない件で、こんな報道がありました。
それから、ソニーのサイトは至る所にバグが潜んでいます。例えば先日まで、下記アドレスではPerlプログラムのソースコードが丸見え状態でした。
・https://products.sel.sony.com/cgi-bin/wishlist
上記アドレスにアクセスすると、Perlプログラムのソースコードが丸見えで、世界中にプログラムを公開していました(現在は削除されています)。これも、ソニー側がパーミッションの設定を間違えるという単純ミスにより、プログラムを公開してしまったわけです。
他にも、例えばSONYのサイトから検索クエリに適当な文字列を入力して検索することにより、XSS脆弱性を確認できたりします。
ソニーは6日、米国子会社の傘下にある家電販売会社「ソニー・エレクトロニクス」のサーバーから、2001年当時の顧客情報約2500人分が流出したと発表した。「アドレスさえ分かれば外部から閲覧できる状態だったため、何者かがこのサイトのアドレスを盗み出し、公開したとみられる」。こういう状態では、アドレスを公開したハッカーが犯人になるのでしょうか?「アドレスさえ分かれば外部から閲覧できる状態」とは、何のセキュリティもかかっていない状態であり、つまりは「サイト管理者自ら外部に公開している状態」です。自らインターネットを通じて世界中に公開しておいて、「何者かがこのサイトのアドレスを盗み出し、公開した」という言いぐさはおかしいと思います。そもそも、「社内向けサイト」は「社外から誰でもアクセスできる状態にはしない」のが一般的です。社外から誰でもアクセスできてしまえば、社内向けなのか社外向けなのか良くわからなくなってしまいます。今回の件では、公開設定を社内限定か、あるいは外部から社内の人だけがアクセスできるように設定しておかなかったソニー自身のミスと言えるのではないでしょうか。「ハッカーに盗まれて公開された」というのは少しおかしいと思います。
(中略)
同社関係者が、ハッカー向け情報サイトに、顧客情報を閲覧できる社内向けサイトのアドレスが掲載されているのを見つけたという。
社内向けサイトには、応募者リストが残されていた。アドレスさえ分かれば外部から閲覧できる状態だったため、何者かがこのサイトのアドレスを盗み出し、公開したとみられる。
ソニーまた情報流出、米販社から2500人分 : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞)
それから、ソニーのサイトは至る所にバグが潜んでいます。例えば先日まで、下記アドレスではPerlプログラムのソースコードが丸見え状態でした。
・https://products.sel.sony.com/cgi-bin/wishlist
上記アドレスにアクセスすると、Perlプログラムのソースコードが丸見えで、世界中にプログラムを公開していました(現在は削除されています)。これも、ソニー側がパーミッションの設定を間違えるという単純ミスにより、プログラムを公開してしまったわけです。
他にも、例えばSONYのサイトから検索クエリに適当な文字列を入力して検索することにより、XSS脆弱性を確認できたりします。
・https://www.sonyproductinformatie.nl/main/search.php?searchfield=%3Cstyle%3E%23logo{background-image:url%28https://a2.twimg.com/profile_images/44408162/s-tundere3_normal.gif%29%20!important;%20!important;%3C/style%3E%3Cscript%3Ealert%28311%29%3C/script%3E
スタイルシートによる画像置き換えや、ブラウザによってはJavaScriptのコードまで実行されてしまいます。これについても、「そんなクエリを入力したハッカーが悪い」とでも言うのでしょうか。サイトの設定ミスや脆弱性は、そのサイトの管理者の責任というのが一般的ではないでしょうか。上記脆弱性は、発見から時間が経っていますがまだ修正されていません。被害が出る前にもう一度再確認した方が良いと思います。
スタイルシートによる画像置き換えや、ブラウザによってはJavaScriptのコードまで実行されてしまいます。これについても、「そんなクエリを入力したハッカーが悪い」とでも言うのでしょうか。サイトの設定ミスや脆弱性は、そのサイトの管理者の責任というのが一般的ではないでしょうか。上記脆弱性は、発見から時間が経っていますがまだ修正されていません。被害が出る前にもう一度再確認した方が良いと思います。
脆弱性関連記事
- 脆弱性対策関連の記事まとめ
- プロの脆弱性対策
- クロネコヤマトの情報流出の件と読売新聞記事
- ヤマト運輸の対応が素晴らしかった
- 「体系的に学ぶ 安全なWebアプリケーションの作り方」をいただきました
- 吉本興業の個人情報がだだ漏れだった件について
- 吉本の個人情報流出は、「外部から侵入された」わけではない
- アメブロからのお年玉は、なんと芸能人のパスワード!
- アメブロお年玉パスワード事件について
- アメブロお年玉パスワード事件で、元ホリプロ社員が逮捕!
- サイバーエージェントのノートン警察がトロイの木馬に感染?
- やずやも、プロの脆弱性対策
- なぜやずやはYouTubeに動画をアップロードさせたのか
- 高木浩光さんのNyzillaキャラクターがあの女の子になった理由
- 吉野家の対応は一味違う
- 鹿せんべい ありがとう