ZAPAnet総合情報局 > ZAPAブログ2.0 > サイトのアドレスを盗まれたとしたら、誰が悪いのか[ソニーの件から]

サイトのアドレスを盗まれたとしたら、誰が悪いのか[ソニーの件から]

2011年05月08日 プログラミングTIPS
ソニーの情報流出が止まらない件で、こんな報道がありました。
ソニーは6日、米国子会社の傘下にある家電販売会社「ソニー・エレクトロニクス」のサーバーから、2001年当時の顧客情報約2500人分が流出したと発表した。

(中略)

同社関係者が、ハッカー向け情報サイトに、顧客情報を閲覧できる社内向けサイトのアドレスが掲載されているのを見つけたという。

 社内向けサイトには、応募者リストが残されていた。アドレスさえ分かれば外部から閲覧できる状態だったため、何者かがこのサイトのアドレスを盗み出し、公開したとみられる。

ソニーまた情報流出、米販社から2500人分 : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞)
アドレスさえ分かれば外部から閲覧できる状態だったため、何者かがこのサイトのアドレスを盗み出し、公開したとみられる」。こういう状態では、アドレスを公開したハッカーが犯人になるのでしょうか?「アドレスさえ分かれば外部から閲覧できる状態」とは、何のセキュリティもかかっていない状態であり、つまりは「サイト管理者自ら外部に公開している状態」です。自らインターネットを通じて世界中に公開しておいて、「何者かがこのサイトのアドレスを盗み出し、公開した」という言いぐさはおかしいと思います。そもそも、「社内向けサイト」は「社外から誰でもアクセスできる状態にはしない」のが一般的です。社外から誰でもアクセスできてしまえば、社内向けなのか社外向けなのか良くわからなくなってしまいます。今回の件では、公開設定を社内限定か、あるいは外部から社内の人だけがアクセスできるように設定しておかなかったソニー自身のミスと言えるのではないでしょうか。「ハッカーに盗まれて公開された」というのは少しおかしいと思います。

それから、ソニーのサイトは至る所にバグが潜んでいます。例えば先日まで、下記アドレスではPerlプログラムのソースコードが丸見え状態でした。
https://products.sel.sony.com/cgi-bin/wishlist
上記アドレスにアクセスすると、Perlプログラムのソースコードが丸見えで、世界中にプログラムを公開していました(現在は削除されています)。これも、ソニー側がパーミッションの設定を間違えるという単純ミスにより、プログラムを公開してしまったわけです。

他にも、例えばSONYのサイトから検索クエリに適当な文字列を入力して検索することにより、XSS脆弱性を確認できたりします。
https://www.sonyproductinformatie.nl/main/search.php?searchfield=%3Cstyle%3E%23logo{background-image:url%28https://a2.twimg.com/profile_images/44408162/s-tundere3_normal.gif%29%20!important;%20!important;%3C/style%3E%3Cscript%3Ealert%28311%29%3C/script%3E
スタイルシートによる画像置き換えや、ブラウザによってはJavaScriptのコードまで実行されてしまいます。これについても、「そんなクエリを入力したハッカーが悪い」とでも言うのでしょうか。サイトの設定ミスや脆弱性は、そのサイトの管理者の責任というのが一般的ではないでしょうか。上記脆弱性は、発見から時間が経っていますがまだ修正されていません。被害が出る前にもう一度再確認した方が良いと思います。



脆弱性関連記事