きまぐれ　ぷろぐらま語録: 脆弱なシステムを見つけたら

〜きまぐれ　ぷろぐらま語録〜

←

2024年11月

→

日

月

火

水

木

金

土

最近の記事

Blog移転
エアポート2010を見た
花椒油
Steve Jobs,1955-2011
鉄球に無数のとげが付いた武器
M55→M42(T)が欲しい
健康診断done
回転寿司のルール
相模湖リゾート・プレジャー・フ ..

過去ログ【表示/最小化】

2011年10月 2011年 9月 2011年 8月 2011年 7月 2011年 6月 2011年 5月 2011年 4月 2011年 3月 2011年 2月 2011年 1月 2010年12月 2010年11月 2010年10月 2010年 9月 2010年 8月 2010年 7月 2010年 6月 2010年 5月 2010年 4月 2010年 3月 2010年 2月 2010年 1月 2009年12月 2009年11月 2009年10月 2009年 9月 2009年 8月 2009年 7月 2009年 6月 2009年 5月 2009年 4月 2009年 3月 2009年 2月 2009年 1月 2008年12月 2008年11月 2008年10月 2008年 9月 2008年 6月 2008年 5月 2008年 4月 2008年 3月 2008年 2月 2008年 1月 2007年12月 2007年11月 2007年10月 2007年 9月 2007年 8月 2007年 7月 2007年 6月 2007年 5月 2007年 4月 2007年 3月 2007年 2月 2007年 1月 2006年12月 2006年11月 2006年10月 2006年 9月 2006年 8月 2006年 7月 2006年 6月 2006年 5月

広告欄

Blogを移転させました。
新Blogは次のURLです。
→https://kerokero.org/wp/

≪ かみちゅ！聖地巡礼2009を今更な .. ¦ トップページ ¦ 今週のパスタ ≫

脆弱なシステムを見つけたら

最近、いろんなシステムのハッキングが流行していますね。
まぁ、１００％安全なシステムというのは無く、
ソーシャルクラッキングに対する脆弱性が世の中に溢れて居ることは、
今日の、オレオレ詐欺を見ていれば分かりますよね？

とはいえ、使い古されたハッキング手法というのはあるわけで、
Webブラウジングしていると、
そういうWell-Knownな脆弱性を持つシステムを、
うっかり見つけてしまうこともしばしばあります。

では、そういうのを見つけたらどうするべきか？

公の場で公言する
・・・は一番やってはいけません。

もし、自分しか知らない脆弱性を公言して、
それを元に、第三者が攻撃したら自分も罪に問われかねないです。

もちろん
脆弱性を利用して取得した機密データを公開
などは、善良な市民のすることではないことは言うまでもないでしょう。

運営者に報告する
というのは、一見妥当そうに見えますが、
報告の仕方によっては、いたずらとして無視されたり、
クラッカーとして通報されたりしかねません。
また、運営者がセキュリティーに詳しいとも限らず、いろいろと面倒事が起きることもあります。

放置する
というのも一つの手ではありますが、
脆弱性を見つけたと言うことは、
脆弱性を見つけられるアクセスをしていると言うことなので、
当然、そのことは先方のアクセス履歴に残ります。
そのため、問題が起きたときに、疑われる可能性があります。

では、どうするべきか？どう考えても、
そういったモノの通報機関に通報
が一番良い解決方法です。

2009年１月、自分はとある有名周辺機器メーカーの
問い合わせフォームで問い合わせをしようとしたところ、
その問い合わせフォームにXSS脆弱性があることに気がつきました。

そろそろ、時効だと思うので、以下、そのときの記録です。

ステップ１：メーカーに直接通報

そのメーカーさんは自分の好きなメーカーだったので、
事を荒立てたくないと思い、脆弱性の報告を
・自分の本名や住所、電話番号などと
・それが、恐らく正しい物だろうと判断可能なとある情報
を付けて、そのメーカーのサポート窓口に直接連絡しました。

ところが、そのメーカーからの返答はなく、あろう事か、そのメーカーは
「その問題になっている問い合わせフォームへのリンクを、
　トップページから無くす」
だけでお茶を濁したのです。

もちろん、リンクを外しただけでは、対応は不十分で、
問題の起きているフォームを完全に閉じなければ安全とは言えません。
というのも、URLを知っていれば、その脆弱性を悪用できてしまうためです。

この時点で、サポートの窓口経由では、
セキュリティーに詳しい人間には連絡が行かないということだと判断して
自分は方針を正攻法に変更しました。

ステップ２：IPAに通報

IPA、つまり、独立行政法人情報処理推進機構は
こういった脆弱性情報の日本における通報窓口の１つです。

早速、これまでの経緯を窓口で書式に従って報告します。
もちろん、リンクが無くなっただけで根本的な問題解決になってないことも指摘します。
これが１月１９日の事でした。

・・・と、基本的に、通報者が行うことはこれだけです。
あとは通報の内容が正しければ、
ＩＰＡが当該のサイトへの指導をしてくれます。

ステップ３：IPAからの受理の連絡

ただ、問題は、通報から受理までの期間です。
通報したのが、XSSという〜これはこれで問題は大きいけど〜脆弱性の中でも
会社が即死するようなクリティカルな脆弱性では無いためなのかも知れませんが、
通報から１ヶ月以上たった３月１１日にやっと連絡が来ました。

メールの内容は
・届け出の書式に不備などが無いことを確認した
・なので、対応を開始する。
といった内容です。

このメールが届いたときに、問題のメーカーのサイトを見てみましたが、
相変わらず、脆弱性は残ったままでしたヾ(゜Д゜ )オイオイ

ステップ４：IPAからの取り扱い開始の連絡

そしてその数日後、３月１３日には、
問題のメーカーへの脆弱性の通知が行われたというメールが届きます。

ステップ５：IPAからの修正完了の連絡

そして、また日が経って４月９日に、
・ウェブサイトの管理者から修正が貫流したとの報告がありました
・問題なければこれで終了となります。
といった内容のメールが来ます。

この時点で当該Webサイトからは、
この時見つけたXSS脆弱性のページが削除されていることを確認しました。

そこで、問題が無い旨を連絡して終了です。

本当は、この一連のメールをBlogに掲載したいところですが、
先方の許可を得てないので、公開は控えます。

ですが、上に書いたとおり脆弱性の通報は意外と簡単で、
最初に通報をすれば、あとはIPAがその後の対応をしてくれます。

もし、脆弱性を見つけたら、自分のこの経験を参考にしてもらえれば。

02:33, Friday, Jul 01, 2011 ¦ 固定リンク ¦ 携帯

≪ かみちゅ！聖地巡礼2009を今更な .. ¦ トップページ ¦ 今週のパスタ ≫

■コメント

■コメントを書く

※コメントの受け付けは終了しました

△ページのトップへ