さよなら、ハッカージャパン:セキュリティクラスタ まとめのまとめ 2013年11月版
IEやOfficeゼロデイはありましたが、比較的平穏だった11月。しかし、数少ない専門誌「ハッカージャパン」が休刊……。実に残念です。
2013年11月はInternet ExplorerやOfficeのゼロデイ脆弱性が報告されたくらいで、10月に引き続きそれほど大きなセキュリティインシデントは発生しませんでした。「Anonymous」が日本を攻撃するとの予告もありましたが、これも特に何も起きませんでした。
しかし別の方向からセキュリティクラスターを騒がせる出来事が起こりました。クラスター御用達の雑誌ともいえる「ハッカージャパン」誌の休刊です。
終わるものがあれば始まるものもあります。11月11〜25日まで開催されたサイボウズの脆弱性コンテストをきっかけに、国内企業でも脆弱性報告窓口の設置や報奨金制度が始められて、盛り上がりつつあります。サーバー側のプログラムからJavaScriptを書き出すときの安全なやり方についても意見が飛び交いました。
ハッカージャパン、突然の休刊を迎える
11月14日には日本唯一のネットワークセキュリティ系雑誌であるハッカージャパン(白夜書房)が2013年10月発売の11月号を最後に休刊するとの発表がありました。ハッカージャパンは創刊から15年間も続いていたこともあり、セキュリティクラスターのほとんどの人はどこかで読んだり買ったりしたことがあるようおなじみの雑誌です。突然の休刊発表で、タイムラインが一時騒然となりました。
そして驚きとともに、休刊を惜しむツイートや連載の続きを気にするツイート、ハッカージャパンとの関わりや思い出を語るツイートが多くタイムラインに上がりました。慌てて最終号を買いに行った人も多かったようです。
また、最終号が出ることもない突然の休刊ということで、ハッキングを規制するどこかの陰謀やライターなど関係者の誰かが犯罪に巻き込まれたのではないかと邪推するツイートもありました。関係者に確認しましたが、謎の組織による圧力や関係者の逮捕などはないとのことです。またハッカージャパンを引き継いだようなツイートをしていたユーザーもいましたが、こちらも事実無根だそうです。
過去には日経BP社や翔泳社、データハウスや三才ブックスなどからセキュリティ雑誌が出版されていましたが、これでついに全てが終了です。出版不況といわれて久しい最近ですが、タイムラインでは編集部ごとどこかの会社に移っての復活や、電子書籍での復活を望む声もあります。
どこかでネットセキュリティ関連の“紙媒体”が復活する日が来ればいいですね。
自社サービスを使った脆弱性発見コンテスト「cybozu.com Security Challenge」開催
2013年11月11〜25日までの間、日本国内の商用クラウドでは初となる脆弱性発見コンテスト「cybozu.com Security Challenge」が開催されました。賞金総額300万円に引き寄せられた150人が参加して、サイボウズのクラウドアプリケーション「kintone」などの脆弱性検査を行いました。
サイボウズのこのクラウドアプリケーション、さすがにコンテストを開催するだけあり、脆弱性対策がしっかりとなされているようで、タイムラインでも見つけられないとのツイートが多かったようです。結果を見てもほとんどの人は脆弱性を見つけることができていないようでしたが、数人の人は弱音を吐きつつも脆弱性を報告していたようです。
現時点ではまだ正式な結果発表はないのですが、中間発表ではバウンティハンターとして名高い@kinugawamasato(日本人だと思われる)さんが複数の脆弱性を見つけてトップを走っていたようです。さすがですね。
【関連記事】
サイボウズ、商用サービスを対象とした脆弱性発見コンテストを開催
http://www.atmarkit.co.jp/ait/articles/1309/24/news137.html
サイボウズが脆弱性発見コンテストを実施したワケ
http://www.atmarkit.co.jp/ait/articles/1311/26/news033.html
11月13〜14日に開催されたPacSecでは、モバイルデバイスの未知の脆弱性を探す「Mobile Pwn2Own」が併催されました。ここでは三井物産セキュアディレクションのチームがGalaxy S4の脆弱性を突くことに成功し、4万ドルを獲得していました。タイムラインではうらやましがる声が多数でした。
【関連記事】
スマホを攻撃→賞金ゲット、脆弱性発見コンテスト「Mobile Pwn2Own」日本初開催
http://www.atmarkit.co.jp/ait/articles/1311/14/news053.html
また、サイボウズの開催発表の後、mixiが報償金付きの脆弱性報告制度を始めたり(筆者もいくつか報告し、報償Amazonギフトが無事届きました。ありがとうございます)、ロリポップでおなじみの株式会社paperboy&co.が脆弱性報告窓口を作成するなど、国内でも少しずつですが脆弱性報告を積極的に受け付けようという動きが始まってきました。もっと広がれば良いですね。
サーバー側のプログラムからJavaScriptを書き出すってどうなの?
11月初頭、@yohgaki氏によるJavaScriptリテラルのエスケープについてのブログエントリが公開されました。このブログをきっかけに、phpなどサーバーサイドのプログラムからJavaScriptの内容を安全に書き出す方法について、さまざまな意見が飛び交いました。
そもそも可能であればサーバーからは書き出さない方がいいという意見があり、@yohgaki氏を含めそれに同意する人が多数でした。ただしフレームワークにバグがあったり、過去のエスケープ漏れを改修することもあったり、なかなか理想通りにはいかないということもあるようです。
それを踏まえた書き出し方法として、どのような手段を取るべきかの意見が交わされました。@yohgaki氏の提示したやり方は複雑なこともあり、全てのデータはDOMに埋め込んでHTMLエスケープという意見が当初は大勢を占めていました。
これで終了かと思いきや、JSONPと同形式の呼出をサーバーサイドで生成し、SCRIPTタグとして埋め込むという案が出されました。DOMベースでの情報受け渡しはグローバル変数を使っているのと同じなので、関数呼び出しを使った方がカプセル化できて見通しがよくなります。その意見を踏まえた案で、納得する方も多数いました。
生成するときにURLエンコードしておけば“だいたい大丈夫”という意見もありました。
これをきっかけに、エスケープについて考えている人も見られました。エスケープしなくてもバグが出ない環境になるのが一番なのでしょうが、まだまだそうはいかないようです。
どこでどのようにエスケープするかは、プログラマの人たちの頭をこれからも悩ませることになりそうです。
セキュリティクラスター、11月の小ネタ
このほかにも11月のセキュリティクラスターはこのような話題で盛り上がっていました。来月はどのようなことが起きるのでしょうね。
- 犯罪予告に使われたtwitterクライアントの作者に警察から連絡が
- OfficeとIEにゼロデイ脆弱性が見つかる
- 日本発のセキュリティカンファレンス「CODE BLUE」始動
- 東京外大生がフィッシングメールを使った不正アクセスで他人の成績見て逮捕
- 複合機からの情報漏洩や複合機のサイバーテロ!?
- FF14がハッキングされてゴミアイテムを強制購入させられる
- eオリコサービスに不正アクセス
- 脱原発団体にメールボム
- #OpKillingBay特に何も起こらず
- Public Key Pinningってどうなの?
- EC-Cubeに重大なものを含む6件の脆弱性が見つかる
- 履歴書.zipに注意
著者プロフィール
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。