- PR -

脆弱性を見つけた時の対応は?

«前のページへ 1|2
投稿者投稿内容
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2005-08-08 11:10
どもでし。がるです。
んっと…まぁ色々経験した個人的体験込みで、つらつらと。

引用:

・違和感〜「いかにも」なURL〜
 応募後、サイトを色々見ている内に、怪しいURLがある事に気付く。
 “http://〜/view.cgi?file=../html/XX.html”のような、「いかにも」なURL…。
・実験〜URL書き換え〜
 「まさか」と思いつつ、好奇心に負けて試してしまう。
 “http://〜/view.cgi?file=../../…/etc/passwd”入力。
 表示される、Linux環境と思しきユーザ情報リスト…脆弱性確定の瞬間。
 この後、CGI の Perlソースまで見えてしまう事により、少なくとも応募の際に登録した個人情報が相当危ないと認識、管理者に報告の決意。

わっはっは。…寒いですねぇ。ちなみにこーゆー脆弱性、
多分今でも結構あちこちにあります(苦笑

引用:

・報告〜使命感に燃え〜
 「管理者」と明記した連絡先は無いため、サイト中を探して何かしらのアドレスを発見、メールを送信する。曰く、
 「〜のURLで、システムファイルが漏洩してしまう。一般的にこれは重大な脆弱性だ」
 「応募の際送信した個人情報が心配な上、他の方への影響も考えると、是非にも対処をお願いしたい」
 ※この時、良いことをしたという満足感と、「もしかしたらお礼が…」という下心があったことは否めない。

うん。正直こんなもんだと思うです。とりあえず技術者として、
「正義感に燃えて」的部分っていうのは誰しもあると思うです。

引用:

 その後、「脆弱であることを確認し、システム利用を停止した」とのメールが。
 ただし、依然乗っ取りの危険性があることには変わりないため、更にメールを送る。
 「停止されているのは誠に結構と存ず。なれど、URLを知る者はまだ弱点を利用できる。開発元にお伝え願いたい」
 「未確認ではあるが、サーバ自体の乗っ取りまで含めた、深刻な被害が出る可能性もあると愚考する。ご考慮を願う」

多分このあたりから、一般の方と認識が乖離していくん
だろうなぁと思うです。
上述は、技術者にしてみれば
・先方のあまりにもお粗末な対応への危機感
を感じての、ほぼ好意であるはずなのですが。
先方にしてみればそろそろ
・うるさい
って感じる部分なんだろう、と。
私は、この辺の根っこに「危機への認識の違い」が
あろうかと思うです。
# ちと詳しくは後述。

引用:

・メール漏洩〜驚愕の舞台裏〜
 …その後届いたメールに驚き慄く。担当者が上司に書いたメールを、間違えて当方に送信してしまった模様。曰く、
 「報告者への対応を如何すべきか。彼は相当なクレーマーである」
 「今後『たかり』の要求が来る可能性もある」

うん。「普通の企業」の反応でしょうねぇ。
もうちょっとひどいと警察を絡めてくる可能性すらありますし :-P

引用:

・決裂〜クレーマーと化す〜
 程なく、謝罪メールが届く。
 「上司に送るはずのメールを誤って送信した」( 一目瞭然である )
 「失礼な発言をお見せし、申し訳ない」( 論点がずれている )

まぁ。向こうにしてみれば「メールの内容自体は正当なもの
である」でしょうから :-P

で、まぁ
引用:

 私はサイトの運営を妨害し、停止に追い込んだクレーマーであったのだ。

という認識を先方がすることで、先方の、特に担当者は保身を図れる
わけですね :-P
「特に重要な問題ではなかったのだがクレーマーが原因で閉鎖せざるを
 得なかった」と。

引用:

最近長文になることが多くて反省しきりです。…ただ、記憶の中にしまっておくのも辛くて、はけ口を求めていたのは確かです。平にご容赦を。
当時は IPAに関しては知りませんでしたし ( 恐らく無かったのでは? )、某○ffice氏のような活動を知る前でもありました。

数年前だとすると、IPAそのものはありましたが、脆弱性の報告窓口は
まだなかったです。

出来るだけ長くならないように考察を^^;
ひとつ思うに、多くの会社と、われわれ技術者の間では、
ものすごく大きな「認識の乖離」があると思うです。

技術者にしてみれば、例えば「URLの変更程度で顧客データ
CSVがread出来る」状況は、非常に怖いわけでして。
非常に単純で初歩的な設計ミスであること、基本的には
比較的楽に修正ができること、そのわりに被害がでかいこと
など。
技術者的には「メガホンもって大騒ぎする」に足る、
重要な内容だと思うです。
でまぁ修正方法もすぐ思いつきますし :-P

ところが企業側にしてみると(以下、非常に粗悪なもの
を想定しています)。
個人情報は謝罪か、場合によっては1件500円程度の
コストで片付きますし。
なによりも、流出したと仮定して「自分の会社から流出
した」ことが公にならなければ問題ないですし。
一方で、システムを修正するといっても(そんなシステム
を作成したスキルってのを基準にすると)方向性もよく
わからないしどれくらい予算が削られるかも不明ですし。
しかも、現状ならぶっちゃけ「不正アクセス禁止法」
を使ってのサイバーノーガード戦法もあれば、イメージ
的にはカカクメソッドって手段もありありです :-P
つまり、「URLの変更程度で顧客データCSVがread出来る」
状況は「事後に場当たり的な対応をするほうが安い」
です:-p

まぁ正直なところ、怖い判例がでたなぁってのが
個人的感想ですねぇ。
引用:

今は、このような想いをすることなく、問題点を指摘できる環境が整っていることを願って止みません。

本当に、しみじみと思いますが。
結局のところ「本当に痛い」のは無辜の顧客達であって、
企業ではないですから。
しばらくは難しいのかもしれないです。

だからこそ、せめて技術者たちに啓蒙をして、初めから
「そういったホールのない」状況を目指したいもの
なんですけどねぇ。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)