パスワードを忘れた? アカウント作成
3692 story

NHKオンラインはXSS脆弱性てんこ盛り 146

ストーリー by yourCat
XSSより対応に問題 部門より

k3c曰く、 "8月20日にセキュリティホールmemo MLに公開された情報 (474347444745474647474752)によれば、NHKオンラインのWebサイト上に設置された複数のスクリプトにクロスサイトスクリプティング (XSS) 脆弱性が存在し、悪意ある他者が設置したリンクやフォームをクリックすることで、NHKオンラインに入力したつもりの個人情報が取得されたり、虚偽の情報を提示される、ユーザの端末に負荷をかける (ブラウザクラッシャ) などの攻撃が可能な状態になっているという。これらの脆弱性はNHKに対して半年前に通知されたにも関わらず放置され続けた。さらに、今回のセキュリティmemo MLへの公開後に修正が行われたが、修正が不十分で未だに脆弱性が残ったままであるという。…そもそもの最初に対応を誤ったせいで、そのままずっと間違った対応を貫く羽目になっているということなのだろうか。早いこと方針を変えたほうがいいと思うのだけど…。
発見者はユーザー側の回避策として、NHKオンラインWebサイトを「制限付きサイト」に登録することを推奨している。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Technical Type (3408) on 2002年08月22日 10時35分 (#150603)
    他力本願堂本舗さんの別の コラム [shadowpenguin.org] によると、その脆弱性てんこ盛りの掲示板で 「インターネット あなたのプライバシーをどう守る?」といったテーマで意見を募集し、 NHKの掲示板の脆弱性を指摘を含んだ投稿はモデレートで落とされ、 結局問題があった事は隠したままで修正しても報告しないという言語道断の最低最悪ぶりだったようですね。

    多分、責任者の体面だけが問題なんでしょう。あるいはNHKが問題のタネになる事を恐れているのか。

    • by oltio (3848) on 2002年08月22日 11時30分 (#150644) 日記
      • Webページ(掲示板)自体は別会社に委託
      • そこがタコな掲示板を作っていた
      • 委託された会社の方では、これが(NHKに)バレると困るので必死のもみ消し
      • バレたとしても、「たいした事ない、マニアが騒いでるだけですよ」と 局側の人間を説得

      といったところではないだろうか。

      #気分はAC

      親コメント
      • by G7 (3009) on 2002年08月22日 14時12分 (#150732)
        >マニアが騒いでるだけですよ

        見つけたり騒いだりしたのが、マニア(一部の人)であろうとなかろうと、事実はかわらない

        …ということを、そろそろ世間の人々も学んで欲しいです。
        親コメント
      • > バレたとしても、「たいした事ない、マニアが騒いでるだけですよ」と 局側の人間を説得

        じゃぁ何ですか,どんな犯罪でも「たいしたことない、悪いやつが暴れただけですよ」ってことで
        報道しないで済ませてくれるんでしょうかねとか,どんな番組でも「たいしたことない、マニアが
        見るだけですよ」とか言って放送を何もしないで済ませたりするんでしょうかねと/.Japanに書かさ
        れてしまった気がする.
        親コメント
      • 私のmemo-MLでの報告 [ryukoku.ac.jp]で、Apache/1.3.6なサーバとしてnhk1.n-systec.co.jp というインターネットからアクセスできないホスト名があることを述べていますが、n-systec.co.jpのドメインを持つ会社が関与してるだろうと推測できます。

        実際n-systec.co.jpの持ち主である日本システック株式会社 [n-systec.co.jp]の会社概要 [n-systec.co.jp]には、取引先としてNHKの名が上がっています。よって日本システック株式会社もNHKから受注していたタコ会社の一つでしょう。

        しかし、たとえこういった会社が「たいしたことない」といい訳したりしていたとしても、最終的にもみ消そうとしているのはNHKそのものだと思いますよ。むしろNHKの「脆弱性の対策は終了した」との見切り発車の大本営発表のおかげで、隠蔽工作命令に奔走させられているのが実情じゃないでしょうかね。

        それと、実際には続行中の脆弱性修復作業に関して、何故高らかに「終了宣言」が出されたのか全く謎です。まぁ今現在は、とにかく一応報告された全てのXSS脆弱性に対して何らかの処置はとられたようですが。

        他力さんの方ではXSS脆弱性ではない、強烈な問題をいくつか発見し(日経を通して?)NHKに報告されていますが(たぶん未公開)、その対応が終了したかどうかは、私の方では確認できていません。

        --
        office
        親コメント
    • >あるいはNHKが問題のタネになる事を恐れているのか。

      もうタネにされてますがな。
      国からいっぱい補助金もらって、視聴者から高い受信料とって
      (払わない人もいるのに)都合の悪いことは隠ぺいか。

      #うちは受信料払っているが、他のCSの合計より高いのが納得できない
      親コメント
      • > 国からいっぱい補助金もらって

        虚偽はいけませんねぇ。NHKは国から補助金は一切もらってませんよ。
        --
        ゆーへん
        親コメント
        • 交付金の使い道 (スコア:3, 参考になる)

          by Fortune (6210) on 2002年08月22日 15時53分 (#150797) 日記
          交付金の話が出てるのでちょっと調べてみたらこんなページ [nhk.or.jp]が
          NHKによると、交付金は
          放送法にもとづくラジオ国際放送の国の実施命令に関する部分と公職選挙法にもとづく政見・経歴放送に関する部分のみである。
          だそうで、あくまで国に課せられているお仕事の対価としてもらっているようです。
          なんで「補助金を貰ってない」と言っても、あながち間違いではなさそう。
          親コメント
          • あそうか、国際放送は命令部分だけに対する対価なんですね。

            で、13年度の国際放送の経費 [nhk.or.jp]はラジオ46.3億、テレビ21.9億。
            命令放送はラジオのみで、その割合についてはここ [soumu.go.jp]に65時間中の23.5時間とありますから....

            46.3億*23.5/65=16.7億

            これには政見・経歴放送の費用と人件費を含んでいないので、22億の交付金は決して高いとは言えない。
            やはり安いのではないでしょうか。
            --

            -----
            Team Slashdot Japan [tripod.co.jp]に参加しよう。

            親コメント
          • by Technical Type (3408) on 2002年08月22日 19時18分 (#150914)
            予算総則 [nhk.or.jp]によると

            第12条
             業務に関連ある調査研究等に対し、交付金、補助金等の収入があるときは、その金額は、調査研究等に関係ある経費の支出に充てることができる。

            とあります。 NHK は次世代とかハイビジョンとかデジタルとか、 業務に関連ある調査研究を色々やっているはずですが、 交付金、補助金等を「経費の支出に充てる」のですから、 相殺できるわけですね。 それ以外にも NHK Information [nhk.or.jp]には 平成14年度のアナログ周波数変更対策の実施に対する給付金が、政府予算案の決定で9億円にという記載があります。 ですから、全部は調べきれませんでしたが、 国際放送と政見放送以外にも給付金やら交付金が各種名目で出ている事になります。

            親コメント
  • by k3c (4386) on 2002年08月22日 11時54分 (#150656) ホームページ 日記
    NIKKEI NETに取り上げられました。
    NHKがサイトを修正――欠陥問題で [nikkei.co.jp]

    というわけで一応修正作業は行われた(脆弱性がなくなったかどうかは不明)様子なのですが、NHKのコメントに曰く、
    個人情報などが流出する恐れは全くないが、今後もサイトの運営には万全の態勢で臨みたい
    流出した恐れについてはどう考えておられるのか、お聞きしたいところです。
    • Re:その後の対応 (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2002年08月22日 19時30分 (#150921)
      ・個人情報などが流出する恐れは全くないが、今後もサイトの運営には万全の態勢で臨みたい

      ・個人情報などが流出したとしても悪用されるような重大な情報はないので心配は全くないが、今後もサイトの運営には万全の態勢で臨みたい

      ・個人情報などが流出して悪用されても実害はないと思われるので心配は全くないが、今後もサイトの運営には万全の態勢で臨みたい

      ・個人情報などが流出し悪用され実害が出ても、被害にあう人は少数と思われるので、多くの方は心配する必要は全くないが、今後もサイトの運営には万全の態勢で臨みたい

      ・個人情報などが流出し悪用され、多くの方に実害が出ても生命の危険がおびやかされるとかの恐れは全くないが、今後もサイトの運営には万全の態勢で臨みたい

      ・個人情報などが流出し悪用され、多くの方に実害が出て尚且つ生命の危険がおびやかされる事態が発生しても、それはたまたま運が悪かっただけで、今後同じ事が起こる恐れは全くないが、今後もサイトの運営には万全の態勢で臨みたい

      ・担当者が異動してしまったので詳細がわかりません。
      親コメント
    • by Technical Type (3408) on 2002年08月22日 12時27分 (#150672)
      memo の4751 [ryukoku.ac.jp]を見ると、 NHK は「直った」と言っても本当に直っているのかどうか怪しい所のようです。なにせ再三指摘を無視するような所ですからね。だいたい、いまだに

         Apache/1.3.6 Server at nhk1.n-systec.co.jp Port 80

      なんてバージョンを使っているというのも凄すぎる。いずれにせよ NHK は、局として Apache のバージョンは最新のに上げるべきだと判断するだけの能力すら無い事だけは確かなようです。

      親コメント
  • NHK みたいな立場で (スコア:2, おもしろおかしい)

    by bugbird (4706) on 2002年08月22日 12時23分 (#150669) ホームページ 日記

    こういうタコなことをやってると、

    「ほ~ら、やっぱりインターネットって使えないじゃん」
    なんて風評がたつんじゃないかねぇ。それがイヤ。

    組織的には

    「インターネット? そんなのはヘタレにでもやらせとけ」
    というスタンスだったんだろうし、それで目一杯地雷を 踏みつけたわけだよね。

    まぁ、既存メディアに棲息しておられる優秀な方々には、 IT というメタなメディアが丸っきし見えてないという ことが、また一つ証明されたということですな。

    --
    --- Toshiboumi bugbird Ohta
    • by G7 (3009) on 2002年08月22日 14時33分 (#150746)
      >「ほ~ら、やっぱりインターネットって使えないじゃん」
      >なんて風評がたつんじゃないかねぇ。それがイヤ。

      Internetという(考えようによっては)ライバルを、
      FUD(?)する一助になったかな、とか思っていたりはしないだろうか?>NHK

      折り良く(悪く?)、例の番組「変革の世紀」では、
      内容的にもメタ的にもInternetの存在を意識したり依存したり
      しまくっているNHKですが、腹の底はどう"思って"いるのやら…

      余談:
      昔はNHKを入れれば(他局より)落ち着いたもんだったが、最近のNHKは「BS(デジタルも)という製品」のCMが五月蝿くて…。
      なんか近年、NHKのノリって、いまいちになってきたような気がする。
      親コメント
      • by pavo (486) on 2002年08月22日 18時39分 (#150888)

        折り良く(悪く?)、例の番組「変革の世紀」では、
        内容的にもメタ的にもInternetの存在を意識したり依存したり
        しまくっているNHKですが、腹の底はどう"思って"いるのやら…

        推測ですが、「認識が足りない」状態なのだと思います。
        “思う”以前の段階なのではないかとちょっとかなり心配。

        というのは、2年ほど前ですが、NHKで放映されていたある番組の情報を流してくれる
        メールマガジンに購読登録していたところ、ありがちな“参加者の全メールアドレスを
        参加者に流してしまう”というコトが起きたのですが、全く誠意の感じられないさらっと
        した謝罪メールが来て、かなり不安感が増した経験があります。「なんでこんなこと
        ぐらいでクレームが来るんだろう」と思っているのではないかと勘ぐってしまったほど。
        これでは、個人情報の管理に対する意識も実質的なところでは薄いだろうと感じ、以来、
        NHK関係のシステムには個人情報を登録しないようにして様子見モードに入ってました。

        そろそろそういう意識も改善されて来たかなと思っていたのですがまだなのかな...

        思うにNHKは、Internetの表向きの面には敏感であり、とらえ方も悪くないのだけれども、
        地道な面というか、非常に基本的で大切なところをしっかりみつめていないのではないかと。
        そういったところを大切にする良さがNHKにはあると思っているのですが、Internet関連に
        ついてはこれまでのやり方が通用していないのかもしれませんね。NHKが本来持っている
        良さを、こういうところにも発揮して欲しいところです。
        親コメント
        • TVや新聞等のマスコミって個人情報やプライバシーってホント
          おざなりにしてるじゃないですか。
          そういう部分が上から末端まで染みてて多少麻痺してるんじゃ
          ないでしょうか?
          基本的なところで悪いと思ってないのかもしれないですね…。
           
          --
          はすかわ
          親コメント
  • by messo (7339) on 2002年08月22日 20時45分 (#150961) ホームページ 日記
    最近-1モデレートが多いような
    適切なら別にいいけどあえて-1になる場合ば多いような気がします。
    確かに+1しに値しないのも多いがだからと言って無闇に-1するのはどうかと思う

    何度かモデレータしているが値しないなら何もしないのも選択の一つだよ。
    会社のストレスをここで吐き出すような考えなら一呼吸してからモデレートして下さい。
    -1の確率が多いとACが増えると思うが…
    AC増えると2ch化すると思われ

    初めから番組の補足的な扱いで管理者不在な状態で運営されていたって感じはしますけど。
    今まで漏れた所の共通すると思いませんか?
    甘いと言われればそれまででしょう、漏れるなら初めから
    それを想定して書き込みを行うのも自衛手段でありユーザの選択ではないかと
    ハンドルネームを使う、フリーのセカンドメールアドレスを使うとかね。
    #クレジットカード等扱うような場所は叩いた方がいいけど

    あまり叩き過ぎると余計に窮屈な思いをするに1000点
  • by Anonymous Coward on 2002年08月22日 12時41分 (#150683)
    ひたすら頻発するセキュリティー問題や増える一方のサイト数なんかを見ていると、結局は自分は自分で守るしか無いって事か。
    もし全てのサイト管理者が良心的で積極的にセキュリティー対策を行うとしても、捌ききれない地雷は必ずあると考えておくしかない。
    いわんや、現実上では、ね。
  • 会長が辞める事態になれば、
    食品問題みたいに、どの企業も大慌てになるのかなぁ
  • 一応私もIDがあったが、あのころはとりあえずパスワードさえ守って
    いればなんということもなかったという、今から考えると牧歌的な運営
    していて、そんな意識が抜けてなかったのかなぁ・・・なんて思ったりして。
    ネットとか、技術に関してはそれなりの先取の姿勢があっただけに、
    報道が事実ならちょっと残念。
    --
    --- 天婦羅★三杯酢 temp@sunbuys.co.jp ---
    • Re:銀河通信 (スコア:2, 興味深い)

      by NO DATA (7774) on 2002年08月23日 2時06分 (#151147)
      私がID申請した時、ちょうど泊まり仕事か何かで2・3日不在でして、帰ってみたら下宿の郵便受けににIDとパスワードがデカデカと印刷された官製ハガキが半分露出した状態で投函されていてたまげたのを覚えています。
        そういう意味では、さもありなん、とゆーか。
      親コメント
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...