約半分のWebサイトに個人情報漏洩の欠陥? 53
ストーリー by mhatta
人のふり見て 部門より
人のふり見て 部門より
Anonymous Coward曰く、"日経ITProの記事によれば、NRIセキュアテクノロジーズ社の調査により、国内の代表的Webサイトの約半分に個人情報の漏洩につながりかねない致命的な脆弱性が見つかった。大きな問題はないとされたサイトは21%しかなかったそうである。
最近ではWinny等での情報流出がニュースの主流で、サイトのセキュリティはサイバーノーガード戦法が定着しているのかもしれないが、なんともな限りだ。
ところで、この調査で行った攻撃は、不正アクセスにならないのであろうか? サイト名を公開しなければ良いと言うものでもないと思うが。"
驚きました。 (スコア:5, すばらしい洞察)
Re:驚きました。 (スコア:1, すばらしい洞察)
まともな企業や官公庁はこうした診断サービスを定期的に受けています。二度目になれば脆弱性が見つかる確率も下がるのが当然ですし、診断を受けようとしている時点で、平均よりセキュリティ対策に関心がある母集団だという偏りがあるわけで。
現状 (スコア:5, 参考になる)
※HTTPS/SSLを使用しています。 (スコア:1, すばらしい洞察)
いやこれだけで大丈夫ってほうがやばい。
確かに外部からのプローブには有効かも知れんけど
ログインページだけhttps (スコア:1)
ってのがふとした疑問なんですけどね、一緒にちょっとオフトピ気味の便乗質問いいですか?
Vector [vector.co.jp]のように単なる登録ユーザー専用ページを見せるコンテンツでhttpの入り口をデフォルトにしつつ「SSL認証はこちら」なんてをわざわざやるのが理解できません。
ブログサイトなどでAuthorと一般の閲覧者を区別するために入り口が違うのは理解できます。
割とよく見かけるので二つのプロトコルを使い分けることになにかしらのメリットがあるのだと推測してますが、勉強不足で全く何だかわかりません。
そういや、mixi [mixi.jp]なんかが見事に両方当てはまりますが、ログインしたユーザーのみに提供されるはずのSNSがこういう実装をしているのは更に謎ですね。
httpsのみに切り替えることでなんか問題が?
#やさしくてハンサムでその辺りに詳しくてハンサムな人が突然現れてものすごい勢いで解説してくれることに期待してもいいですか?
Youthの半分はバファリンでできています。
Re:ログインページだけhttps (スコア:2, 興味深い)
以下がその内容です。
───── 要望内容(抜粋)ここから ─────
=======================================
お名前: 【自己検閲】
タイトル: ログイン時 SSL 使用をデフォルトにして欲しい
メールアドレス: 【自己検閲】
=======================================
現在のログイン時標準は非 SSL ですが、SSL 使用によるログインを標準とし、SSL を使えない環境の場合の救済として、現在標準となっている非 SSL によるログインへのリンクを用意する、というようにログイン標準状態の変更を希望します。
ソフトウェアのダウンロードといえば Vector、というほど認知されている最大手であるにもかかわらず、このような重要な点に対し十分な措置を施していないという事は、自らのセキュリティに対する認識が甘いと言わざるを得ません。
可及的速やかなる変更を希望します。
以上、御検討よろしくお願いします。
───── 要望内容(抜粋)ここまで ─────
上の要望に対する Vector からの回答が以下の通りです。
───── Vector からの回答(抜粋)ここから ─────
Vector カスタマーサポートセンターです。
弊社サービスをご利用いただきましてありがとうございます。
ご連絡が遅くなりまして、大変失礼いたしました。
ご指摘いただきました件、SSLが利用できない場合は、SSLのページ
自体に接続できず、ログイン画面に進めないという問題があるため、
標準を非SSLとし、SSLの利用を行う場合にSSLに切り替えていただく
仕様となっております。
SSLが利用可能で、かつ、利用される利用者様には、お手数をおかけ
することとなりますが、何卒ご賢察のほど、お願いいたします。
頂戴いたしましたご意見につきましては、サービス改善の貴重な参考
とさせていただきたく存じます。
どうぞよろしくお願いいたします。
(要望全文引用のためカット)
------------------------------------------------------------------
Vector カスタマーサポートセンター(【担当者実名につき特に名を秘す】)
webmaster@vector.co.jp
------------------------------------------------------------------
お問い合わせの内容によりましては、ご入力いただきました情報を作者に
転送させていただく場合がございますのでご了承ください。
当社の個人情報の取り扱いにつきましては、下記URLをご参照ください。
プライバシーポリシー ( http://www.vector.co.jp/privacy/ )
-----------------------------------------------------------------
───── Vector からの回答(抜粋)ここまで ─────
…私の要望挙げ文章が拙いせいか、Vector としてはメインユーザ層が使用しているブラウザとして想定しているのは SSL セッションも確立できないレガシー(いや、レジェンダリーというべきか ;-p)な環境のようです。
SSL セッションの確立に失敗したら自動的に非 SSL なログインページにリダイレクトすればいいじゃん、とか思いますけれど、要望挙げに対し上のような紋切りっぽい返事をよこすサイトに、こういう提案が通ったことは一度しか経験していません(別のサイトで、同様に非 SSL ログインが標準だったので SSL ログインを標準にしてほしい、と要望挙げたら即反映された)。
Vector とのこのやりとりで、どうやら私は Vector というサイトに過剰な期待を抱きすぎていたようだ、という認識に至りました。
mobile ID portable_NoGood [slashdot.jp] 併用中
よくわかりました。 (スコア:1)
まず、レスして頂いた方全てにお礼を申し上げます。
要するに、SSL認証を行う過程に生じる負荷が大規模なサイトであればあるほど無視できないものになってしまうことが制限因子なのですね。
そこでhttpsで送受信を保護するのはメールアドレスなどの情報を送信するログインページのみに限定し、それ以後はユーザーIDなどの抽象的な情報でセッション管理を行い、httpでも構わないような設計しているのが実情であると。
おかげさまで冒頭の疑問の解決しました。
設計によっては安全でない可能性があるが、信頼できないと断定できるものでもないというのが答えと言うことですよね?
Vectorの件は非常に興味深い回答ですが、もしかしたら上のようなことにはっきりと答えたくなくてレガシーな環境の話を持ち出したのかもしれませんね。
Youthの半分はバファリンでできています。
Re:ログインページだけhttps (スコア:1)
# 詳しくないのでこの程度だけ指摘
---- 何ぃ!ザシャー
Re:ログインページだけhttps (スコア:0)
Re:ログインページだけhttps (スコア:0)
Re:ログインページだけhttps (スコア:1)
ACですので残念ながら同一人物なのかハンサムなのかも分かりませんが、ちょっとだけ希望が叶ったと思って喜んでます。
Youthの半分はバファリンでできています。
Re:現状 (スコア:0)
詐欺回答?
Re:現状 (スコア:1, 参考になる)
Re:現状 (スコア:1, すばらしい洞察)
防犯ステッカー (スコア:0, すばらしい洞察)
Re:防犯ステッカー (スコア:1, 参考になる)
ネットワーク盗聴をする盗人が、「HTTPS/SSLを使用しています」のステッカーを見るのは、盗聴したパケットを見たときにだろ。
こういうデータは信用しません (スコア:4, すばらしい洞察)
なぜ、この調査結果を公開したかというと
もっとこの会社が儲かる為でしょ
世の中の、公開しているWEBサイトには
いっぱい情報漏洩の危険がありますよ、
御社もちゃんとした、セキュリティ-チェック会社に
見てもらった方がいいですよ、
と恐怖心をあたえて、
NRIセキュアテクノロジーズ社はいかがでしょうか?
っていう作戦でしょ
実際のデータが情報漏洩の危険性のあるサイトが少かった場合
データを改竄するか、
この会社に有用なサンプルしか採用せず公開するでしょう
ユーザーに恐怖心をあたえないと
情報漏洩対策にお金出してくれないですから
そんなデータ信用できません
まだ、特定の企業ではなく
データセキュリティ-、アソシエーションみたいのがあって
そこが発表するなら少しは信用します。
で、なぜ日経ITProがこの件を取り上げたは
書いた記者、編集長、日経ITProが上記会社から
なにかしらの見返りをもらっているのでしょう
(現金その物か、広告をのせてくれているとか分かりませんが)
とかんぐってしまいます。
Re:こういうデータは信用しません (スコア:0)
>データを改竄するか、
>この会社に有用なサンプルしか採用せず公開するでしょう
いや、そんな嘘をつくまでも無く、
「当社の定期診断を受けている企業ではこのように脆弱性が減ってきています」で十分。
Re:こういうデータは信用しません (スコア:0)
どんな仕事をして飯を食っているのでしょうか。
とっても不思議です。
>>でも指摘すると暴れだしたりするので、
>>表面的であっても同意してあげたほうがいいよ。
確かに(笑
脆弱性診断を受けたのにノーガード戦法? (スコア:4, すばらしい洞察)
Re:脆弱性診断を受けたのにノーガード戦法? (スコア:0)
サイバーノーガード戦法な人たちが何も考えてないとは限りません。
Re:脆弱性診断を受けたのにノーガード戦法? (スコア:1)
脆弱性を突くとダミーデータが出てくる。流出してもゴミ。
ハニーポットみたいに攻撃者を記録するの。
ところがそのログを見ると攻撃者は脆弱性の調査委託をしたNRIセキュアテクノロジーズ社だったりして。
〜◍
なんともオフトピな限りだ。 (スコア:4, おもしろおかしい)
「なんともな限りだ。」とは全くなんともな限りで。
いくらなんでも略しすぎではなかろうか。
SQLインジェクション (スコア:3, 参考になる)
リンク先によれば、不正アクセスの要因は
ということで、一番多かったのが3番目だそうで、昨年の流行通りの結果ではないかなと
# これくらいはタレコミに書いてほしい気もするけど、まいっか
Re:SQLインジェクション (スコア:1, 興味深い)
不正アクセス? 脆弱性の要因では?
不正アクセスがあったという調査じゃないわけで。
> 一番多かったのが3番目だそうで、昨年の流行通りの結果ではないかなと
脆弱性診断の結果が不正アクセス事件の流行に左右されるのはおかしくない?
(一昨年までSQLインジェクションは調べてなかった診断サービス?)
お約束 (スコア:2, すばらしい洞察)
# ACなら多分大丈夫だと思うのでAC
Re:お約束 (スコア:2, すばらしい洞察)
いや、全然だめだろう。
脆弱性云々の前に、アカウントが削除できないっていう仕様面からしてすでにだめ。
脆弱性に関しても…
Re:お約束 (スコア:0)
Re:お約束 (スコア:1)
Re:お約束 (スコア:1)
#いや、ネタだから
# 爆言のち漏電中… :D
Re:お約束 (スコア:0)
> # ACなら多分大丈夫だと思うのでAC
妥当な判断だと思います。
私の登録してないのでACです。
判例によると、明らかに不正アクセス (スコア:1)
あとは脆弱性がある個人サイトがこの会社を告訴すればいいだけ。ログがあれば有罪にできる。
なんせ、ftpを回避していれば、不正アクセスだそうですから。意図が善意であっても関係ありません。脆弱性を見つけたこと、見つける行為自体が不正アクセスなんです。ええ。
だから、脆弱性があると 指摘すること は不正行為なんです!
日本の判例ではそうなってます。
Re:判例によると、明らかに不正アクセス (スコア:0)
Re:判例によると、明らかに不正アクセス (スコア:0)
脆弱性を指摘しただけで不正行為とはならない。
悪名高いACCSですら、脆弱性の指摘は歓迎すると言っている。
不正アクセスで捕まったバカは、脆弱性を指摘する前に、個人的に悪用したから捕まったのだ。
さらに、脆弱性を利用して得た個人情報を、不注意から流出させている。
脆弱性悪用したから刑事事件になったのであり、個人情報をばら撒いたから民事で訴えられたのですよ。
不正アクセス (スコア:1, 参考になる)
大変だ、逮捕しなきゃ (スコア:0, 荒らし)
逮捕、逮捕、逮捕しなきゃ。
Re:馬鹿かお前は(フレームのもと,-3) (スコア:1, フレームのもと)
ストレス発散は他でドゾー(おれもなー
Re:馬鹿かお前は(フレームのもと,-3) (スコア:0)
Re:馬鹿は編集者 (スコア:1, すばらしい洞察)
つまり「編集者」とは「コピー&ペーストする人」という意味なんだよ!!
な、なんだってー
Re:馬鹿は編集者 (スコア:0)
Re:馬鹿は編集者 (スコア:0)
って意味だと、AC もアカウントも変らないというか、正直 AC の方が役に立つものが多い。まぁ、AC は絶対数が多いから、人材が多いって事だと思うけど。とにかく、アカウント所有者のゴミ書き込みがいつも気になる。シグネチャでわかる。「ああ、こいつかって」。でも、同じくらいゴミACも多いけどね。結局ある集団の中で、まともな人材の比率は一緒って事で。
編集者に好かれるって意味だと、アカウントじゃないとダメなのはわかるが。
Re:馬鹿は編集者 (スコア:0)
もちろん変更前のが誤っているとかなら仕方ないが、別のサイトに誘導されたもんなぁ。
タレコミする気も失せるってもんだ。
Re:馬鹿は編集者 (スコア:0)
>まともな編集者は望めないのか?
べつに誰でも気づくようなミスで
結果が金銭や人命に関わらないのならば
そこまで言わなくてもいいと思うんだけどなぁ
#金とか生活とかが掛かってる 探すのが大変なミスは許さないけど
Re:馬鹿は編集者 (スコア:0)
まあ、ここまで度胸があってもACじゃね。
といっても、スラドのモデレートは好きじゃないのでAC
Re:タレコミを訂正しろ (スコア:1, すばらしい洞察)
編集者と「余計なもの」を付けた人が同一人物である可能性もあるけれど、もしそうであったとしても「余計なもの」を付ける時はその人は編集者ではなくモデレータであるのではないではないであろうか。
Re:タレコミを訂正しろ (スコア:0)
モデレートを自分の役割と切り離せるほど分別が出来る人達とは思えない、と。
Re:タレコミを訂正しろ (スコア:0)