パスワードを忘れた? アカウント作成
174501 story
セキュリティ

どこかでみたような「アメーバなう」、即CSRFの餌食に 65

ストーリー by hylom
斜め上の方向で話題に 部門より

hokunan 曰く

アメーバブログ」や「スラドでも話題になった男の子牧場」など、ある意味話題の企業、サイバーエージェントどこかで見たようなサービスである「アメーバなうをリリース」した。

しかし、セキュリティ対策の不備によりmixiでもおなじみのはまちや2氏によるCSRF(Cross Site Request Forgeries)餌食になった模様だ。現在は脆弱性は解消されているとのこと。

この手のWebアプリケーションでのテストソリューションをサイバーエージェントで持って/行っていなかったのか気になるところ。なおデスブログでおなじみ ひがしはらさんもこのサービスを早速使用されている模様だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • いつも思うけど (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2009年12月14日 15時10分 (#1688487)

    はまちやの人って、本当に親切だよね……

    いや、もしかしたらもっと致命的な不具合は見つけても隠し持ってるのかもしれないけど。

    • Re:いつも思うけど (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2009年12月14日 15時27分 (#1688495)

      親切とは……神経を疑うな。

      まぁ「場」を区別してコミュニケーションすることが困難な人の基準では親切なのかもしれないが、
      IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。

      親コメント
      •  過去に10回強、諸々のサービスでCSRFを見つけたことがあります。

         それに関して、運営者に届けても反応がないこともちらほら。
         場所によっては無言でアカウント削除されたりしました。自分のアカウント使ってCSRF試してみただけなので(そこの)規約には違反してなかったんですが。

         運営者が反応無いからとIPAに届けるのも、結構時間かかります。私のようにプロでもない人間でも見つけてしまうような脆弱性だから、見つけて悪用する人も出るのでは、と危惧しながらも、通報した後、何もできないままやきもきするのは、あまり良い気分ではないわけです。

         もちろん、即座に対処してくれるサービスもありましたけどね。

         「はまちや」さんがそういう経験をしたのかどうかは判りませんが、もし私と似たような経験をしたのであれば、「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。

        親コメント
        • by Anonymous Coward

          >「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。

          僕は賛成しますね。わざわざ危険性があると報告したのにアカウント削除されたり、無視されたりしたら運営側の程度がしれる。
          そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。
          あらゆる危険性が残ったまま腐ったサービスを運営し、指摘されたら修正するのが面倒なのか、対応するのが面倒なのかは知りませんが、
          指摘されたことをなかったことにしたり、指摘したユーザのアカウントを削除する腐ったサービスは即刻滅びればいいです。

          • by Anonymous Coward

            そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。

            何のために?
            何のためのセキュリティなの?

            被害を出さないためのセキュリティなんじゃないの?
            目的と手段を取り違えていませんか?

      • by IZUMI162i6 (27633) <izumi@puni.moe> on 2009年12月14日 16時42分 (#1688545) ホームページ

        対応速度や対応してもらえた割合がIPAへの届け出と比較してどのくらいなのかが気になりますね。
        はまちや2さんの指摘ではほぼ100%の頻度で対応されてそうなイメージがありますが、実際どうなんでしょう?
        IPAは地味にスルーされることもある [nikkeibp.co.jp]というイメージ。
        あくまでイメージですが。

        個人的には、サイバーノーガード戦法で居直られるよりは対応された方が利用者にとっては親切だと思います。

        ところで、今回のスクリプト(?)ってはまちや2さんが作成したってソースありましたっけ?

        --
        ◆IZUMI162i6 [mailto]
        親コメント
      • by Anonymous Coward on 2009年12月14日 18時10分 (#1688604)
        > 「場」を区別してコミュニケーションすることが困難な人

        本当に仰る通り、区別って大事です。

        脇が甘いといたずらされちゃう「場」である事を理解できずに、
        いたずらされて本気で怒る人って稀にいますよねぇ。
        KYじゃないですけど、新規参入の人達は、
        もともと存在する文化に少しは配慮して欲しいと思います。
        面白半分にいじられるのがそんなに嫌なら、NTTかどこかと組んで、
        全くいたずらを許さない商用専用のインターネットを作ればいいのに。

        # 無論、サイバーエージェントがそうだとは思ってません。
        # むしろ、そーゆー「場」を理解してのネーミングなんだろうし、
        親コメント
      • by Anonymous Coward on 2009年12月14日 18時52分 (#1688634)

        >>IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。

        はまちやさんはIPAに報告してもなかなか本気にしてくれなかった過去を経て今に至ってますからね。
        彼にとってはIPA自体信用に欠ける機関なんじゃないかな。
        IPAたんからへんじこない [hatena.ne.jp]
        # まぁこれで信用してくれってっていうのも・・・って文体の通報ですけど。

        親コメント
      • by s02222 (20350) on 2009年12月14日 19時38分 (#1688663)
        存在も行動も動機も悪だ、と断じてしまっても、「じゃあ、はまちやが悪さできないようにセキュリティを高めようぜ」と、結果として世の中がより良くなる影響は認めざるを得ない不思議。この状況は、もっと悪い奴が居るからこそ成立するのか。ウィルスに対するワクチンと似た感じかな?
        親コメント
      • by Anonymous Coward

        > IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべき

        その「べき」が本当に正しいかどうかって話でしょう
        はまちやは愉快犯じゃなくて確信犯だと思いますよ

        私も、連絡したが黙殺に近い対応を取られたこともありますし
        はまちやの様な輩が出てくる土壌の方にも問題があると思いますね

    • by Anonymous Coward

      いつか威力業務妨害で訴えられてもおかしくない。
      不備の宣伝になるから訴えられずに済んでいるが。

  • おいおい (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2009年12月14日 14時50分 (#1688471)

    デスブログとかさ、個人をおもしろおかしく話題にしているようなことを
    ストーリーに混ぜるのって見識を疑ってしまう。

    #リンクを貼ると「slashdotとかいうサイトで何か書かれてた」とか
    #言及されちゃうかもよ

    • Re:おいおい (スコア:1, オフトピック)

      by imaic (31975) on 2009年12月14日 19時45分 (#1688671) 日記

      (#1688471)です。
      idで書かしてもらうが最初「オフトピック」のモデレショーンだった。
      少し悲しかった。/.Jの倫理もその程度かと。

      今は修正モデになっている。
      やっぱりマトモな人もいるんだね。
      少しうれしいよ。

      親コメント
      • by 90 (35300) on 2009年12月14日 21時30分 (#1688729) 日記

        まずモデレーションの是非について扱うために用意された場はストーリのコメント欄じゃないです。メタモデです。
        つぎに/.Jは公平性をうたった責任のあるニュースサイトではないです。どちらかというと虚構新聞です。

        そしてこのトピックはあと5秒で(スコア:-2, オフトピック)に沈められます。

        親コメント
  • CSRF脆弱性があったということは、サイバーエージェントの他の
    Webサービスが他に何かしら致命的な脆弱性をかかえている可能性は高いよなー。

    今までアメブロの方もCSRF脆弱性あったのにやられていなかった
    ということは、そうでないのかもしれないけど。
  • アメーバなうスタッフさんの投稿したなう Amebaなう(アメーバなう) [ameba.jp]なう
    エラーログ貼るなう [srad.jp]

    # 表記"なう"の処理失敗率が脳内で上がってるなう

  • by hisano (31609) on 2009年12月14日 17時45分 (#1688591)
    タレこみにリンクがないようなので。
    ぼくはまちちゃん!(アメーバ) [ameblo.jp]

    トラックバックの反応が泣けます。
    • by Anonymous Coward

      > タレこみにリンクがないようなので。
      下手にリンクしたら何踏まされるかわかったもんじゃないからでは?

  • by Anonymous Coward on 2009年12月14日 14時36分 (#1688466)
    アメーバブログ自身の終了のお知らせマダ?
  • by Anonymous Coward on 2009年12月14日 15時03分 (#1688479)

    俺が損失だしまくっているのも、CSRFのせいか~!(違います

    #サイバーエージェントって、どっかで聞いたことあるな~と思いつつ、申し込みました。
    #じゃついでに、Amebaブログでも始めますかw

  • by Anonymous Coward on 2009年12月14日 15時50分 (#1688513)

    良く知られている攻撃に対する脆弱性が放置されているからって
    それを攻撃してイタズラ行為を行なっていいってもんじゃないと思うんだけど
    こういう非常識な愉快犯を取り締まることってできないのかな
    利用規約をうまく設定すればサービスから排除することはできると思うけど
    それだけじゃこういう行為を抑止するには不十分だよね

    • by Anonymous Coward on 2009年12月14日 15時59分 (#1688521)

      愉快犯を排除したところで、本物の犯罪者は防げませんよ

      親コメント
      • by Anonymous Coward

        > 愉快犯を排除したところで、本物の犯罪者は防げませんよ

        本物の犯罪者なら現行の法律でも取締れると思うんだよね(防止にはならないけど)
        愉快犯ならやりたい放題が許されるって状態をどうにかできないのかな

    • by Anonymous Coward on 2009年12月14日 18時45分 (#1688627)

      高木センセイによると、
      ハマチをちゃんとテリヤキにするのは難しい [takagi-hiromitsu.jp]
      だそうですよ。

      刑法第161条の2の電磁的記録不正作出及び供用罪にあたるんじゃないかとか。
      Amazon.co.jpのCSRFで個人情報をメールで盗み出したのとかはアウトだよね。

      親コメント
      • by Anonymous Coward

        刑法第161条の2が適用できるにせよ
        不正アクセス禁止法で取り締まれないというのは法の欠陥だね
        今回のように面白半分で攻撃するような輩を抑止するには
        法の網の目を細かくして攻撃の試行に対する刑罰を重くする必要があると思うね

    • by Anonymous Coward
      折田先生のことかーーー!!!
    • by Anonymous Coward

      「非常識」とかはどうでもいいな。
      利用規約か法律で十分。NGなら当事者が訴えるなりすりゃ良い。

    • by Anonymous Coward

      出来ますよ。
      ちゃんと当事者が告訴状を出せば警察としては動かざるを得ません。
      ま、被害とコストの板ばさみでしょうか。
      日本では懲罰的損害賠償が認められていないので、実被害額がキッチリと出ない
      物に付いては訴えるところからしてハードルが高めですが。

    • by Anonymous Coward
      そういうアナタに、ogochanさんが的確なアドバイスを
      http://www.nurs.or.jp/~ogochan/essay/archives/2156 [nurs.or.jp]
      • by Anonymous Coward

        「普通に注意しても無視されるから攻撃するのが正当」などというとんでもない思想だね
        「窓が開いてたら部屋を荒らして気付かせてあげる」とかそういう感じ?

        • by Anonymous Coward

          >>「窓が開いてたら部屋を荒らして気付かせてあげる」とかそういう感じ?
          違う。
          脆弱性を放置しておくことは、それを知らない利用者が不利益や被害を被る可能性がある。
          窓が開けていてイタズラされるのが自分の家なら自業自得だが、マンションの管理人がそんな危機意識じゃ困るってことだよ。

          • by Anonymous Coward

            民家荒らすのは犯罪だけどマンションなら正義?
            ありえないですね

            • by Anonymous Coward

              >>正義?
              事実はまちやは被害が出る前にそれを食い止める役割を果たしたわけだから、善悪でいえば善でしょう

              • by Anonymous Coward
                > 事実はまちやは被害が出る前にそれを食い止める役割を果たした

                その被害とはどんな被害ですか?

                その被害は既にハマチヤが出したのでは?
              • by Anonymous Coward on 2009年12月15日 3時56分 (#1688894)
                コレがogochanの言う思考停止か…
                「首相官邸のブログ」を例に上げた上で「公式チャネルからデマを流す」
                とかきっちり書いてあるのが目に入らなかったと見える。

                悪くてもアメーバの関連会社が潰れる程度のジョークで済んだワケでしょ、これは。
                最悪の事態が利用者に無差別に降りかかる事を考えれば、関連会社の責任の範囲内で事が済むってだけで大助かりじゃないか。
                親コメント
        • by Anonymous Coward

          被害を受けるのが間抜けな運営だけならいいけどね
          多くのユーザが被害を受ける事態を避けるために、間抜けな運営をぶん殴るのを悪いとは断言できないなあ

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...