パスワードを忘れた? アカウント作成
9994223 story
セキュリティ

XSSを報告したためにインターネット接続を止められるという事案発生 170

ストーリー by hylom
さてどうなるか 部門より

XSS問題などのセキュリティ関連を多く発見・通報していたことで一部ではよく知られるMasato Kinugawa氏が、とあるサイトでのXSS発見と報告が原因でインターネット接続を止められていたそうだ(氏のブログ)。

報告先サイトからISPに対し「不正アクセスを行った」と通報がされたそうで、ISP側には「こういった行為をしないという誓約書を書かなければいけない」という事態になったそうだ。サービス提供者に事情を説明するも、「セキュリティ上の理由でこたえられないが、一般論として不正なアクセスがあれば報告する」ということで通報を撤回するつもりはないという。氏はこの件について、

かつて利用者であった僕の情報を何らかの形でまだ持っているのなら、セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。

と、サービス提供者側に苦言を呈している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年09月12日 8時33分 (#2458703)

    The "0x0A List" – Application Security – Google
    http://www.google.com/about/appsecurity/hall-of-fame/ [google.com]
    2位の方のようです。

    • 0x0A Listに載るってのはすごいことです.
      ただそのListに載っている Masato Kinugawa さんと
      今回インターネット接続を止められた Masato Kinugawaさんが同一人物である保証がありません.

      別スレッドでも議論されていますが
      不正アクセスとそうでないアクセス,クラッカーとハッカーの線引きは
      現状ではすごく難しいです.

      こういう現状を考えると,Securityの専門家もそろそろ医者のような国家資格にすべきだと思います.
      国が免許証を発行できれば,それで Masato Kinugawaさんの身分と能力が保証できますし,
      不正アクセスの線引きもかなり明確になると思います.

      親コメント
  • Twitterだと (スコア:5, 参考になる)

    by usay (8) on 2013年09月12日 9時35分 (#2458740) 日記

    Twitterだと、どうぞ試してください、どうぞ報告してください、
    報告してくれた人には敬意を表しますって感じなのにね。
    Googleも脆弱性報告者には何千ドルっていう報奨金制度あるし。

    Twitter でのセキュリティ [twitter.com]
    この人毎年名前のってるね。

    --
    May the source be with you... always.
  • by Anonymous Coward on 2013年09月12日 8時22分 (#2458695)

    改竄されたサイトが最近は非常に多いですよね。

    VPSやらホスティングやらで、Linuxサーバを使うところが増える一方、その運用の能力が無いんですね。

    愉快犯がメッセージを残していく改竄だけなら部外者は知らんふりもできるんですが、マルウェアダウンロード先への誘導が仕掛けられることがほとんどなので放置もできません。
    そのため、発見した被害サイトにはいちいち通報しているのですが、これからは要注意ですね。
    脆弱性スキャンをしてみつけるのと、実際に不正スクリプトを踏まされて見つけるのとでは別物ですけど、場合によっては善意の報告者への恩を仇で返すことをされるかもしれません。

    改竄サイトや脆弱性を抱えたサイトの情報を集約する機関を、警察庁か総務省あたりで整備する必要があるんじゃないでしょうか。
    通報しても全然直さないサイトも少なくなく、強制的にサイトを一時閉鎖させる権限もあればなお良いのですが。

    • by Anonymous Coward on 2013年09月12日 9時20分 (#2458734)

      ACCS事件から何も学んでいないんですね。
      あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
      しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。

      犯罪の動機として自己顕示欲というのはよくあるものなので、一般的的な感覚からするとそのような行動は非常に怪しまれるわけです。
      自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。
      「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。

      悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。

      親コメント
      • by Anonymous Coward on 2013年09月12日 10時09分 (#2458755)

        GoogleやTwitterへの報告については自己顕示的な部分があるかとは思うけれど、それはさておき。

        問題を最初にセキュリティカンファレンスで公開したoffice氏の経緯 [geocities.jp]と、
        内密にサービス提供者へ情報を提供し、恐らくプロバイダの件がなければ特に表沙汰になることはなかっただろう今回の経緯は、
        「技術的な顕示欲」という点で同一視ができるとは到底思えないのだが。

        発見した問題を内密に報告するというのは単純に善行だと思うのだけれど、
        その行為に対して「インターネット接続環境の停止」という形で返事があったことに対して企業名を出すのは、
        懲罰的・報復的ではあるとは思うが、自己顕示的と言えるかどうか。

        > 悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
        この一文だけはとても同意するけれど。

        親コメント
      • > ACCS事件から何も学んでいないんですね。
        > あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
        > しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。

        その自己顕示欲とは、欠陥を突いて入手した情報を第三者に見せびらかした行為のこと。もちろん、感情だけで犯罪を構成することはない。
        実際に有罪とされた行為は、CGIの欠陥を突くことで、ftpサーバに対するログインを回避して情報を入手した行為。

        今回はログインを回避して情報を取得したわけではなく、当事者に報告しただけ。それなのに対応が酷いから「ベネッセさん」と書いて批判した。

        当事者(サービス提供者)に欠陥を報告する行為がすべて犯罪になるのでは、多くの善意が期待できなくなり、刑法を根本から変えてしまう。
        (お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)

        親コメント
      • 技術的な顕示欲、いいことではありませんか。何が悪いんでしょうか?
        検察が動機の説明に「顕示欲から」と書くのには問題はないと思いますが、
        別にその「顕示欲」自体が罪になったわけではないでしょう。
        ACCSの裁判での用法は、行った内容(不正アクセス)に対する量刑を補強するファクターでしかありません。

        「独善性」(他人の不利益をかえりみず)という言葉を考えてみてください。
        例えば食物を摂取することには他人の介入する余地はありませんから、
        「独善」で普通に飯を食っても罪には問われません。
        一方「独善」で「強盗」を働くと、情状酌量の余地がある場合と比べて重い量刑になるでしょう。
        でも、それだけです。「独善」自体は罪じゃありません。同様に自己顕示欲も罪ではありません。
        あえて言うなら、自己顕示欲は、+-には関わらず、善悪の程度を増減するファクターになるという程度です。

        一方今回の内容は個人主義への無理解+主観と客観の混同にすぎません。
        人がどんな欲を持とうが、それこそ個人の自由です。
        今回の事件でもし「自己顕示欲」が今回の対応の原因になったのなら、
        「自己顕示欲は悪」という会社側の勝手な価値観が判断をバイアスさせたのでしょう。
        プロバイダが裁判官の真似事をしようとしても、法律を勉強していないのだから間違いを犯すのは当然です。

        だから、
        > 我々の間で共有している論理が誰にでも通用するわけではない
        というふうに控えめに対応する必要は全くない。
        その論理はスラドのようなコミュニティだけに通用するものではなく、きちんとした社会では通用して当然の論理です。
        なにせ、一般に存在している
        > 犯罪の動機として自己顕示欲というのはよくあるものなので、一般的な感覚からするとそのような行動は非常に怪しまれる
        という感覚は、「犯罪者の100%は水を飲んでいる。だから水を飲んでいると怪しまれる」ぐらいの誤謬なわけです。
        コストは掛かりますが、裁判すれば勝てます。(コストに見合うかという点はさておき)

        社会はより良い方向に向かっていますが、まだ野蛮人が残っていたというだけです。

        # 正義が勝つにはスゴイ時間がかかりますが、いつかは勝つはずという楽観的な思想。

        --
        新人。プログラマレベルをポケモンで言うと、コラッタぐらい
        親コメント
      • by Anonymous Coward

        > ACCS事件から何も学んでいないんですね。
        > あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
        > しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。

        ACCS事件は、技術的な顕示欲と言われてもしょうがないでしょう。
        そういう発表の場でやって見せたんですから。

        善意で、被害者や、問題を抱える人にアドバイスを贈ることが逆手に加害者であると判断されることは間違いであるというのとはだいぶ違います。

        >自分のことを「善意の報告者」だと思っていても、

    • by Anonymous Coward

      えーっと...
      権限付きの天下り先?

  • by Anonymous Coward on 2013年09月12日 9時04分 (#2458726)

    こういうアホな企業に直接関わるリスクを避けるためにもJPCERT CC [jpcert.or.jp]を活用しましょう。

  • by Anonymous Coward on 2013年09月12日 9時28分 (#2458737)

    こういう素晴らしい対応をするISP、ぜひ利用したいのでどこなのか教えてください!!

  • 確認してみた (スコア:1, 参考になる)

    by Anonymous Coward on 2013年09月12日 10時34分 (#2458770)

    記事の内容だけでは対応がタコすぎるので調べてみた。

    ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
    この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
    直してるから待って、というのは聞いてくれなかったようです。

    遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
    つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。

    ♯絶対AC

    • Re:確認してみた (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2013年09月12日 10時49分 (#2458777)

      調べたんならソースも貼ってくださいよ。
      通報後もひたすら攻撃し続けたって本当ですか?

      親コメント
    • by akiraani (24305) on 2013年09月12日 22時26分 (#2459266) 日記

      明確におかしい点が二つ。

      まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。
      なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。
      つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。

      第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要はありません。具体的な動作を一切行わない中身が空っぽのスクリプトを投稿して、スクリプトタグが無効化されているかどうかを確認するだけで事足りるから。
      というか、確認のために何らかの攻撃を行うスクリプトを埋め込んでしまうと、確認時に自分が攻撃を受けてしまいます。なので、なにかしたとしても、せいぜいポップアップを出す程度の無害なもの以外にあり得ません。

      ここまで理解していれば、↓が明らかな嘘であることはわかりますよね?

      ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。

      親コメント
    • by Anonymous Coward on 2013年09月12日 11時59分 (#2458834)

      意味が分からん。
      XSSの攻撃シナリオでは、XSSの細工をされたURLへアクセスをするのは、
      「攻撃者」じゃなくて「被害者」でしょ?
      その理屈からなんで、「被害者」をブロックする対策を行ったの?

      っていうかXSSのアクセスが大量にあったって、それは既に
      XSSを使った攻撃シナリオに組み込まれていて、細工したURLが
      掲示版とかに貼られているからだったりしないの?
      「既に攻撃者にサーバを利用されている状態」だったりしないの?

      XSSのURLへアクセスしてきたIPアドレスが全て同一で、
      それがこの人のIPアドレスだった、ということなんだろうか?

      # ソースも何もなく「中の人に聞いた」って書き込みを真に受けても仕方ないけど
      # 反論があるなら、そのうちベネッセのサイトに掲載されるかもね

      親コメント
  • by Anonymous Coward on 2013年09月12日 12時51分 (#2458883)

    ■ベネッセしまじろう問題
    当時のひろゆき氏のメルマガ1 [sakura.ne.jp]、その2 [sakura.ne.jp]
    >おはようございます。ひろゆきです。
    >「ベネッセしまじろう問題」です。

    >kiwiさんというかたが、ベネッセの了承のもとで「しまじろう」という
    >キャラクターのホームページを作っていました。
    >ところが、ある日、ベネッセに呼び出されていわれたことが、
    >・違法な行為をした事を認める謝罪文
    >・ホームページのディレクトリ(ユーザーアカウント)そのものの廃止の約束
    >kiwiさんはホームページとメールのアカウントまで取り上げられそうに
    >なってしまいました。 ベネッセの了承の元につくっていたのに、
    >違法な行為として謝罪文とアカウント停止を要求され、kiwiさんは
    >弁護士に相談しました。
    >その経緯をみたユーザーがベネッセの「パパママ掲示板」に問い合わせを
    >したところ、掲示板の管理者から「事実無根」でkiwiさんが
    >違法な行為をしたというレスが来ました。そこで、kiwiさん本人の
    >書き込みもあり一触即発の雰囲気のなかベネッセが取った行為は「掲示板の休止」
    >そして、6/7昨日からパパママ掲示板はオープンしました。
    >そして、「7年生ママさん」という名前で
    >「しまじろうの件はどうなったんでしょうか?」
    >という書き込みがありましたが、6/8の昼頃に削除されました。
    >「子供の教育のこともあり、どうなったのかだけでもおしえてください。」
    >という低姿勢なかきこみだったのですが、
    >「潰したに決ってるでしょ?いちいち質問すんなよ。うざいから。」
    >といったレスなどがついて消滅です。

    >ベネッセからホームページを削除するように圧力を
    >うけたKiWiさんが某新聞社の取材をうけたそうで、記事になるそうです。
    >ベネッセ側も臨戦態勢に入ってるようで、前までは掲示板の管理は9時~5時だったのですが、
    >現在は休日も徹底管理しています。
    >しまじろうの問題はどうなったの?と軽くでも聞こうものなら速攻削除です。
    >東芝の問題ほど大きくなるかはわかりませんが、
    >新聞社が動いたというのはちょっと面白い方向へ流れていくきっかけになるかもしれませんね。

    内部からの暴露 [ocn.ne.jp]
    >私の場合は承諾の上だったという事はヌキにしても、強引な弾圧だったわけですから、
    >担当者は会議の趣旨を理解していなかったのでしょうね。
    >もし、本当に穏便に説得されたら、私は素直に従ったでしょう。当時、ベネッセに敵対意識は ありませんでしたから。
    >こんな事を言ったら、相手がどんな気持ちになるのか考えなかったのでしょうか。
    >こういった人の気持ちを考えない自己中心的な思想がベネッセの正体なのでしょう。

    >事件の少し後、社内の食堂で、お偉方(セクションリーダー)が別の人に私の悪口を言ってたそうです。
    >(※1)まず、ここに書きこみしてる人は前前からベネッセが ブラックリストに載せていた人である。
    >(※2)この前のこちゃれ会員ONLYのしまじろうのイベントにも 招待していないのにきた。
    >    そこで、こちゃれだかの社員の人と口論となり、かなりの時間が それで奪われ、その間イベントもできなかった。
    >    なんとか、会場から連れ出そうとしたのだが、それもできず その現場は、イベント招待者約300人が目撃してしまっている。
    >(※3)この人の主張は、全くの誤りであり、いままでもその主張 を見とめてきた覚えはない。
    >(※4)社長にこの話をしたところ 激怒され、「裁判をおこしても良い。」といっている。
    >    これからGWに入ったら、掲示板の管理ができないから、 このページに入れないようにGW期間中は閉鎖する。

    >※1 ベネッセには、ブラックリストがあるそうです。 どんな基準で載るんでしょうか?
    >   私は普通の「客」でしたし、少なくとも当時まではベネッセに 何の迷惑も掛けた覚えはありません。
    >※2 これは絶対に私じゃありません。招待されてないのに行った 覚えはないし、トラブルなど起こした事もありません。
    >   おそらく、 別の人でしょう。迷惑な人は、全部私って事にしているのでしょうか?
    >※3 いいえ、その事は法務も認めてます。だから、白紙にしろと言ってきたのでしょ。
    >   それに、こちらにはその事でベネッセの人とやり取りした手紙がありますよ。
    >※4 じゃ、何故起こさないの? それに、ベネッセの主張が正しいなら、 裁判起こすまでもなく、私を黙らせる方法はいくらでもあるでしょう。

    >この様に、上の立場の人がよく調べもせず、いいかげんな解釈で 物事を見るから、こんな事になったのです。

    ブラック企業大賞 [blogspot.jp]
    >3.株式会社ベネッセコーポレーション
    >2009年、人事を担当する人財部のなかに「人財部付」という部署が新設された。
    >ここに配属された女性社員は、「あなたたちには問題があります。
    >受け入れ先を獲得する活動をしなさい」と上司から指示された。電話に出ないように指示され、名刺も持たされなかった。
    >社内ネットにもアクセスさせなかった。自分を受け入れてくれる部署をさがす「社内就職活動」をしながら単純作業を
    >するように命じられていた。また、他部署をまわって雑用をもらってくることも命じられた。
    >仕事の大半は、段ボール箱の片づけや懐中電灯へのテプラ貼りなどの単純作業だった。
    >「再教育」は名ばかりで、単純作業をやらせることによって、社内には仕事がなく、退職以外には方法がないと思い込ませる場
    >として設置されていた。
    >ベネッセ側は、「『人財部付』は従業員の配属先を決めるまでの一時的な配属先。退職を勧めるための場ではない」と主張していた。
    >2012年8月、東京地裁立川支部判決(中山典子裁判官)は、
    >人財部付が「実質的な退職勧奨の場となっていた疑いが強く、違法な制度」と判断し、
    >この部署への異動も「人事権の裁量の範囲を逸脱したもの」として「無効」を言い渡している。

    ベネッセが全面敗訴 “リストラ被差別部署”での社内就活&退職勧奨は「人事権の裁量範囲を逸脱」 [mynewsjapan.com]
    >子供の教育を事業の柱に据え、「Benesse=よく生きる」を理念に掲げる会社が、
    >“被差別部署”を作って裁判所に違法認定されたことが分かった。
    >ベネッセコーポレーションの社員B氏(女性、50代前半)は09年春、人財部付という
    >リストラ部署に異動となり、社内就活を命じられた。翌年には降格し年収200万円ダウンとなり、
    >「業務支援センター」という、人財部内の新設部署へ。
    >そこは懇親会や送別会などにも一切呼ばれず、「人財部担当一覧」という表にも氏名が記載されない被差別部署で、
    >社内の各部署を「どさ回り」して雑務を引き受けるよう命じられた。
    >B氏は2010年12月、この部署への異動命令取り消しと年収ダウン分の支払いを求め東京地裁に提訴、
    >12年6月の一審判決で全面勝訴した後、和解した。
    >「人事権の裁量の範囲を逸脱」と断じられた違法リストラ事件を詳報する。

  • 氏のブログで、

    >そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。

    と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...