IPA、脆弱性のあるCMSを使用しているサイトに対し閉鎖を含めた対策を呼びかけ 44
ストーリー by hylom
とはいえそうやって簡単に閉鎖できるものでもなさそう 部門より
とはいえそうやって簡単に閉鎖できるものでもなさそう 部門より
IPA(情報処理推進機構)が、安全でないCMSを利用しているWebサイトに対し、脆弱性を付かれて改ざんされたり、ウイルスの拡散に悪用される可能性があるとして注意喚起を行っている。もしアップデートや製品の移行ができない場合はWebページの公開停止を求めるという、強い内容のものとなっている(IPA)。
とくに問題とされているのは「WDP(Web Diary Professional)」および「Movable Type」の古いバージョン。また、それ以外のCMSを使っている場合も古いバージョンであれば脆弱性が含まれる可能性があるので、最新バージョンにアップデートするよう推奨している。
背景には、危険な脆弱性を含む古いバージョンのCMSを利用しているにも関わらず、運営者と連絡が取れない、もしくは連絡しても脆弱性が解消しないWebサイトの存在がある。
Web Diary Professional (スコア:4, 参考になる)
IPAのページで真っ先に挙げられている Web Diary Professional。こいつはひどい。
これの配布ページに行くと、これが保守されていない脆弱性がある事実上放棄されたウェブアプリケーションであることは一言も書いていない。
確かにウェブサイトのドキュメントルートまでさかのぼっていくと
「サイト休止中です」「長い間メンテナンスできていません」「ほかのアプリケーションに移行してください」
とあるけれども。それらのページに対する動線が、上記のページには基本的にない。
「セキュリティの向上について」についても「余力があれば」としか書いておらず、なおかつほかの文章に埋没する形でしか書いていない。
Re: (スコア:0)
作者には保守をする義務や脆弱性を修正する義務なんか無いんですよねぇ
利用にあたってそういう契約になっていないのですから
自力でアップデートや移行ができない、したくない、探せない、
脆弱性とは何かすらわかっていない(漢字が読めない輩すら居る)、
そんな情報を定期的に入手する作業もしたくない、
でもお金はびた一文と払いたくない・・・
そんなわがまま身勝手な人が運営するサイトはとっとと閉鎖が正解
踏み台にされて他人に迷惑を掛けたなら刑事罰に問うてもいいぐらい
脆弱性を指摘 (スコア:2)
すると何故か逆切れされて訴えられてしまう話をよく聞きますね。
>背景には、危険な脆弱性を含む古いバージョンのCMSを利用しているにも関わらず、運営者と連絡が取れない、もしくは連絡しても脆弱性が解消しないWebサイトの存在がある。
脆弱なところっておそらくサイトを構築した人か管理者がそれを知らないからそうなったのであって
それでなくても日々忙しいのに今までだ丈夫だったからそんなのしばらくほおって置いてもいいだろ
ってな感じで対応先延ばしにしてそう。
IPAからの注意喚起でもだめだと実害が出るまできっと対応しないと思う。
園芸管理システムならこんな風か (スコア:4, すばらしい洞察)
園芸の話にしてみました。園芸趣味のA氏と、セキュリティ担当通行人S氏
A:「今年もバラが立派に咲いたなあ」
S:「おやAさん立派なバラですね」
A:「そうでしょう。今年は色もいいんです」
S:「おっとその花壇は園芸管理システムWDPのバージョン4.72ではないか!これは問題ですよ」
A:「何を言うんですか、バラは誰にも迷惑をかけてない。一日に訪問者も1000人は来てる」
S:「古い園芸管理システムは、その花壇を踏み台にして野ネズミが隣の畑に行って荒らすんです」
A:「そりゃネズミが悪い。私のせいじゃない」
S:「今すぐ別の花壇 WDP後継freoに植え替えるか、花壇を閉鎖してもらわなきゃ」
A:「バカな事を。植え替えるだけでも一日仕事だ。」
...以下しばらくもめて、結局警察が乗り出して花壇は閉鎖。
(こんな感じ? サイト運営者に少し同情するけど、
「製品の移行ができない場合はWebページの公開停止を求め」も、やむを得ないかな。)
Re:園芸管理システムならこんな風か (スコア:1)
> A:「そりゃネズミが悪い。私のせいじゃない」
ここがポイントだよなぁ。
そりゃあ悪いのはネズミなんだけど、ネズミに言葉は通じないから、
花壇の管理者にネズミ対策をしてもらわないと困る。
それができるのは、花壇の管理者だけなのだから。
ネズミ男とかネズミ小僧とかにも、きっと言葉は届かないだろう……。
Re: (スコア:0)
例えば空き家とか、鍵が壊れたまま放置しておくと警察から連絡ありそう。
放置しないよう条例とかも出来てるらしい。
放置され踏み台にされてるサーバが増える様だと「防犯」が求められるようになるかもね。
Re:脆弱性を指摘 (スコア:1)
まずはIPAが対象のサイトの一覧を公開することだね。
そうすれば、攻撃者がそのリストを元に攻撃を仕掛ける。
結果、閉鎖へ。
Re: (スコア:0)
同感。
注意しても対応しなかったら強制排除ってできませんかね。IPアドレスの登録を解除しちゃうとか。
強引すぎるかな?
#あと、誰(どこ)がどういう権限で切るかという問題もあるか。
Re:脆弱性を指摘 (スコア:1)
警察関係だと実害が出て被害者から届け出が出ないと動かないだろうし、なんらかの法整備が必要だとしても法曹界はこの分野には及び腰っぽいからもっと動かないだろうなぁ。
脆弱性を放置したサーバー群が全てボット化してしまい大勢の被害者が出てからだと遅すぎるから、
やっぱり今回の注意喚起で脆弱性を直せないならなんとか公開停止させて無害化しておくのが良いですね。
Re: (スコア:0)
変な使われ方されたら嫌だけど。
今回のウイルスの特徴(大阪府警のページより引用) (スコア:2, 参考になる)
>1.PHPで作成されている。
>2.PHPプログラムに(cmdの部分が異なる場合がある。)と記載されている部分がある。
>3.PHPプログラムをブラウザで動作させるとパスワードの入力を求められ、犯罪者だけがウイルスを動作できるように制限されている場合がある。
http://www.police.pref.osaka.jp/15topics/nisesite_teguchi_1.html [osaka.jp]
もっと詳細はないのかな。
Re: (スコア:0)
>2.PHPプログラムに<?php @eval($_POST[’cmd’];?>(cmdの部分が異なる場合がある。)と記載されている部分がある。
消えちゃったので全角にしました。
Debianのwordpress (スコア:1)
意外と、アップデートが遅いので注意、、
壊れてないのでバージョンアップの必要なし (スコア:1)
って思ってるんじゃないの某OSの時みたいに
公開停止って (スコア:0)
どんな権限あれば他人のサイトに公開停止することができるのか
一生懸命頑張ってやっと構築したサイトだっていっぱいあるだろうに。。。
Re:公開停止って (スコア:3, すばらしい洞察)
もちろんウエブサイトは人身事故を起こすものではないけど、加害者側に回る可能性があるという点は似てる。
#他人に害を及ぼす(かもしれない)頑張りなんて本人以外には価値ないと思う。
Re:公開停止って (スコア:1)
そのサイトが被害者から加害者になったときかな。だからIPAは積極的にそのサイトから被害を受けるような施策をすべきか
Re:公開停止って (スコア:1)
一生懸命頑張ってやっと構築したサイトを公開停止されたら、一生懸命頑張ってやっと脆弱性対策してくれるんじゃないすかね。
Re:公開停止って (スコア:1)
>どんな権限あれば他人のサイトに公開停止することができるのか
日本国憲法12条ですかね。
http://ja.wikipedia.org/wiki/%E6%97%A5%E6%9C%AC%E5%9B%BD%E6%86%B2%E6%B... [wikipedia.org]
Re: (スコア:0)
どっちかというと13条の「公共の福祉に反しない限り」の部分じゃないのかなぁ?
http://ja.wikipedia.org/wiki/%E6%97%A5%E6%9C%AC%E5%9B%BD%E6%86%B2%E6%B... [wikipedia.org]
そういうサイトを放置することで他人の財産権を侵害する(=公共の福祉に反する)可能性がある、だから公開停止させる(=自由権を制限)ことができるってことじゃないかね。
むろん、具体的な立法処置が要るんだろうけど。
Re: (スコア:0)
一生懸命な無能者の仕事ですか…
Re: (スコア:0)
ゼークトさん曰く「無能な働き者。これは(略」
Re: (スコア:0)
そのうち法規制されてお墨付きになるかもね。
Re: (スコア:0)
「一生懸命頑張ってやっと」の奴が公開サーバなんて立てるなよ…
Re: (スコア:0)
ヤットさんの悪口はそこまでだ!
Re: (スコア:0)
その手の奴は停止でなく移行についても「頑張ってやっと覚えたのに、今から新しい物に移行したくない」と言って、何も進まないからどうしようもない。
無能な頑張り者はまじ有害。
Re: (スコア:0)
どんな権限あれば他人のサイトに公開停止することができるのか
一生懸命頑張ってやっと構築したサイトだっていっぱいあるだろうに。。。
こういった考え方を正しく脆弱性と言います……
Re: (スコア:0)
巫女SEに連絡すれば停止してくれるのではないか
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に [srad.jp]
Re: (スコア:0)
で?っていう
対応も教えてあげる (スコア:0)
あくまでの自分の経験側ではあるけど
アップデートしてくださいだけだと動かないけど、こういう風にするとセキュリティが向上しますというとやってくれるところもあったりするので
対策しろ、出来なければ閉鎖しろ
というよりはいくつかの策を提示するほうが対応率が上がるような気がしないでもない。
Re:対応も教えてあげる (スコア:1)
親切に説明するフリをしてマルウエアを仕込ませる偽IPAが出現しそうで怖ひ
#考え過ぎ?
Re: (スコア:0)
こういう風にすると、っていう内容がアップデートなんですよね?
いくつかの策といってもアップデート以外ないのでは?
アップデート以外に別途何かサーバーの設定変更等必要であるならわかるけど。
Re: (スコア:0)
更新、以降、閉鎖と3つの策を提示してくれているじゃないですか(ぇ
IPAの業務範囲としては、個々の製品について提示していたらきりがない気もします。
MTは(普通に使っていれば)とりあえず管理画面を閉じればいいんですけどね。
CMS を使わずに (スコア:0)
# 無いのは死角じゃなくて資格かも知れない…
Re:CMS を使わずに (スコア:1)
ちなみに使っているのはJedit XというエディタとJChecker XというHTMLエディット用プラグインの組み合わせです。
元々エディタで書いていたのですが、ホームページビルダーを試しに使ってみて死にそうに汚いコードに絶望し、直書きに戻りました。
# 自分のページの構築はエディタで充分。
Re:CMS を使わずに (スコア:1)
というか、限られたタグしかつかいませんので、 Windows のメモ帳で十分です。
Re: (スコア:0)
ひゃあ。Mac OS 8.5あたりの頃にオレも毎日使ってたなあ(“X”は付いてなかったけど)。
まだあるんですね!
Movable Typeのデータを一括でhtmlに変える方法ないかな? (スコア:0)
一時しのぎにCMS自体を止めることはできる。
Re: (スコア:0)
MovableTypeはよく知らないけど、「スタティックパブリッシング」ってのがそれじゃないの?
Re: (スコア:0)
それです。
あと、「公開キュー」はバッチをcronなりに設定していれば静的ファイルをバックグラウンド生成します。
『今でも』MTは静的生成が基本です。
Re: (スコア:0)
wget でサイトまるごとダウンロードするとかじゃだめですか?
とりあえず、全部静的なファイルになりまっせ。
Re: (スコア:0)
Cgi-binにパーミッション設定してるけどだめかな。
どうせコメントもトラックバックもスパムしかこないし。
そういやIPAはCMSのバージョンをどうやって調べてるんだろ? (スコア:0)
バージョンが分からないようにすれば、すこしだけ被害の確率が下がるじゃん。
Re: (スコア:0)
そうか、バージョンを偽装・・・(げふんげふん