パスワードを忘れた? アカウント作成
9017530 story
セキュリティ

XCOM GLOBALの情報流出事件でrobots.txtが話題に 20

ストーリー by hylom
色々なサイトをチェックしてみよう 部門より
insiderman 曰く、

XCOM GLOBALからクレジットカード情報を含む10万件の個人情報が流出した事件では、SQLインジェクション攻撃によって情報が抜き取られたという話になっているが、これに関連して同社Webサイトのrobots.txtが酷いという話が出ている。

ともちゃ日記が詳しいが、サーバーには「INSTALL.txt」や「LICENSE.txt」などの無駄なファイルが配置されており、しかもご丁寧にrobots.txtでこれらのファイルに対し「Disallow」が指定されている。これらを参照することで使っているCMSやそのバージョンなどの情報がうかがい知れてしまうほか、色々とサーバーの情報がうかがい知れる設定になっているという。これだけでなく、.htaccessの設定についても不適切なものになっているようだ。

robots.txtは多くのWebサイトで設置されていると思うが、CMSが自動的にこのファイルを作成し、その結果余計な情報が公開されてしまうというパターンも割とありそうだ。とりあえず心当たりのある皆様はrobots.txtの内容を再度確認してみよう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • それ以前に (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2013年05月29日 8時22分 (#2390006)

    見られて困るものをウェブサーバー上で見えるようにしておくのがおかしいだろ。

    • by Anonymous Coward

      公開してるけどロボットには収集されたくない物
      → robots.txt

      そもそも公開するつもりがないもの、見られては困る物
      → .htaccess等で見えないように設定する(△)
        document root以外に置く(○)
        消す(◎)

  • by Anonymous Coward on 2013年05月28日 18時46分 (#2389693)

    http://www.xcomglobal.co.jp/info/ [xcomglobal.co.jp]

    この度、当社が運営する「GLOBALDATA(http://www.globaldata.jp/)及びGlobal Cellular(http://www.globalcellular.jp/)」(以下、「本サイト」といいます。)のウェブサーバーに対して、外部からの不正アクセスがあり、クレジットカード会社認定の第三者機関である専門調査会社「Payment Card Forensics株式会社」(以下、「PCF」といいます。)で調査を実施いたしました。

    これ両方Drupalじゃないけど。

    • by Anonymous Coward

      それが今回の流出の原因になったって話じゃ無くて、噂の会社周りをごそごそ探ってみたら他にもボロが出てきたよって話ね。

    • by Anonymous Coward

      globaldata の申し込みフォームにジャンプすると結局 www.xcomglobal.co.jp の Drupal が生成してるっぽいフォームにたどり着くので、別とは言い切れないんじゃないですかね。

      マイページがどうなのかは諸々登録しないとわからないので見てませんが。

      • by Anonymous Coward

        > globaldata の申し込みフォームにジャンプすると結局 www.xcomglobal.co.jp の Drupal が生成してるっぽいフォームにたどり着くので

        どれのこと?
        https://www.xcomglobal.jp/xCloud/jp/ [xcomglobal.jp]

        以下へ飛ぶフォームなら違うね。誰が作ったカートを埋め込んでるのかわからないけど。

        その前に「ともちゃ日記」 http://tomocha.net/diary/?20130527 [tomocha.net] 
        は2006年(7年前)に開発止まってるCGI使ってて、しか

  • by Anonymous Coward on 2013年05月28日 23時54分 (#2389919)

    full disclosure ですね

    #こんな full disclosure いらない。

    • by Anonymous Coward

      何が正に!なのか意味がわからんが
      高木先生やら徳丸先生にチクってWhiteHouseのオバマ大統領とそのセキュリティチームに忠告してあげて。
      日本のセキュリティ意識の高さを見せつけてやろうぜ。
      http://www.whitehouse.gov/robots.txt [whitehouse.gov]

      • by Anonymous Coward

        ディスインフォメーションでわざとそういうの書いておいたら何か利益あるかな?

  • by Anonymous Coward on 2013年05月29日 2時34分 (#2389955)

    > しかもご丁寧にrobots.txtでこれらのファイルに対し「Disallow」が指定されている。

    たしかにこれは「設置者が理解してない」感が濃いけど、

    > サーバーには「INSTALL.txt」や「LICENSE.txt」などの無駄なファイルが配置されており、

    これってそんなに変?
    俺、Wordpress等のCMSをDLして来てそのまま(ローカルで編集せずに)サーバに展開した際は、
    LICENSE.txtは消さずに置いとく事が多いなぁ。と言うか、わざわざ消す気にならない。
    その階層にはCMSの構成ファイル以外置かないし、大してサイズ無いし、

    • by Anonymous Coward on 2013年05月29日 9時30分 (#2390035)

      別にあっても問題無い範囲だし、README.txtがあったって別に困らないでしょうけど
      仮にもpublicなサーバなんだから「無駄なものは絶対置かない」ぐらいの意識がないから
      こういうことが起きるといういい例なんじゃないですかね

      変じゃないし、実害ないだろ、的な「俺わかってるから」みたいなのばかりいると
      こういう痛い目を見るという教訓にしたらどうでしょう?

      親コメント
  • by Anonymous Coward on 2013年05月29日 7時44分 (#2389996)

    A description for this result is not available because of this site's robots.txt – learn more.

    例えばGoogleだとこんなメッセージが表示される
    robots.txtで禁止しても無視されるから、秘密にしておきたいURLが普通に検索結果に表示されてる
    ウェブマスターツールとかを使ってURLを削除依頼しないといけなくなってる

    • by Anonymous Coward

      よく分からないんだけど,上の例って robots.txt を無視しているの?
      (そもそも robots.txt って URL を秘密にしておくためのものではないよね。)

      • by Anonymous Coward

        というかこの件がまさにそうであるように、書かなければバレなかったであろうURLをわざわざ自らバラしているようなもの。

  • by Anonymous Coward on 2013年05月30日 0時03分 (#2390682)

    情報漏えいしたとされているサイト
    http://www.globaldata.jp/ [globaldata.jp]
    http://www.globalcellular.jp/ [globalcellular.jp]

    から飛ばされるカートフォームは【フォームアシスト】を使ってる臭いな。
    EFO|入力フォーム最適化で反響アップ【フォームアシスト】 - 株式会社ショーケース・ティービー
    http://www.showcase-tv.com/formassist/ [showcase-tv.com]

    現在は決済代行会社へのリダイレクト方式に変えたとある。
    不正アクセスによるお客様情報流出に関するお知らせとお詫び
    http://www.xcomglobal.co.jp/info [xcomglobal.co.jp]

  • どうやって漏れたかをエクスコムグローバルは公表しないと。
    PR一本で済ませる規模の被害じゃないんだから、記者会見は必要でしょう。
    攻撃されたことにして被害者として振舞ってるのはおかしい。
    内部の人為的な漏洩かもしれないのに。

    結局CMSもrobots.txtも漏洩に関係ないようだ。
    これみても
    「ログ調査の結果、同社が運営する「GLOBALDATA」と「Global Cellular」のWebサーバに対して外部から
    SQLインジェクション攻撃があり、サーバに保存されていた顧客情報が流出した証跡が発見された。」
    とある。
    CMSの本社サイトもすべてIPが別だな。

    サーバに保持のセキュリティコードなども流出:エクスコムグローバル、SQLインジェクションで約11万件のクレカ情報流出 - @IT
    http://www.atmarkit.co.jp/ait/articles/1305/27/news126.html [atmarkit.co.jp]

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...