【誰も助けることができないこと】(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.06.27(火)

【誰も助けることができないこと】(執筆:office)

特集 特集

 先日ネットバンキングなどにSolutionを提供している大手会社の開発者とお話しする機会が偶然あった。興味から彼の仕事を色々詮索したが、彼がプロであることを感じさせられつつも、具体的なことは結局ほとんど知ることができなかった。ただし、一つだけ私が驚ろく場面があった。Bugtraq ml(※1)などからセキュリティ情報を収集しているかという私の問いに対して、Bugtraq mlには入ってないといった返事ではなく、Bugtraqとは何ですかと逆に質問されてしまったことだ。

 一応注釈しておくとBugtraqとはコンピュータセキュリティに関する脆弱性についての詳細な議論とアナウンスを目的として1993年11月5日より続くメーリングリストでる。27,000人越えるメンバーが参加しており、完全情報公開を旨として世界で最も豊富で多彩な情報を誇っている(※2)。

 さて、その技術者の話では彼はインターネットで公開されているところからセキュリティ情報を集めることをほとんどしてないということだ。私はその話をきいていて、少々不安に感じることがある。

1.[apacheの認証]

 今年の4月にこんな小さな騒ぎがあった。高セキュリティな掲示板開発などで知られる姫野ひみこ氏(※3)がネットワークツール開発中にApache/1.2.5のhttpd認証が奇妙な挙動を示すことに気づいた。REQUESTメソッドに
abc /bbs.cgi HTTP/1.0
というような無意味な文字列をセットしておくと、認証をパスしてしまうという。ひみこ氏とともにTeam Cr[y]ackerzのメンバーやその知人達がそれよりも新しいバージョンのapacheサーバをいくつか立て、同様の挙動を確認した。また、この認証を通り抜けてしまうのを防ぐための手法も同時に報告された。
 これはいよいよbugtraqに報告しなければいけないだろうかという雰囲気になった時、一人から次のような指摘があった。.htaccess ファイルを作るときに

AuthType Basic
AuthUserFile /home/hoge/.htpasswd
AuthGroupFile /dev/null
<Limit GET POST>
require valid-user
</Limit>

 と書いてはいないかと。上記のようにするとベーシック認証の対象となるのはGET と POST だけになり、abc などという METHOD は対象外になってしまい、認証を通ってしまう。 GET と POST 以外全てのものをベーシック認証の対象にしたければ を書かずに、
AuthType Basic
AuthUserFile /home/hoge/.htpasswd
AuthGroupFile /dev/null
require valid-user

と書かねばならない。

office
academic office
http://www.office.ac/


(※1) Bugtraq ml:
http://www.securityfocus.com/about/feedback/subscribe-bugtraq.html
(※2) BUGTRAQ-JP FAQ
http://www.securityfocus.com/forums/bugtraq-jp/faq.html#0.2.1
(※3) 姫野ひみこ:
Team Cr[y]ackerzの一員。共著としてWindowsのハッキングマニュアル2000
(データハウス)などがある。
http://www.backsection.net/whm/

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. サイバーセキュリティ経営ガイドラインがあと一歩「惜しい」理由

    サイバーセキュリティ経営ガイドラインがあと一歩「惜しい」理由

  2. ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」

    ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」

  3. ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

    ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

  4. 七瀬 晶 作 「自動走行車の行方」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー

  5. [数字でわかるサイバーセキュリティ]情報漏洩が企業の大きな懸案事項に、約1万5千人分の個人情報を従業員が持ち出し

  6. [セキュリティ ホットトピック] ランサムウェア「WannaCry」被害概況

  7. 一田 和樹 作 「さよならアカウント」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  10. ISMS認証とは何か■第1回■

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×