スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを

特集 特集

 スクリプトおよびクッキーの安易な利用が、危険であることは、これまでの記事でおわかりいただけたと思う。
 では、実際、どれくらいスクリプトと強要する共犯者ともいうべき危険なサイトは存在してるのだろうか?

 統計的なデータは、手元にはないが、ざっと著名サイトのトップページをながめただけでも、ほとんどのサイトでスクリプトが使われている。
 さらに、その中で、スクリプトをオンにしないと、利用できないメニューや機能があるサイトは、90%以上である。

 従来から注意深いネット利用者は「スクリプトは危険、オフで web を見るべき」としてきたし、今回のクッキー脆弱性ではマイクロソフト社自身がスクリプトをオフにすることを推奨している。このような状況にも関わらず、スクリプトをオンにしないと利用できないサイトを提供しつづけているのは「無知で無自覚なweb」といういわれてもしかたがないであろう。

 スクリプト強要サイトの中には、過去にスクリプトを危険な埋め込まれて利用者に被害を与えたサイトや改竄されたサイトもある。
 そうしたこりないサイトの代表的な例は、下記の通りである。

・msn http://www.msn.co.jp/
 java script をオフにしてアクセスすると、オンにするように促す表示がでる。
 しかし、今回のcookie の脆弱性への対処として、スクリプトをオフにすることを推奨しているのは、マイクロソフト社自身である。
 単に部門間の連携がとれておらず、対応が遅れていることだと思われるが、利用者はとまどう。

msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる
(2001.9.19)
https://www.netsecurity.ne.jp/article/9/2842.html

・ソニーグループ
 ソニースタイル http://www.jp.sonystyle.com/home.html
 Sony Electronics Inc http://www.foundry.sony.com/
 ソニースタイル自身は、改竄などの事件はおきていないが、同じグループの決済会社などグループ内での事件は少なくない。
 Sony Electronics Inc は、3回改竄事件を起こしたことがある会社である。

ソニーグループの金融会社=ソニーファイナンスインターナショナルの
WEBが改竄される(2001.4.9)
https://www.netsecurity.ne.jp/article/9/1936.html
ソニー銀行のデータベースに障害 カード使用不能などの影響
(2001.9.28)
https://www.netsecurity.ne.jp/article/1/2924.html
米ソニー今年3度目の改竄 国内web改竄状況(2001.6.23)
https://www.netsecurity.ne.jp/article/9/2335.html
ソニーグループ会社など改竄される(2001.3.28)
https://www.netsecurity.ne.jp/article/9/1853.html
ソニーグループ会社、日立グループ会社、東レグループ会社、JA
(全国農業協同組合連合会)グループ会社など改竄相次ぐ(2001.2.5)
https://www.netsecurity.ne.jp/article/1/1580.html

・プライスロト http://www.priceloto.com/
 見ただけでパソコンを起動不能にするスクリプトをページに仕込まれて、多数の被害者を出したサイトとして著名。
 いまだに、java script をオンしていないとログインできないなどスクリプト依存度が高い。被害を出した経験は、まったく生かされていない。
 スクリプトに依存したページを多用しているため、スクリプトをオフにした状態で、asp に与えるパラメータを変えるとさまざまな情報を漏洩するエラーがでる。

「FUCK japanese」感染源のひとつプライスロトが経緯掲載 原因は不明
(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2665.html
「プライスロト FUCK japanese」事件にみる事後対処の問題点
(2001.8.23)
https://www.netsecurity.ne.jp/article/1/2672.html

・オリコ http://www.orico.co.jp/
 個人情報を預かるサービスを行うサイトでありながら、Nimda 増殖初期に感染し、2次被害をもたらしたサイトとして著名である。

msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる
(2001.9.19)
https://www.netsecurity.ne.jp/article/9/2842.html


[ Prisoner Langley ]

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×