スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを

製品・サービス・業界動向 業界動向

 スクリプトおよびクッキーの安易な利用が、危険であることは、これまでの記事でおわかりいただけたと思う。
 では、実際、どれくらいスクリプトと強要する共犯者ともいうべき危険なサイトは存在してるのだろうか?

 統計的なデータは、手元にはないが、ざっと著名サイトのトップページをながめただけでも、ほとんどのサイトでスクリプトが使われている。
 さらに、その中で、スクリプトをオンにしないと、利用できないメニューや機能があるサイトは、90%以上である。

 従来から注意深いネット利用者は「スクリプトは危険、オフで web を見るべき」としてきたし、今回のクッキー脆弱性ではマイクロソフト社自身がスクリプトをオフにすることを推奨している。このような状況にも関わらず、スクリプトをオンにしないと利用できないサイトを提供しつづけているのは「無知で無自覚なweb」といういわれてもしかたがないであろう。

 スクリプト強要サイトの中には、過去にスクリプトを危険な埋め込まれて利用者に被害を与えたサイトや改竄されたサイトもある。
 そうしたこりないサイトの代表的な例は、下記の通りである。

・msn http://www.msn.co.jp/
 java script をオフにしてアクセスすると、オンにするように促す表示がでる。
 しかし、今回のcookie の脆弱性への対処として、スクリプトをオフにすることを推奨しているのは、マイクロソフト社自身である。
 単に部門間の連携がとれておらず、対応が遅れていることだと思われるが、利用者はとまどう。

msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる
(2001.9.19)
https://www.netsecurity.ne.jp/article/9/2842.html

・ソニーグループ
 ソニースタイル http://www.jp.sonystyle.com/home.html
 Sony Electronics Inc http://www.foundry.sony.com/
 ソニースタイル自身は、改竄などの事件はおきていないが、同じグループの決済会社などグループ内での事件は少なくない。
 Sony Electronics Inc は、3回改竄事件を起こしたことがある会社である。

ソニーグループの金融会社=ソニーファイナンスインターナショナルの
WEBが改竄される(2001.4.9)
https://www.netsecurity.ne.jp/article/9/1936.html
ソニー銀行のデータベースに障害 カード使用不能などの影響
(2001.9.28)
https://www.netsecurity.ne.jp/article/1/2924.html
米ソニー今年3度目の改竄 国内web改竄状況(2001.6.23)
https://www.netsecurity.ne.jp/article/9/2335.html
ソニーグループ会社など改竄される(2001.3.28)
https://www.netsecurity.ne.jp/article/9/1853.html
ソニーグループ会社、日立グループ会社、東レグループ会社、JA
(全国農業協同組合連合会)グループ会社など改竄相次ぐ(2001.2.5)
https://www.netsecurity.ne.jp/article/1/1580.html

・プライスロト http://www.priceloto.com/
 見ただけでパソコンを起動不能にするスクリプトをページに仕込まれて、多数の被害者を出したサイトとして著名。
 いまだに、java script をオンしていないとログインできないなどスクリプト依存度が高い。被害を出した経験は、まったく生かされていない。
 スクリプトに依存したページを多用しているため、スクリプトをオフにした状態で、asp に与えるパラメータを変えるとさまざまな情報を漏洩するエラーがでる。

「FUCK japanese」感染源のひとつプライスロトが経緯掲載 原因は不明
(2001.8.22)
https://www.netsecurity.ne.jp/article/8/2665.html
「プライスロト FUCK japanese」事件にみる事後対処の問題点
(2001.8.23)
https://www.netsecurity.ne.jp/article/1/2672.html

・オリコ http://www.orico.co.jp/
 個人情報を預かるサービスを行うサイトでありながら、Nimda 増殖初期に感染し、2次被害をもたらしたサイトとして著名である。

msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる
(2001.9.19)
https://www.netsecurity.ne.jp/article/9/2842.html


[ Prisoner Langley ]

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  6. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  10. マルウェア侵入の検知を高精度化するAI技術を開発、侵入前後の違いを検知(富士通研究所)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×