著名サイトでも信用できない ネットサービス 利用には注意と覚悟が必要! | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

著名サイトでも信用できない ネットサービス 利用には注意と覚悟が必要!

製品・サービス・業界動向 業界動向

 またまたというべきなのか、もはやここまで連続して、問題が発生すると言葉がでてこない。


>> もはや安全なサイトはない 全てのサイトが潜在的な危険をもっている

 マイクロソフト社の EC サイトでデータベースが誰でも自由に操作できるようになっていたというのである。もちろん(?)、このデータベースには個人顧客の情報も含まれている。

 先だって、多数の国内 web サイトでの個人情報流出の事件をとりあげたばかりである。こういう表現をすると失礼だが、この事件で問題になったサイトはあまり著名ではないところだったので、無条件に誰でも安心して使うようなことはなさそうであった。

多数の iモード EC 構築用CGI で個人情報が多数流出の危険
(2002.1.7)
https://www.netsecurity.ne.jp/article/1/3688.html

 今回は、マイクロソフト社からの情報流出の危険性である。これでは、どんなに著名なサイトでも信用することはできないということになってしまう。


>> 銀行も安心できない

 すでに報じたように大多数の人が安全と考える銀行も必ずしも安全とは限らない。過渡的な問題だと思うが、さまざまな問題が発生している。

預金者の口座を許諾なしに危険にさらす「残高照会サービス」
(2001.12.27)
https://www.netsecurity.ne.jp/article/1/3641.html
アイワイバンクのログオン画面に通信が暗号化されない不具合
(2001.12.27)
https://www.netsecurity.ne.jp/article/1/3642.html
ジャパンネットバンク銀行で web にアクセスしにくくなる障害が発生
(2002.1.4)
https://www.netsecurity.ne.jp/article/1/3680.html


>> ボルチモア社でもあったデータベース外部操作の事件
>> 認証サービス会社も安全ではないのは、戸籍を扱う役所が安全でないのと同じ

 電子政府、電子認証という今後のネット社会の基礎となるべき認証サービス提供会社であるボルチモア社でもデータベースが外部から操作可能あった問題が露呈している。このデータベースには、幸い個人情報が含まれていなかった。
 しかし、1箇所でも弱い個所があればそこをきっかけとして、さまざまな攻撃が行われる可能性も少なくない。この直前に、同社のweb サイトが2度連続して、改竄されるという事件もおきており、社会基盤となるはずの認証サービス会社のセキュリティ管理体制の脆弱さを露呈している。これではとても安心してサービス受けることはできない。

電子署名法に対するボルチモアの取組み
http://www.baltimore.co.jp/solutions/digital_signeture.html

ボルチモア社の web サイトで使われているデータベースが外部で操作可能になっていた問題に関しての情報交換 セキュリティホールmemoML
http://memo.st.ryukoku.ac.jp/archive/200110.month/1596.html
http://memo.st.ryukoku.ac.jp/archive/200110.month/1594.html
http://memo.st.ryukoku.ac.jp/archive/200110.month/1588.html
http://memo.st.ryukoku.ac.jp/archive/200110.month/1590.html

蛇足
http://memo.st.ryukoku.ac.jp/archive/200110.month/1595.html

 編集部では、この問題は改竄事件発生とほぼ同時に把握しており、その時点で報告と注意喚起を同社に対して行いました。報告と注意喚起は、12時間の間にメールと電話で数回行われました。その結果、この手のインシデントとしてはかなり長時間経過後、修正されたという次第です。一連の報告と注意喚起は、すべて無償で行われました。編集部は、 IPA さんや JPCERT さんのように、官公庁から資金提供を受けているわけではないので、報告と注意喚起を行った後でとっとと記事にすべきだったと、さんざん担当者は絞られました。

 もはやどこも安全ではない以上、安全なサイトか判断して使おうということはいえない。
 どのようなサイトであっても潜在的に、個人情報流出を含む危険性をはらんでいるといえる。
 リアルの世界でも、大手キャリア職員や地方公務員、あるいは警察から個人情報が流出してしまうことはある。その意味では、ネットだからより流出の危険性が高まるというわけではないかも知れない。


>> 問題が発見された翌日には、数万人に個人情報がさらされる危険性

 しかし、ネット特有の問題として、流出の範囲が広くと速度が早いことがあげられる。
 例えば、i モード EC サイトの個人情報が盗めることが可能であるとその方法は、数多くの人々が利用する掲示板に掲載されてしまっていた。この情報を見た人間は、数万人は存在する。
 マイクロソフト社の EC サイトの問題が投稿されたメーリングリストは、1万人以上の参加者がいた。
 これらの情報を目にした人々は、誰でもその情報をもとに個人情報を盗み出すことが可能な状態であった。しかもこの状態になるのに、1日も要していない。

 リアルの世界での個人情報流出と決定的に違うのは、この広がりと速度である。リアルの世界で個人情報が流出しても、それが数万人に閲覧される可能性はほとんどない。しかし、インターネットでは、数万人に閲覧可能な状態されることは、珍しいことではないのである。


[ Prisoner Langley ]

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×