利用者を危険に陥れる「管理者ごっこ」「web 制作者ごっこ」 R-MS サイトの脅威 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.19(日)

利用者を危険に陥れる「管理者ごっこ」「web 制作者ごっこ」 R-MS サイトの脅威

製品・サービス・業界動向 業界動向

>> 想像を越えた危険性だった R-MS サイト

 本誌では、これまで幾度となく、利用者に危険なスクリプトとクッキーを強制するサイト(R-MS サイト)の危険性について、警鐘をならし続けてきた。あえて過激な表現にしていたのは、他にスクリプトとクッキーの危険性について、警告を発する媒体が少なく、過剰にでも警告を出さなければ一般利用者や企業の web 担当や制作者に認知してもらえないという意識があったためである。

信頼できないネットの信頼マーク と R-MS サイトの正しい FAQ
(2001.12.1)
https://www.netsecurity.ne.jp/article/1/3436.html

企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)
https://www.netsecurity.ne.jp/article/1/3273.html

利用者を危険に誘導する R-MSX サイトだったオンライントラストマーク
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3935.html

 しかし、その後、クロスサイトスクリプティング脆弱性やインターネットエクスプローラ脆弱性の発見が相次ぎ、利用者の安全を守るべき「オンライントラストマーク」までもが利用者を危険に陥れる危険な R-MSX サイトということが判明した。このような状況では、これまでの警鐘は決して過激でも過剰ではなかったといえる。


>> 続出するスクリプト脆弱性

 スクリプトに関しては、まだまだ問題が噴出している。
 中には、まだスクリプトをオフにするしか対処方法のない問題もある。
 こうした状況を考えると、当初 R-MS サイトを提案した時よりも危険性ははるかに高くなっているといえる。

新年早々、インターネットエクスプローラに新たな脆弱性(2002.1.4)
インターネットエクスプローラ(IE)のGetObject() にあるバグを利用してローカルファイルを読み取ったり、任意のプログラムを実行させること ができる脆弱性が発見された。
https://www.netsecurity.ne.jp/article/1/3681.html

Microsoft Internet Explorer does not properly handle document.open()
http://www.kb.cert.org/vuls/id/598147
マイクロソフト社はこの問題に対応していない
http://www.kb.cert.org/vuls/id/IAFY-55LKEQ

IE の新しい脅威 スクリプトがオフでも強制的に実行させることができる
(2001.12.21)
https://www.netsecurity.ne.jp/article/1/3617.html


>> いまだに存在する個人情報をクッキーに保存するサイト

 こうした危険性にも関わらずあいかわらずスクリプトやクッキーを強要するサイトの管理者の意識はどのようになっているのであろうか?
 もっとも、個人保護を優先すべき「オンライントラストマーク」ですら、R-MSXサイトであったことを考えると、スクリプトやクッキーの危険性の認識がいきわたっていないと考えた方がよいのであろう。

 中には、堂々と個人情報をクッキーに保存していることを宣言しているサト管理者まで存在している。
「クッキーを利用してお名前やご住所等の個人情報をご利用者自身のPC内に記録します」
 このような文言を臆することなく、サイト上に掲載している管理者がいる。サイト管理者は、セキュリティに関してどのように考えているのだろうか?脆弱性をついたスクリプトを web あるいはメールに仕込んで、個人情報入りのクッキーを盗みとることはじゅうぶん可能なのである。これは既知の脆弱性であり、知らなかったではすまない問題である。


>> 利用者を守る気のない無責任な「管理者ごっこ」「web 制作者ごっこ」

 多くの脆弱性が発見され危険性が指摘されているにも関わらず、のほほんと脆弱性を放置する管理者は、本来の責務を放棄しているとしか思えない。
 一時期ネットバブルの頃に、ネット企業は「会社ごっこ」をやっているようなものと揶揄されたが、web 管理者は「管理者ごっこ」をやっているようなものである。「管理者ごっこ」を放置している企業も無責任といわざるを得ない。
 また、こうした web を平気で制作する web 制作者にも問題がある。新しい表現や web の技を使いたいがために危険なスクリプトやクッキーを平気で採用する神経は許すべきではないだろう。利用者にとって安全を確保することがあらゆるサービスの大前提といえる。それをないがしろにするような制作者は「web 制作者ごっこ」に興じているといって差し支えないだろう。

「管理者ごっこ」「web 制作者ごっこ」の当人たちは、遊びでよいだろうが、リアルな危険性に直面するのは、利用者なのである。そのことを全く忘れて遊びに夢中になっているのは、web というパブリックサービス当事者として社会的責任を忘れた行為であり、責められるべきであろう。


>> 「管理者ごっこ」「制作者ごっこ」には、厳しい認定試験を!
さもなければ、せめてフィルタリングサービスを!

 本誌がちょっと調べただけでも「管理者ごっこ」「web 制作者ごっこ」にうつつを抜かす R-MS サイトが、たくさんピックアップできた。
 これは、まだまだ氷山の一角にしか過ぎないと思われる。とてもではないが、本誌だけでピックアップしきれる量ではない。
 本誌はかつて web のセキュリティ管理のあまりのひどさに「ネット上のパブリックサービスに免許制を!? 無能な管理者を駆逐せよ(2001.12.4)」と訴えたことがある。

ネット上のパブリックサービスに免許制を!? 無能な管理者を駆逐せよ
(2001.12.4)
https://www.netsecurity.ne.jp/article/1/3447.html

 当時は、過激なコラムであったが、いまとなっては、リアルに必要性を感じるようになってきた。

 免許がダメなら、どこかで「管理者ごっこ」「 web 制作者ごっこ」に該当する web を集めたデータベースを構築し、そのweb へのアクセスをフィルタしてくれないものだろうか?

 安全にインターネット初心者が利用できる「ごっこ」フィルタリングサービスというのは、とても必要なもののような気がする。
 なにしろ世の中には、まっとうな管理や制作者よりも「ごっこ」連中の方がはるかに多いようなのである。

[ Prisoner Langley ]

詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  5. サイバー攻撃の観測レポートや注意喚起情報などをブログ形式で発信(IIJ)

  6. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  7. セキュリティ専門家がCSIRTの新規構築、既存の見直し・強化を支援(SBT)

  8. 人の動作に偽装するボットアクセスを検知(アカマイ)

  9. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  10. 自社技術とトレンドマイクロ製品で、ネットワークセキュリティの実証実験(IIJ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×