【マンスリーレポート 2002/03】インシデント事後対応 ベストは日本ボルチモア ワーストは首相官邸、日本ベリサイン | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

【マンスリーレポート 2002/03】インシデント事後対応 ベストは日本ボルチモア ワーストは首相官邸、日本ベリサイン

製品・サービス・業界動向 業界動向

 2002年3月 Prisoner'Choice インシデント事後対応 ベスト&ワースト

 2002年3月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト&ワーストをお送りする。

>> ベストは、日本ボルチモア

 日本ボルチモアのサイトにクロスサイトスクリプティングの脆弱性が発覚したのは2月25日。発覚からサービスの改修が終わるまで19時間という迅速さであった。本来ならば2月のインシデント事後対応に選んでもよいのだが、3月に入ってからもサイト上で進捗報告を続け、真摯に問題と向き合って今後に活かしてゆこうという姿勢がうかがえる点から「ベスト」にチョイスした。

 同社の最初の報告には、「当該スクリプトの使用停止」「当該サービス顧客、関係者へのEメールおよび電話による告知」はもちろんのこと、今後すべき内容も記載されている。当該の問題だけでなく、「他の同様スクリプトの改修及び試験」「他のサービスについての検査および試験」なども挙げられており、(現在継続中、終了後ご報告)との書き添えもある。その場限りの改修ではなく、これを機にしてすべてを再チェックして報告しようとする点は非常に評価できる。「今後はより一層注意して真摯に望みたい」といった精神論的文面だけで済ませるサイトには、ぜひ見習ってほしいものだ。

 第一報の3日後に公約どおり、認証局を含む全サイト、サービスを綿密に点検し、結果安全であることがわかった、との第二報がサイト上にアップされた。

 そして、脆弱性発覚から約1ヶ月後の2002年3月20日、第三の報告がサイト上に登場した。内容は、前日の19日に脆弱性探索とおぼしき第三者のアクセスを検知したが、システム内部への侵入やデータ悪用などの被害はなかったと報告。さらに第三者の試行パターンから、前回とは異なるクロスサイトスクリプティングの脆弱性の可能性を発見、スクリプトの修正をしたとのこと。第三者侵入からスクリプト修正までの時間は、たった17分。前回の問題発覚から、監視体制を強化させていたことが、この報告で裏付けされた形になった。
 「警戒中の侵入」という事実は、ともすれば「マイナスイメージに繋がる」として隠蔽されやすいといえる。それを即座に公表した点を評価したい。「自社だけ無事ならよい」ではなく、公表することでセキュリティ業界全体をノウハウを蓄積しあうことが、ハッカーやクラッカーとの「いたちごっこ」に勝つことに繋がるのだから。

 2001年10月、同社のサイトが続けざまに改ざんされる事件が起こった際は、必ずしも誉められる事後対応ではなかった。以降その事件を糧に、セキュリティ・ベンダとしての信頼を取り戻すべく努力を続けたことが、今回の手際よい対応に繋がったのではないだろうか。


 日本ボルチモアのWebサイトにクロスサイトスクリプティングの
 脆弱性が発覚(2002.2.26)
https://www.netsecurity.ne.jp/article/1/4128.html
 日本ボルチモア「弊社Webサイトにおける脆弱性に関する重要なお知らせ」
  http://www.baltimore.co.jp/info/2002/020225.html
 日本ボルチモア「弊社Webサイトの安全性に関するご報告」
http://www.baltimore.co.jp/info/2002/020228.html
 日本ボルチモア「「弊社Webサイトにおけるクロスサイトスクリプティング
 への対応に関するご報告」
http://www.baltimore.co.jp/info/2002/020320.html


>> 日本ボルチモアの★取り表

対応の速さ    ★★★★★
報告者との連絡  ★★★★
社内体制     ★★★★
ユーザ告知方法  ★★★★
ユーザ告知内容  ★★★★
その後のフォロー ★★★★★


★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけではない。
★     最悪 なしあるいはないも同然
★★    申し訳程度。
★★★   許容範囲。
★★★★  適切な対応。
★★★★★ 考えられることは全て対応。迅速。


>> ワーストは、首相官邸と日本ベリサイン

 小泉内閣メールマガジンの発行元として有名な、首相官邸ホームページ(内閣官房内閣広報室)を今回のワーストにチョイスした。

 最初の問題点はやはり、サイトにおけるクロスサイトスクリプティングの脆弱性。サイト来訪者のCookie情報が奪取されている危険性も否定できない状況であった。第一発見者のoffice氏は、3月11日の20:30頃にHP内の「ご意見募集」のところから通報。問題点は翌日には解消された(ようにみえた)。

 しかし驚いたことに、一般のユーザに向けての告知は(こちらで確認できる限り)一切なし。現在確認できる方法としては、Webサイトに告知があるか?メールマガジンの中で告知を行ったのか?の2通りだが、Webサイトにその形跡はなく、メールマガジンのバックナンバーを探しても、それらの文章は見つからない。読者の中には、現在もなお、このようなことがあり危険な状態であったことを知らない方も多くいることだろう。

 なお、当のoffice 氏に返信が来たのは通報から3日後の14日。その後、問題が露見し、騒ぎになってやっと「14日昼現在、ご指摘の点については解消しました」という文言が入ったレスポンスが届いたという。

 さて、解決されたように見えた同サイトだが、まだクロスサイトスクリプティングの問題点は部分的に残っていた。メールマガジンの登録システム部分である。

 この件についても、こちらで確認した範囲ではユーザへの告知は行われていない。このように、ユーザへの告知を行わないでいた場合、ユーザが危険性に対して、自衛手段を取ることもできないので、回避できるはずのリスクも回避できないことになりかねない。当然、ユーザが人づてにこの件を聞いたとすれば、信頼を損なうことは言うまでもない。


[ Prisoner Maga ]

詳しくはScan本誌をご覧ください。
http://shop.vagabond.co.jp/m-ssw01.shtml


▼インシデント関連のマンスリーレポートは「Scan Incident Report」に掲載されております。詳しくは下記をご覧ください。
http://shop.vagabond.co.jp/m-sir01.shtml
今月のタイトル
【信頼は戻るか!日本ベリサイン「Secure Site シール」】
▼ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×