【マンスリーレポート 2003/04】Flash ADに CSS 脆弱性 綿密になされた情報開示 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

【マンスリーレポート 2003/04】Flash ADに CSS 脆弱性 綿密になされた情報開示

製品・サービス・業界動向 業界動向

 バナー広告やアプリケーション等、世界中で使用されているマクロメディア社のMacromedia Flash。
 そのマクロメディア社が推奨している Macromedia Flash AD の方法には、任意のスクリプトをインジェクションできる問題があった。
 この問題を悪用することで、クロスサイトスクリプティング(CSS)などの攻撃を行うことが可能となっていた。cookie の盗用、セッションハイジャック(Persistent Cookie のみでのセッション管理をしている場合)が可能である。
 この件について、匿名の第三者(当編集部へ問題点を通報)、マクロメディア、編集部およびその提携先であるイスラエル SecuriTeam の間で情報のやりとりが行われた。

 実際に事故が起こったわけではない。さらに言えば、「脆弱性」とは得てして、様々な見方によって影響範囲やリスクの評価が分かれる類のものが多い。要は、「黒か白か」はっきりさせるというよりは、各自のポリシーのもとにリスク等も含めてそれぞれが見解を詳細に、オープンにユーザに示す行為がきちんとなされるか否か、が前提になると思われる。そして前提であるにも関わらず、それがなされていない例も多い。
 そのような中、本件にマクロメディア社は真摯に対応を行ったといえる。本稿では相互連絡の過程や、情報開示についての見解など、対応そのものに注目してお送りしたい。


>> 双方で検証 綿密な情報交換

 まずは経緯を、時系列に基づいて記してみる。

 3月28日、匿名の発見者より最初の連絡が編集部に届き、編集部では検証を開始した。4月1日には同発見者からテストコードを含む連絡が届く。編集部での検証も完了した。
 4月2日にマクロメディア(日本)社に編集部より連絡を行う。
 翌3日 編集部提携先であるイスラエル SecuriTeam(Beyond Security Ltd.)に連絡し、日本版以外での検証などを依頼。4日に同チームから、マクロメディア(米国)社の「international security contact」に連絡したいとの申し出が来たため、この旨了解した。

 4月7日、マクロメディア(日本)社から最初の回答が届く。問題の内容について、誤解があったため、再度、編集部よりくわしい説明を返信。 同じ頃SecuriTeamにも「international security contact」から同じような回答が届き、SecuriTeam が説明に困っている旨の連絡があった。

 4月11日、マクロメディア(日本)社より、本社と連携して対処中である旨の連絡が届く。電話で検証チームと話をしたい旨の依頼を受ける。また同日、マクロメディア社(米国)がこの問題を WEB に掲載した。

 4月12日、イスラエル SecuriTeamからマクロメディア社(米国)が対処を完了した旨の連絡が編集部に入る。編集部よりイスラエル SecuriTeamに、マクロメディア(米国)社の公表内容に関する問題(同一ドメインの他ページの cookie 漏洩問題)を連絡。イスラエル SecuriTeamは、マクロメディア(米国)社にこの問題を連絡した。

 4月14日、マクロメディア(日本)と電話による情報交換。双方で確認を行い、反映した発表内容をマクロメディア社(日本)に送付。主として技術内容に関しての確認を行う。 並行してイスラエル SecuriTeamに、サブドメインを利用した問題回避方法を送る。同サイト上に "Workaround" として掲載された。夕方、マクロメディア社(日本)と電話で送付した発表内容に関する情報交換を行う。その内容をもとにさらに修正を加えた。


>> 本件で発揮された、積極的な情報開示の姿勢

 現在、マクロメディア社(日本)の以下ページから、本件に対する問題の概要、具体例、対処法等が細かく記載されているページへ飛ぶことができる。

◇セキュリティゾーン(マクロメディア)
http://www.macromedia.com/jp/devnet/security/security_zone/

 同ページの公開は4月10日。編集部から詳細を記したメールを送った後のことであり、さらに編集部との相互連絡のなかで、「具体例」「対処法」が随時更新されていった。最終更新は4月24日。「埋め込みHTMLタグ例」が記載され、現在に至っている。
 さらに同ページには「NetSecurity」に掲載されたページへのリンクも貼られている。技術的な詳細については、こちらをご覧頂きたい。

◇ Flash AD に CSS 脆弱性(2003.4.14)
https://www.netsecurity.ne.jp/article/1/9590.html


[ Prisoner DAMLAK ]

(詳しくはScan Security Managementをご覧ください)
http://shop.vagabond.co.jp/m-ssm01.shtml


──────────────────────────────〔Info〕──
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  6. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  9. 自社技術とトレンドマイクロ製品で、ネットワークセキュリティの実証実験(IIJ)

  10. 攻撃者を偽のエリアに誘導するディセプション技術を搭載する統合EDRを発表(シマンテック)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×