CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)

特集 特集

 CGMでの情報漏えいについて考えてみたいと思う。とは言っても、試験的な議論なので、いろいろ問題があるのはご容赦願いたい(筆者の書く物はだいたいが、ご容赦願いたい物ばかりであるが……)。

 そもそもCGMって、根本的に、サービスとして、セキュリティ上、いろいろ問題があるじゃないかと思うのである。

●ところで

 FC2というブログサービスで知られた大手のサイトで17日、18日と異常が発生している。多数のブログで記事中に勝手に「アダルト・ギャンブルのサンプル」からはじめる数行のメッセージが表示されているのである。どうやら、これは無料ブログサービスを提供しているFC2のバグらしい。ある条件を満たすブログに対して勝手に、FC2側からこのメッセージが表示されるようになっていたのである。もちろん、ブログを開設している利用者の側で、この現象を回避することはできない。

 ためしにこの文章の末尾の「サンプルです。さんぷるです。」という文字列をgoogleで検索してみた。

http://www.google.co.jp/search?q=%22%E3%82%B5%E3%83%B3%E3%83%97%E3%83%AB%E3%81%A7%E3%81%99%E3%80%82%E3%81%95%E3%82%93%E3%81%B7%E3%82%8B%E3%81%A7%E3%81%99%E3%80%82%22&hl=ja&lr=&filter=0

 googleもこれまた「"サンプルです。さんぷるです。" の検索結果 約 0 件中 1 - 10 件目」というよくわからない結果を返してきた。ちなみに、検索結果のページは9ページあるようだったが、実際には58件しかなかった。某有名掲示板でも話題になっているようだ。

 原因はわからないし、現象は継続している(1月20日の段階で解消された)。

 筆者はふと思った。これは単なるテキストだからよかったものの、マルウェアを組み込むスクリプトでも仕込まれたら大騒ぎだな。

 そこで気がついた。いや、でも、こんな手の込んだことしないでも、簡単に多数のブログでマルウェアの埋め込みができるじゃないか、アクセスを集めるツールもある。

●適切な利用の不適切な結果

 情報漏えいについて考えると流出発生箇所はおおまか下記の4つになると思う。

・サーバからの流出
 インターネット上にあるWebサーバあるいはそのバックにあるデータベースからの情報流出。

・ネットワーク経路での流出
 通信経路での流出。

・クライアントPCからの流出
 クライアントPC上にあるデータの流出。個人のパソコンに個人情報を蓄積していたりした場合に起こる。

・媒体からの流出
 USBメモリなどからの流出。

・その他
 人的な要因とか。
 世間では、クライアントPC上の個人情報がP2Pソフト経由で流出したり、USBメモリを紛失して流出したりと、頻度高く情報流出の報道がされている。

 筆者が個人的に高い確率で遭遇するのは…

【執筆:Prisoner Langley】

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×