CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1) | ScanNetSecurity
2024.03.29(金)

CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)

 CGMでの情報漏えいについて考えてみたいと思う。とは言っても、試験的な議論なので、いろいろ問題があるのはご容赦願いたい(筆者の書く物はだいたいが、ご容赦願いたい物ばかりであるが……)。

特集 特集
 CGMでの情報漏えいについて考えてみたいと思う。とは言っても、試験的な議論なので、いろいろ問題があるのはご容赦願いたい(筆者の書く物はだいたいが、ご容赦願いたい物ばかりであるが……)。

 そもそもCGMって、根本的に、サービスとして、セキュリティ上、いろいろ問題があるじゃないかと思うのである。

●ところで

 FC2というブログサービスで知られた大手のサイトで17日、18日と異常が発生している。多数のブログで記事中に勝手に「アダルト・ギャンブルのサンプル」からはじめる数行のメッセージが表示されているのである。どうやら、これは無料ブログサービスを提供しているFC2のバグらしい。ある条件を満たすブログに対して勝手に、FC2側からこのメッセージが表示されるようになっていたのである。もちろん、ブログを開設している利用者の側で、この現象を回避することはできない。

 ためしにこの文章の末尾の「サンプルです。さんぷるです。」という文字列をgoogleで検索してみた。

http://www.google.co.jp/search?q=%22%E3%82%B5%E3%83%B3%E3%83%97%E3%83%AB%E3%81%A7%E3%81%99%E3%80%82%E3%81%95%E3%82%93%E3%81%B7%E3%82%8B%E3%81%A7%E3%81%99%E3%80%82%22&hl=ja&lr=&filter=0

 googleもこれまた「"サンプルです。さんぷるです。" の検索結果 約 0 件中 1 - 10 件目」というよくわからない結果を返してきた。ちなみに、検索結果のページは9ページあるようだったが、実際には58件しかなかった。某有名掲示板でも話題になっているようだ。

 原因はわからないし、現象は継続している(1月20日の段階で解消された)。

 筆者はふと思った。これは単なるテキストだからよかったものの、マルウェアを組み込むスクリプトでも仕込まれたら大騒ぎだな。

 そこで気がついた。いや、でも、こんな手の込んだことしないでも、簡単に多数のブログでマルウェアの埋め込みができるじゃないか、アクセスを集めるツールもある。

●適切な利用の不適切な結果

 情報漏えいについて考えると流出発生箇所はおおまか下記の4つになると思う。

・サーバからの流出
 インターネット上にあるWebサーバあるいはそのバックにあるデータベースからの情報流出。

・ネットワーク経路での流出
 通信経路での流出。

・クライアントPCからの流出
 クライアントPC上にあるデータの流出。個人のパソコンに個人情報を蓄積していたりした場合に起こる。

・媒体からの流出
 USBメモリなどからの流出。

・その他
 人的な要因とか。
 世間では、クライアントPC上の個人情報がP2Pソフト経由で流出したり、USBメモリを紛失して流出したりと、頻度高く情報流出の報道がされている。

 筆者が個人的に高い確率で遭遇するのは…

【執筆:Prisoner Langley】

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×