やっぱりCGMって、げろヤバイじゃん という話【後編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.25(月)
コンテンツ
注目検索ワード
記事

やっぱりCGMって、げろヤバイじゃん という話【後編】

特集 特集

 筆者は以前このコラムで、CGMというものは、そもそもの発想からして危険ではないか? という話を書いた。

CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html

 そこで「いずれの方法でも『招かれざる客』を防御することができない」と書いた。CGMが利用者の自由な書き込みをほぼ無制限に許している以上、「プログラム上適切だが、不適切な結果となる利用」に論理的に対抗する方法はないはずなのである。

●データストレージだけじゃない悪用方法 マルウェアと連動する悪用方法

 本コラム前編で紹介したプロジェクトは、P2Pのデータストレージであったが、それ以外にも、いくらでも悪用する方法がある。

・マルウェアの自動更新サービス

 マルウェアを配布した後に、アンチウイルスなどの対応状況を見て、マルウェアをバージョンアップしたいこともあるだろう。そんな時、CGMに新しいバージョンのマルウェアを置いて自動更新させることができると思う。

 これはかなり便利なんじゃないかと思う。アンチウイルスやWindowsが自動更新するのに対抗してマルウェアも自動更新できるわけである。

・盗んだ個人情報の置き場

 マルウェアが収集するクライアントPCの個人情報などの置き場所としても活用できる。

 盗んだ個人情報を適当に暗号化して、CGMにアップするマルウェアがあると便利だと思う。CGMのページにアクセスしてダウンロードするだけで、個人情報を入手することができる。

 さらに、共有も簡単である。最近のブログは閲覧の際にパスワードを設定することのできるものもある。これを使ってパスワードをかけて仲間と情報を共有することができる。

・マルウェア2.0

 複数のCGMのページにマルウェアを置いて、AJAXやらJASON、あるいは単純にiFameなどを使って、相互を参照するようなCGMマルウェアネットワークが簡単に作れそうである。メールを1通送ると自動的にネットワークに参加しているCGMページ上にマルウェアが掲載されるという寸法である。

 参加しているページには、そのマルウェアを利用して入手した個人情報などが登録されるようにしておく。すると、マルウェア作者と関係ない人も、マルウェアネットワークに参加することで、マルウェアで盗んだ個人情報を入手できるという恩恵にあずかれる。言ってみれば、マルウェアのアフィリエイトサービス。お手軽で効果絶大のような気がするのは筆者だけだろうか?

 こんなことは技術的にはとても簡単なので、早晩、上記、あるいはもっと巧妙で便利なものが現れるであろう。

 CGMは、悪意を持った人間から見れば、匿名で自由に使えるストレージである。そして、そのほとんどは、強力なサーバと帯域を持っている。そして、無防備。こんな素敵なものを放っておくものはいないだろう。

●根本的な対策は?当サイトは充分な安全措置をとっていないサイトです宣言
 もっとも簡単かつ有効な対策がある。

 筆者は以前から、今後のインターネットの安全確保には、ホワイトリストによる規制が必要だと考えてきた。

家庭のセキュリティ? 何故か議論されないホワイトリストとブラックリスト
https://www.netsecurity.ne.jp/3_13141.html

 ホワイトリストによる規制をかければ、簡単に対策できる。というか、CGMサイトはホワイトリストに登録されないだろう。したがって、CGMサイトを利用する者は、危険であることを知った上で自己責任でアクセスする者だけになる。

 本当に、CGMサイトが有用で素晴らしいものであれば、有志がCGMサイトの中身をまとめて、ホワイトリストに登録されているサイトに掲載すればいいのである。こうすれば、CGMサイトによる危険はなくなる。

ホワイトリストによる規制は、すぐに実現できないかもしれない。その場合は、CGMサイト自身が「当サイトは充分な安全措置をとっていないサイトです。ご利用に当たっては、危険を充分認識の上、ご利用ください」という宣言を目立つ場所に掲げておけばよいのである。筆者は、以前、これと同じことをR-MSサイトという名称で提案したことがあったが、誰も賛同してくれなかった。今回も駄目なような気がする。

Scan認定R-MSサイトとは
http://www.ns-research.jp/c2/r-ms.html

信頼できないネットの信頼マーク と R-MS サイトの正しい FAQ(2001.12.1)
http://old.netsecurity.ne.jp/article/1/3436.html

ネットセキュリティ総合研究所
このページの向かって左下にR-MSサイトのマークが表示されている
http://www.ns-research.jp/index.html

 これ以外に有効な方法がないか、いろいろ考えてみたのであるが…

【執筆:Prisoner Langley】

【関連記事】
やっぱりCGMって、げろヤバイじゃん という話【前編】
https://www.netsecurity.ne.jp/7_13254.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(2)
https://www.netsecurity.ne.jp/3_12915.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(3)
https://www.netsecurity.ne.jp/3_12969.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(4)
https://www.netsecurity.ne.jp/3_13011.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report) 画像

Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)
アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会) 画像

アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会)
Chrome拡張機能「5000兆円コンバーター」にXSSの脆弱性(JVN) 画像

Chrome拡張機能「5000兆円コンバーター」にXSSの脆弱性(JVN)
iOSアプリ「ANA」に通信内容の取得や改ざんなどが行なわれる脆弱性(JVN) 画像

iOSアプリ「ANA」に通信内容の取得や改ざんなどが行なわれる脆弱性(JVN)
80/TCPへのMiraiボットの特徴を持つアクセスの増加を確認(警察庁) 画像

80/TCPへのMiraiボットの特徴を持つアクセスの増加を確認(警察庁)
「BIND 9.x」に意図しないアクセス許可の脆弱性、対応を呼びかけ(JPRS) 画像

「BIND 9.x」に意図しないアクセス許可の脆弱性、対応を呼びかけ(JPRS)

インシデント・事故 記事一覧へ

BCCをTOに、メール誤送信366人分アドレス流出(和歌山市) 画像

BCCをTOに、メール誤送信366人分アドレス流出(和歌山市)
患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院) 画像

患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院)
不正アクセスにより退会者を含むホームページの会員情報の一部が流出(東芝産業機器システム) 画像

不正アクセスにより退会者を含むホームページの会員情報の一部が流出(東芝産業機器システム)
申込フォームが公開モード、「第5回しんけんトリニータ東京の陣」参加者個人情報が閲覧可能に(大分フットボールクラブ) 画像

申込フォームが公開モード、「第5回しんけんトリニータ東京の陣」参加者個人情報が閲覧可能に(大分フットボールクラブ)
海外子会社へ不正アクセス、顧客情報流出の可能性(野村ホールディングス) 画像

海外子会社へ不正アクセス、顧客情報流出の可能性(野村ホールディングス)
他の職員のIDでグループウェアへ不正ログイン、減給10分の1の懲戒処分に(多可町) 画像

他の職員のIDでグループウェアへ不正ログイン、減給10分の1の懲戒処分に(多可町)

調査・レポート・白書 記事一覧へ

いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在(ネットエージェント) 画像

いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在(ネットエージェント)
脆弱性の76%は攻撃者側に先行利益(テナブル) 画像

脆弱性の76%は攻撃者側に先行利益(テナブル)
日本はサイバーセキュリティ戦略の見直し頻度が特に高い--グローバル調査(PwC) 画像

日本はサイバーセキュリティ戦略の見直し頻度が特に高い--グローバル調査(PwC)
2017年の個人情報漏えい調査の速報値を公開、引き続き件数の減少が続く(JNSA) 画像

2017年の個人情報漏えい調査の速報値を公開、引き続き件数の減少が続く(JNSA)
2017年度の国内セキュリティサービス市場は2,750億円、2022年度には4,100億円突破へ(ITR) 画像

2017年度の国内セキュリティサービス市場は2,750億円、2022年度には4,100億円突破へ(ITR)
ランサムウェアは標的を企業に絞る傾向、犯罪者はマイニングに移行か(エフセキュア) 画像

ランサムウェアは標的を企業に絞る傾向、犯罪者はマイニングに移行か(エフセキュア)

研修・セミナー・カンファレンス 記事一覧へ

電力のセキュリティは国防にも関係 - イスラエル電力公社会長タル元少将講演 画像

電力のセキュリティは国防にも関係 - イスラエル電力公社会長タル元少将講演
参加無料「夏休み親子セキュリティ教室」全国4カ所で開催(トレンドマイクロ) 画像

参加無料「夏休み親子セキュリティ教室」全国4カ所で開催(トレンドマイクロ)
[速報] Interop Tokyo 2018 Best of Show Award セキュリティカテゴリの受賞プロダクト一覧と受賞理由 画像

[速報] Interop Tokyo 2018 Best of Show Award セキュリティカテゴリの受賞プロダクト一覧と受賞理由
多様化する「Web分離」、失敗しない製品選びを専門家が解説 画像

多様化する「Web分離」、失敗しない製品選びを専門家が解説
来週開催 Interop Tokyo 2018 セキュリティ関連講演リスト 画像

来週開催 Interop Tokyo 2018 セキュリティ関連講演リスト
経産・総務各省のサイバーセキュリティ政策、概要や相違 共通点 画像

経産・総務各省のサイバーセキュリティ政策、概要や相違 共通点

製品・サービス・業界動向 記事一覧へ

法人 iOS、Android 端末向けセキュリティサービス(ソフトバンク) 画像

法人 iOS、Android 端末向けセキュリティサービス(ソフトバンク)
全国の複数拠点の入退室情報を一元管理できるシステム(アズビル) 画像

全国の複数拠点の入退室情報を一元管理できるシステム(アズビル)
サプライチェーンの物理セキュリティおよび認証取得サービス(セコム) 画像

サプライチェーンの物理セキュリティおよび認証取得サービス(セコム)
3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン) 画像

3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン)
デバイス保護の統合ソリューションにWeb分離などの機能を追加(シマンテック) 画像

デバイス保護の統合ソリューションにWeb分離などの機能を追加(シマンテック)
アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2) 画像

アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2)

おしらせ 記事一覧へ

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像

[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ
ScanNetSecurity 創刊 18 周年の御礼 画像

ScanNetSecurity 創刊 18 周年の御礼
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×