やっぱりCGMって、げろヤバイじゃん という話【後編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

やっぱりCGMって、げろヤバイじゃん という話【後編】

特集 特集

 筆者は以前このコラムで、CGMというものは、そもそもの発想からして危険ではないか? という話を書いた。

CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html

 そこで「いずれの方法でも『招かれざる客』を防御することができない」と書いた。CGMが利用者の自由な書き込みをほぼ無制限に許している以上、「プログラム上適切だが、不適切な結果となる利用」に論理的に対抗する方法はないはずなのである。

●データストレージだけじゃない悪用方法 マルウェアと連動する悪用方法

 本コラム前編で紹介したプロジェクトは、P2Pのデータストレージであったが、それ以外にも、いくらでも悪用する方法がある。

・マルウェアの自動更新サービス

 マルウェアを配布した後に、アンチウイルスなどの対応状況を見て、マルウェアをバージョンアップしたいこともあるだろう。そんな時、CGMに新しいバージョンのマルウェアを置いて自動更新させることができると思う。

 これはかなり便利なんじゃないかと思う。アンチウイルスやWindowsが自動更新するのに対抗してマルウェアも自動更新できるわけである。

・盗んだ個人情報の置き場

 マルウェアが収集するクライアントPCの個人情報などの置き場所としても活用できる。

 盗んだ個人情報を適当に暗号化して、CGMにアップするマルウェアがあると便利だと思う。CGMのページにアクセスしてダウンロードするだけで、個人情報を入手することができる。

 さらに、共有も簡単である。最近のブログは閲覧の際にパスワードを設定することのできるものもある。これを使ってパスワードをかけて仲間と情報を共有することができる。

・マルウェア2.0

 複数のCGMのページにマルウェアを置いて、AJAXやらJASON、あるいは単純にiFameなどを使って、相互を参照するようなCGMマルウェアネットワークが簡単に作れそうである。メールを1通送ると自動的にネットワークに参加しているCGMページ上にマルウェアが掲載されるという寸法である。

 参加しているページには、そのマルウェアを利用して入手した個人情報などが登録されるようにしておく。すると、マルウェア作者と関係ない人も、マルウェアネットワークに参加することで、マルウェアで盗んだ個人情報を入手できるという恩恵にあずかれる。言ってみれば、マルウェアのアフィリエイトサービス。お手軽で効果絶大のような気がするのは筆者だけだろうか?

 こんなことは技術的にはとても簡単なので、早晩、上記、あるいはもっと巧妙で便利なものが現れるであろう。

 CGMは、悪意を持った人間から見れば、匿名で自由に使えるストレージである。そして、そのほとんどは、強力なサーバと帯域を持っている。そして、無防備。こんな素敵なものを放っておくものはいないだろう。

●根本的な対策は?当サイトは充分な安全措置をとっていないサイトです宣言
 もっとも簡単かつ有効な対策がある。

 筆者は以前から、今後のインターネットの安全確保には、ホワイトリストによる規制が必要だと考えてきた。

家庭のセキュリティ? 何故か議論されないホワイトリストとブラックリスト
https://www.netsecurity.ne.jp/3_13141.html

 ホワイトリストによる規制をかければ、簡単に対策できる。というか、CGMサイトはホワイトリストに登録されないだろう。したがって、CGMサイトを利用する者は、危険であることを知った上で自己責任でアクセスする者だけになる。

 本当に、CGMサイトが有用で素晴らしいものであれば、有志がCGMサイトの中身をまとめて、ホワイトリストに登録されているサイトに掲載すればいいのである。こうすれば、CGMサイトによる危険はなくなる。

ホワイトリストによる規制は、すぐに実現できないかもしれない。その場合は、CGMサイト自身が「当サイトは充分な安全措置をとっていないサイトです。ご利用に当たっては、危険を充分認識の上、ご利用ください」という宣言を目立つ場所に掲げておけばよいのである。筆者は、以前、これと同じことをR-MSサイトという名称で提案したことがあったが、誰も賛同してくれなかった。今回も駄目なような気がする。

Scan認定R-MSサイトとは
http://www.ns-research.jp/c2/r-ms.html

信頼できないネットの信頼マーク と R-MS サイトの正しい FAQ(2001.12.1)
http://old.netsecurity.ne.jp/article/1/3436.html

ネットセキュリティ総合研究所
このページの向かって左下にR-MSサイトのマークが表示されている
http://www.ns-research.jp/index.html

 これ以外に有効な方法がないか、いろいろ考えてみたのであるが…

【執筆:Prisoner Langley】

【関連記事】
やっぱりCGMって、げろヤバイじゃん という話【前編】
https://www.netsecurity.ne.jp/7_13254.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(2)
https://www.netsecurity.ne.jp/3_12915.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(3)
https://www.netsecurity.ne.jp/3_12969.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(4)
https://www.netsecurity.ne.jp/3_13011.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×