アイドゥ
  • Eyedo News
  • サービスメニュー
  • 会社案内
  • 執筆原稿
  • Pick Up(書籍等)
  • Web連載
  • 講演・研修
  • お問い合わせ

執筆原稿

  • アクセス埼玉(82)
    • IT活用ワンポイントアドバイス(11)
    • IT活用で仕事の効率アップ(12)
    • 効率的な職場環境をつくる!IT活用法(12)
    • 問題解決!ITの簡単活用法(12)
    • ITがもたらす企業経営(12)
    • IT軽業活用術(12)
    • ネットワークを生かし、21世紀を楽しくしよう(11)
    • 特集(1)
  • Scan Security Management
    • 2006年度(7)
    • 2005年度(37)
    • 2003年度(5)
  • Scan Security Wire
  • その他執筆(6)
    • RMC TOKYO NEWS(1)
    • 神奈川県中小企業団体中央会 IT情報ネットワーク(3)
    • 企業診断ニュース「インターネット広告の現在 」(3)
    • 中小企業だより「どう取り組む、中小企業のITセキュリティ対策 」(1)
    • 情報化の処方箋(2)
    • Novell(7)
    • 朝鮮商工新聞(7)

ママの認知症は天からの贈り物~在宅介護と社長業のワークライフバランス~

講演・執筆依頼

お問い合わせ
  • ホーム
  • »
  • 2003年度
  • » 「まぐまぐ」サイトで発覚したクロスサイトスクリプティングの問題とその対処
2003年11月25日

「まぐまぐ」サイトで発覚したクロスサイトスクリプティングの問題とその対処

掲載誌 有料メールマガジン「Scan Security Management(2003年度)(バガボンド)」
今注目のネットワークにまつわる規格・制度をわかりやすく解説!
掲載年月 2003年11月25日 Vol.036
執筆者 井上きよみ
記事の解説 インシデントのマンスリーレポートとして

株式会社まぐまぐといえば、メールマガジン2万7千誌以上、のべ読者数2千6百万人以上を有する、日本最大のメールマガジン配信サービス会社である。9月、まぐまぐが運営する、

  • 「まぐまぐ!」
  • 「懸まぐ!」

の2つのWebサイトで、クロスサイトスクリプティングの問題のあることがわかった。現在はすでに対処済みで、その心配はない。この問題について、そして発覚から対応までの経緯をまとめ、また考察を加えてみた。



検索CGIにクロスサイトスクリプティングの問題

問題となったのは、上記2サイトでそれぞれ設置されている検索ボックス。メールマガジンやプレゼントの検索に利用される。ここにHTMLやスクリプトを入力すると、そのまま実行されてしまう状態になっていた。悪用されれば、クレジットカードや電話番号などの情報を盗み出すことも可能である。つまり、検索用CGIにクロスサイトスクリプティングに対しての対策が施されてなく、セキュリティ的に脆弱な状態であった。これに対しては、HTMLのタグやスクリプトを無効化する、サニタイジングにより回避できる。具体的にはタグを文字列に置換する処理を施すわけである。


発覚から対応までの経緯

この問題に気づいたのは、ネットアンドセキュリティ総研株式会社(旧:バガボンド)である。発覚から対応まで、まぐまぐとバガボンドのみのやりとりとなった。


2社の主なやりとり

9月24日(水)  [Eメール]バガボンド → まぐまぐ(プレミアム事務局)

  • 検索CGIにクロスサイトスクリプティングの脆弱性がある旨を連絡。メールの宛先は、たまたま直接付き合いがある部署であるが、担当部署に転送してもらうことをメール内で依頼。

9月29日(月)  [Eメール]バガボンド → まぐまぐ(プレミアム事務局、広報担当)

  • まぐまぐからの返答がないため、9/24と同内容のメールを送付。今度は、まぐまぐサイトで公開されている問い合わせ先のEメールアドレス(広報担当)にも同報送信。 さらに若干の時間を置いた後、バガボンドから再度Eメール送付。このときは、前回の宛先に加え、サイトで公開されている他のEメールアドレスにも送付。

9月30日(火)  [Eメール]まぐまぐ(広報担当) → バガボンド

  • 「すでに対応済み」という旨の連絡を受ける。まぐまぐ側からの連絡はこれが初めてである。


読者へは一切報告なし

クロスサイトスクリプティングの問題があったこと、その対策を講じたこと共に、まぐまぐのWebサイトでは一切記載がなかった。同社発行のメルマガ「ウィークリーまぐまぐ」でも9月末から現在までの間に、これに関する記載は全く見受けられなかった。


問題を公開すべきか否か

この問題が初めて公になったのは、対策が講じられた後の10月3日、発見者でもあるバガボンドによってである。しかし、まぐまぐ側は問題が公開された後も、前述のとおりで読者への報告は実施しなかった。

振り返ってみると、幸運にも何ら具体的な被害が出たわけではない。たまたま気づいた側が報道・出版関係者であったこと以外は、「こっそりと」修正してしまえば、それで済んだことであり、事実、そうなっている。寝た子を起こすがごとく、わざわざ読者に告知して、いたずらに不安を煽る必要はないかもしれない。

どうするのが正しい措置であったかは、今となってはわからない。

が、いろいろな意味で情報公開が叫ばれている昨今、そして、フレンドリーでオープンな印象を我々に与え続けてきた企業の、意外ともいえる一面を見た気がする。


EDIT

カテゴリ:

  • 2003年度

コメントする

トラックバック(0)

このブログ記事を参照しているブログ一覧: 「まぐまぐ」サイトで発覚したクロスサイトスクリプティングの問題とその対処

このブログ記事に対するトラックバックURL: http://www.eyedo.jp/cgi-bin/mt/mt-tb.cgi/34


[プライバシー] [リンクについて] [免責事項] [著作権]  Copyright(c)2008,Eyedo Co.,Ltd. All Right Reserved