FC2ブログ

David the smart ass

心のダイエット!~時には辛口メッセージを~

今こそ情報公開&安全宣言を!~不正アクセス&Web改ざん~週別集計

2008-04-29-Tue
Web改ざんと不正アクセスに関しての話題の続報を書くことにします。特別にわたしに情報が入ってきているわけではないのですが、この関連の記事を書くたびにトラックバックを送っているschutzさんのブログコメントにこんな情報がありました(「通行人」と名乗る方のコメントです)。

メールを送ってみてはいかが?
何やら改竄被害にあったブログの主が送ったメールには
ちゃんと返答してるみたいですよ。

ttp://ffxiwar.blog91.fc2.com/blog-entry-236.html#more

ここに紹介されたURLの記事には、FC2(ブログの方ではないようです)からの返信のアウトラインが書かれていました(個人的にはこうしたメールの公開には慎重であるべきだというのが持論ですが、問題の性質からブログ主は公開されたことと理解し、感謝します)。

(質問に対して運営サイドから)何の報告もないまま一週間が経過したので返事を催促したところ
・iframeタグが有害であるため、即日運営側にて削除したこと
・当該改竄は中国IPからの不正ログインであること
・対策以前の改竄で、今回の対策完了によりHPスペースも安全であるとのこと
・iframeタグの削除が連絡無しで行われたことに対する謝罪
etcが丁寧に返信されてきました。

ブログ主(R-typeさん)は、FC2ブログのユーザーでもあり、またFC2のWebスペースを利用もしているようで、先にFC2ブログに問い合わせをしたがなかなか返事がなく、Webスペースの運営サイドからはこのような返事を受け取ったということのようです。

なお、Webスペースの利用者が少なかったので、(改ざんされた)該当iframe自体も、運営側にしっかり見てほしくて削除せずに置いたところ、運営サイドによって問題の<iframe>タグ部分が、通報した当日消去されていて、迅速な対応を確認したということが述べられています。これはFC2ブログでなくて、FC2のWebスペースの話であり、時系列的にはFC2ブログの改ざんの一報よりも時期的に幾分遅いタイミングということになるようですね。

ま、このように具体的な実例をあげるユーザーもいるわけですから、FC2ブログとして現時点で把握している情報を公開するとともに、施した対策も明言してぜひ安全宣言をしてほしいと思います。前にも書いたのですが、テンプレートが改ざんにあって、ウィルス感染の踏み台にされるというような心配があっては、テンプレ作者も不安なままだと思います。FC2ブログの安全宣言をぜひしてほしいと願っています。

さて、またここで記事の引用です。今回の件で、たびたび閲覧するようになったITproに「「Web改ざん攻撃は、IISの脆弱性が原因ではない」――マイクロソフト」(4/28)というような記事が載っていました。


2008年3月以降、「SQLインジェクション」によるWebサイトへの不正侵入が相次いでいる。不正侵入により、Webページを改ざんされたり、顧客情報などを盗まれたりしている。

 一部報道では、侵入されたWebサイトのほとんどはIISやSQL Server、ASP(Active Server Pages)を利用していたので、一連の不正侵入は、これらの製品や技術の脆弱性を悪用している可能性があるとほのめかしている。記事の中には、2008年4月に同社が公表した、修正パッチ(セキュリティ更新プログラム)未公開のWindowsの脆弱性(マイクロソフトセキュリティアドバイザリ951306)との関連性を言及しているものもあるという。

 しかしながら、同社スタッフは公式ブログにおいて、これらをすべて否定。一連の攻撃は、同社製品や技術の脆弱性を悪用するものではないと強調している。あくまでも、それぞれのサイトが使用しているWebアプリケーションの脆弱性が原因であり、その脆弱性を悪用してSQLインジェクション攻撃が行われているとしている
  → ITpro:「Web改ざん攻撃は、IISの脆弱性が原因ではない」――マイクロソフト

がははは、笑って失礼~、正直、何が書いてあるのか細かなところはわたしには頓珍漢でさっぱりわかりません。

ただ、要するに、引用部分の赤い文字にしたところが結論で、ここのところ問題になっているWeb改ざんの原因について、一部の報道にあるようなさまざまな脆弱性について、マイクロソフトは公式ブログで否定したとういことですね。そして、同社製品や技術の脆弱性を悪用しているのではなくて、それぞれのサイトが使用しているWebアプリケーションの脆弱性が原因で、その脆弱性を悪用してSQLインジェクション攻撃が行われているという見解を示したというのですね。

これを、「FC2ブログのテンプレ改ざん事件」に照らし合わせてみますと、マイクロソフトに言わせると「マイクロソフト社の製品や技術の脆弱性が問題ではなくて、FC2ブログのシステムの脆弱性が原因」ということになるのです。FC2ブログからは、そこのところは公開されていませんが、「対策をとることができた」とういことを言っているわけです。

ちょっと言葉遊びというか、禅問答的になってしまいますけれど、それはどこについての対策だったのですようか? マイクロソフトが言うような各Webアプリ側の脆弱性の問題を解決したのでしょうか? それとも、一部報道にあるようなマイクロソフトに起因する脆弱性についての対策をしたのでしょうか? FC2ブログがした対策が、あるいは的外れな対策に終わっているということもあるのでしょうか(ちょっと失礼な言い方ですが、もし、「一部報道」的対策しかしてないというのであれば、マイクロソフトに言わせるとこうなると思うのです)。逆に言えば、今回のテンプレの改ざんの対策が完全になされているとしたのならば、このITproの記事にあるマイクロソフト側の言い分について、是か非かの答えをすでにFC2ブログは持っているというとになりますよね。

ぜひ、今こそ情報公開をしてほしいです。そして、ついでに、このITproの記事をFC2ブログの視点から白黒つけてほしいと思うのですけどね。

fc2sec.gif


わたしなら、今がチャンスだと思いますけどね~>FC2ブログ

にほんブログ村 ブログブログ ブログサービスへ
スポンサーサイト



不正アクセス事件の後始末~週別集計

2008-04-22-Tue
ここのところ続いている、FC2ブログの「不正ログインと改ざん」に関しては、「対策についてはおおむね対応完了しましたが、現在も万全な検証・調査作業を行っております」(ブログ管理者用お知らせ)ということで、ま、一段落させたいというのがFC2ブログの意向のようです。FC2ブログとしても二度と同様の問題は発生させたくないと思っているはずですから、継続されるはずの検証・調査作業の経緯を見守りたいと思っています(ただ、「独自ドメイン導入」「バックアップ機能の改善」などがまだ未達成である現状を見ると、日ごろの行いとういか、デジャブでんなぁといいたい気持ちにもなるというものです)。

告知としてこれだけというのは不十分という声があがっています。ユーザーのいろいろな思いがそこにあって、ま、遺恨が残るような感じになっているのです。

被害にあった多くのゲーム系のブログでは、FC2ブログに開設したブログが改ざんされて、ブロガー自身が気づかぬ間に、そのブログを閲覧した人がウィルスを感染させられ被害にあっていたという現象が起きていました。つまり、ブログを改ざんされたブロガーが所謂感染の踏み台にされてしまったのです。閲覧した人の中には、パスワードを盗まれるという被害を受けた人もいたようです。

この流れの中で、おそらくFC2ブログはそれは閲覧者の自己責任だと言いたいのでしょう。FC2ブログの対応が冷たいとかそういうことではなくて、ネットユーザーの基本として、別に目新しいことではなく、日ごろから言われ、それこそ入門系のWebページにも雑誌にもいくらでも書いてあることです。

【不正アクセスから守る為の対処方法】
・WindowsUpdateによりご利用のPCの状態を最新の状態にする。
・ご利用のウイルス対策ソフトのバージョンを最新の状態にする。
怪しいWEBサイトへのアクセスを行わない。
等、あらかじめ対策を行って頂きますよう、お願い申し上げます。


ただ、そうではあるが、実際にFC2ブログのユーザーで自分が踏み台にされ、「仲間」を被害に合わせてしまって、「自己責任」と言いにくいのが、ブログというものなのですよね。そのあたりについて、FC2ブログから何か言って欲しいなぁというのでしょう。気持ちはわかります。

そこに来て、今回の告知が「管理者用お知らせ」のコーナーだけだったので、もっと閲覧者、つまり広いユーザーにもよくわかるようにしてほしいということなのですね。

もう一つ気になるのが、「テンプレート改ざん」という点です。「自由で豊富な公式&共有テンプレート」というのはFC2ブログの最大の売りの一つで、公式にも、また、ユーザの有志の間にもテンプレコンテストとかが行われてきたし、「テンプレートソムリエ」なんて言葉を使って、テンプレートにいろんな形でのこだわりを持ち、また、愛する方たちもいらっしゃったくらいなんです。そのテンプレートが改ざんされたようなんですが、そのことについては、今回の発表では一切触れられていません。

共有テンプレートはユーザーが作成、登録申請し、FC2ブログの審査を受けて公開しているはずです。そのテンプレートが改ざんされたというのはは事実なのか。これは、先ほどのブロガーと同じようなことが、テンプレの作者にも言えるのではないでしょうか。つまり、自分が作成したテンプレートがウィルス感染の踏み台にされていた(のではないか)ということです。そんなつもりは毛頭なかったのに加害者になってしまっていた(のではないかという)わけです。

わたしのように改ざんの被害にもあわなかったし、積極的にテンプレを提供してこなかったユーザーにとっては「対策はおおむね完了し、その後の被害はない」と言われれば、そんじゃ今後の報告待ってるわで済んでも、実際に、ゲーム系のブログを運営している人たちや、テンプレートに関わってきた人たちは、もっと説明がほしいというのは当然だと思いますね。

果たして今後もFC2ブログで続けていていいのだろうかと思ったのは、ゲーム系のブロガーだけでなくて、テンプレ作者たちなのかもしれません。

このままではFC2ブログ自身が「怪しいWEBサイト」とまでは言わないにしても「心配なWebサイト」くらいには入れられてしまいかねないのです。いや、一部ではすでにそういう扱いかもしれませんよ。そうならないように、きちんとした安全宣言を出してくれというのですよ。>FC2ブログ

でもって、こんな運動が起こっています。
 → アルキカタブログ:「FC2がしないのならユーザがしましょうという一件

ところが、一向にトップページにあがらないらしいw。この記事が特別ってことじゃなくて、あるいは「管理者向けお知らせ」の仕様なの?って思うのですが、そんな仕様ってあるの?ともw (※この件追記あり
 → http://blog.fc2.com/forum/viewtopic.php?p=84470#84470

ブロガーも、閲覧者も、テンプレ作者も安心できるような安全宣言をお願いしたいです。>FC2ブログ
fc2sec.gif


・情報の公開について、安全対策を公開する方が効果的というアドバイスもすでに出されています。
 → http://blog.fc2.com/forum/viewtopic.php?p=84293#84293

・別にビビらせたいわけじゃないけど、楽器のサウンドハウスのお詫び文が話題になってるようですね。信頼が大切なんです。
 → サウンドハウス:「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(04/18)

「週別集計」のグラフは追記。

にほんブログ村 ブログブログ ブログサービスへ
HOME