David the smart ass

心のダイエット！～時には辛口メッセージを～

Ｔｉｔｌｅ　Ｌｉｓｔ

＜＜プレステ公式サイトで謎のカウントダウンって～「サイレン　ニュー・トランスレーション」

「不正アクセス＆改ざん事件」に関する簡単な告知～登録者グラフ（２３０万人）

2008-04-18-Fri

先日来、うちのブログでも
・「FC2ブログのテンプレート改ざん事件～IFRAMEタグとJavaScript」
・「ITmediaの記事がブログに書きやすくなったことについて～月別集計」
などの記事で取りあげてきた、「ＦＣ２ブログ改ざん事件」について、管理者用お知らせに現在の告知がなされました。
　→　ＦＣ２ブログ管理者向けお知らせ：「不正ログイン対策対応状況につきまして」（４/１７）

平素はFC2をご利用頂き、誠にありがとうございます。

一部ユーザー様のご利用のサービスに不正ログインが行われ、ページを改ざんされる例がある件につきましてご報告申し上げます。

また、お知らせの方が遅くなりました事を深くお詫び申し上げます。

具体的な手口などはわかりませんが、「不正ログイン」と「ページ改ざん」という言い方をしています。

【不正アクセスが行われていた期間】
去年末11月頃より不正アクセスが行われていた形跡があり、
今年2月中頃から、より頻繁に発生する。

【不正アクセスの対象】
有名オンラインゲームを主に題材としているブログ、ホームページ

わたしが記事にしてきたゲーム関連のブログだけでなく、ホームページでも不正アクセスがあったということが示され、その期間も「昨年１１月頃より形跡がある」という発表でした。調査をどの程度徹底して行っているかはわかりませんが（ユーザからの告知がないのに正確にわかるのかどうか果たして疑問）、現在わかっているアウトラインとしてはこういうことなのでしょう。どういう対応をしたのかは公表されていませんが、

【上記についての対策】
対策についてはおおむね対応完了しましたが、現在も万全な検証・調査作業を行っております。
上記のセキュリティ対策により、以降の不正アクセスによる改ざんは確認されていません。

と、まぁ、とりあえずの処置はしたということです。

この発表に対して、ＦＣ２ブログのベテランユーザーであり、ユーザーフォーラムでも比較的よく発言し、モデレーターをなさっている方たちからは、「もっと早期にきちんとアナウンスを」、「まだまだ情報の公開が不十分」という声があがっています。
　→　「FC2から不正ログインに関する公式アナウンス」(sugarさん)
　→　「FC2は原因も対策内容も情報公開せよ」（schutzさん）

わたしもこのお二人と同じような考えももちろんあります。

もっとアンテナをたてて（比喩です）、ユーザーからの情報を的確に集め、早期に対策をとってもらいたいというのがわたしの思いです。１１月にその兆候があって、２月にはより頻繁にあったということですが、結果論で申しわけないのですが、仮に１１月の時点で何かユーザーに注意をうながせていたなら、あるいは違った結果になったかもしれないと思うのです。

「そこまで無料サービスに求められても、あくまでも自己責任で」というのもわからない論理ではないのですが、もし、その時点で何か警告のお知らせでもあったなら、ＦＣ２のイメージも変わってくると思うのですよね。どの程度実際にできるかどうかはわかりませんが、せっかくユーザーフォーラムがあってあんなに情報が入ってくるわけですし、それ以外にも、いろんなセキュリティ関連の情報があると思うので、それこそ管理者向けお知らせに、たとえば「不正アクセスがあったという情報が届いていて調査中です。パスワードの管理にはご注意下さい。また、なにか不審な情報があったらお寄せください」というようなものをあげることもできるだろうし、「ウィルス対策ソフトとソフトのアップデートは安全の基本です」というような告知をあげることもできると思います。そういうユーザーをリードするようなことも、ゆくゆくは企業イメージのアップに繋がり、ＦＣ２ブログの信頼へつながると思ってぜひ見直してほしいものだと思いますね。

さてここで、最近のＩＴproの記事を２つほど引用してみます。

「Webを改ざんするウイルスが2倍に増加――米シマンテックの調査」（４／１７）

　米シマンテックは2008年4月17日、「インターネットセキュリティ脅威レポート」を公表。これは、全世界におけるネット上での攻撃の動向などを、半期ごとにまとめたレポートである。今回のレポートの対象期間は2007年7～12月。同社は「企業などの正規のWebサイトにアタックする攻撃者が増え、そこを踏み台としてエンドユーザーに被害が及ぶ傾向が強い」と注意をうながした。

　脆弱（ぜいじゃく）性を抱えたままの正規のWebサイトは約1万1000件確認された。この数字は2007年1～6月期に比べて約2倍に増えている。このうち、対策されたのはわずかに473件だったとしている。

「放置される「SQLインジェクション」の脆弱性、100件以上が未対策」（４／１６）

情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は2008年4月16日、2008年第1四半期（2008年1月から同3月）における、ソフトウエアとWebサイトの脆弱（ぜいじゃく）性に関する届け出状況を公表した。ソフトウエアとWebサイトに関する届け出は、それぞれ53件と244件。脆弱性の報告を受けていながら、90日以上未修正のWebサイトは108件。これらのサイトでは、「SQLインジェクション」や「クロスサイトスクリプティング」などの攻撃を受ける可能性がある。

今回のＦＣ２ブログの事件も、「改ざん」ですし、「不正アクセス」ですので、手口が同じかどうかはともかくとして、この二つの記事の内容と密接に関係があるものだろうと思います。ネット全体で起きているような「脆弱性をついた不正アクセス」や「Ｗｅｂ改ざん」を疑うようなことがＦＣ２ブログにも起きていたのです。

「報告を受けていながら、90日以上未修整」とありますね。ことがかなり公になった３月の事件から考えれば９０日以内かもしれませんが、「１１月から形跡があった」「２月にはより頻繁になった」というような時期から考えると、やっぱり時間がかかりすぎたと言われてもしかたないかもしれません。ただ、遅かったとは言え、一応技術的な対策をして、それなりに成果をみているようですので、その点は「放置」のいくつかのサイトとは全然違います。

しかし、せっかく技術的にきちんと対策をしながら、その過程や前後で効果的なアナウンスがなされないと、むしろユーザには不満や不信感が残ってしまうというものです。技術的にきちんと対応するだけでなく、運営的な対策というか、プレゼンテーションというか、まさに、ユーザーと技術者とを結びつける営業的な努力につてい、今一度考える必要があるのではないかと思いますよ。＞ＦＣ２

グラフは後で追記。