「WASForum Conference 2008: サウンドハウス「Web攻撃の脅威に立ち向かうには」」@水無月ばけらのえび日記
1日目、カカクコムのお話の次に来たのがサウンドハウス (www.soundhouse.co.jp)のお話。 今年の4月にクレジットカード情報の流出が発覚し、大胆なプレスリリースが話題になったサウンドハウスですが、中島社長自らがお話しされるということで、かなり期待していました。実際にお話を聞いてみると、これがもうメチャクチャ面白かったです。ただ、あの話し方、身振り、スライド、どれ一つが欠けてもこの面白さは出ないと思いますので、生で見ていない人に面白さを伝えるのは難しいと思います。 ※ちなみにスライドの一部は使い回しのようです。「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されているものはおおむね使い回されていました。 ともあれ、話された内容をメモしておきます。ほぼ手元のメモのままなので、長いですが……。 導入部
サウンドハウスカード情報流出 | 水無月ばけらのえび日記
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ (www.soundhouse.co.jp)」。 PDF に書かれている詳細説明が非常に興味深いですね。なんと、2006年に謎の asp1.asp というファイルが設置されていて、ちくちく利用されていたらしいという。知らないファイルが置かれていても、2年間誰も気づかなかった訳ですね。 ※まあしかし、あんまり詳しくは書けませんが、某大企業グループサイトの cgi-bin の下なんか、テスト用の脆弱な CGI プログラムが放置されていても誰も気づかなかったりしていますしね……。 あと、興味深いと思ったのはこのくだり。 ところが、セキュリティの不備は中々解消されず、セキュリティの基準となるガイドラインさえ、殆ど見かけません。対策が進歩しない理由は明らかです。まず、エンジニアが不足していることです。本来ならば、プロのハッカーを雇用して、彼
脆弱性届け出られ側のお話 | 水無月ばけらのえび日記
JPCERT/CCとの「脆弱性情報ハンドリング」の記録 (dsas.blog.klab.org)。興味深いです。 とりあえず、この制度の正式な名前は「情報セキュリティ早期警戒パートナーシップ」だと思うのですが、正しく呼ばれることはほとんど無いような気がしますね。名前が長い上に、いまいちピンと来ないからでしょうか……? さらに、公表日に一般へ開示する情報はあくまでも脆弱性の概要であり、悪用される可能性のある詳細な情報は公表日以降も機密として扱わなければならない、と先方から説明を受けました。 あれ、そうなのですか? そういうルールだとしたら、届出側に対してもそういう説明があって良さそうなものですが、言われたことがないような……。 ともあれ、JVN の情報公開はイマイチな印象があります。たとえば、「JVN#29273468 QRcode Perl CGI & PHP scripts におけるサー
手口は公開すべきか | 水無月ばけらのえび日記
わたしはいかに簡単に偽造できるか、実際にこうした手口を講演やテレビで公開した。模倣犯が現れるかもしれないという心配はあるだろう。だが、それを教えないことのデメリットの方が大きい。なぜなら、犯罪者は誰もがそんなことはよく知っているからだ。 以上、知らされない犯罪の実態 より 警察は「この資料を配布すると他の泥棒にも手口を教えることになる」と配布することを懸念したが、一般の人が手口を知ることに意味があるのだ。犯罪者は教えなくても知っている。 以上、空き巣のカギ開け手口を全面公開 より
グッドラッパーって何? | 水無月ばけらのえび日記
セキュリティホールmemoで紹介されていて、後で読もうと思っていた「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 (www.jumperz.net)」を読んでみました。 ……。 ……なぜでしょう、私の前提知識が不足しているからなのですかね。何度読み直しても全然頭に入ってこないのですが……。 結城浩さんの「バッドノウハウからグッドラッパーへ― 「奥が深い」システムの改善方法 ― (www.hyuki.com)」は、とても分かりやすく思いますが、それを読んでこちらに戻ってくると、ますます分からないという……。 理解できなかったところをいくつかメモしておきます。 そして、セキュリティ対策というバッドノウハウに対し、負担を軽くするラッパー(グッドラッパー)は既にいくつも存在している。以下にいくつか例を示す。 ・SQLインジェクションに対してバインドメカニズムを使用
ベリサインのシールから連想したこと | 水無月ばけらのえび日記
これ書いた人は、「シール」の話と混同してるんじゃないか? 「ベリサインセキュアドシール」とか言っているが、こんなものはPKIでも何でもない、何ら技術的裏づけのないものだから、偽サイト上にいくらでも表示できる。だから、あれこれ一致しているか目で確認するように注意書きされている。そういうどうでもいい話と混同してるんじゃないの? そもそもこういう安全に使いこなせないシールなんて、やめてしまうのがPKIのプロたる会社の社会的責任だと思うが。 日本ベリサインのシールといえば、昔は捏造できることで有名だったとか、いろいろありますが……そもそも最近、ベリサインのシールを見かけなくなりました。どうも最近のシールは、スクリプトを無効にしているような用心深い (?) ユーザに対しては非表示になるという配慮がなされているようで、いちいちスルー力を試されることもなくなってだいぶ楽ですね。:-) ところで、ベリサイ
発見は推奨されていない | 水無月ばけらのえび日記
報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。 でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい」といった旨の返事がくる。 へぇ、そんなことがあるものなのですね。 まあ、情報セキュリティ早期警戒パートナーシップは、基本的には「うっかり見つけちゃった」ものを報告するところであって、発見することを推奨してはいないと思います。もし積極的に探しに行くことが推奨されて、インセンティブが与えられたりすると、届出件数は爆発的に増えるでしょう。その気になれば、「ググっても仕方ない~」とか歌いながら毎日2桁ペースで発見できそうな気がしますので。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報システム等の脆弱性情報の取扱いに関する研究会 報告書 | 水無月ばけらのえび日記