どこかでみたような「アメーバなう」、即CSRFの餌食に 65
ストーリー by hylom
斜め上の方向で話題に 部門より
斜め上の方向で話題に 部門より
「アメーバブログ」や「スラドでも話題になった男の子牧場」など、ある意味話題の企業、サイバーエージェントはどこかで見たようなサービスである「アメーバなうをリリース」した。
しかし、セキュリティ対策の不備によりmixiでもおなじみのはまちや2氏によるCSRF(Cross Site Request Forgeries)の餌食になった模様だ。現在は脆弱性は解消されているとのこと。
この手のWebアプリケーションでのテストソリューションをサイバーエージェントで持って/行っていなかったのか気になるところ。なおデスブログでおなじみ ひがしはらさんもこのサービスを早速使用されている模様だ。
いつも思うけど (スコア:4, すばらしい洞察)
はまちやの人って、本当に親切だよね……
いや、もしかしたらもっと致命的な不具合は見つけても隠し持ってるのかもしれないけど。
Re:いつも思うけど (スコア:4, すばらしい洞察)
親切とは……神経を疑うな。
まぁ「場」を区別してコミュニケーションすることが困難な人の基準では親切なのかもしれないが、
IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
Re:いつも思うけど (スコア:4, 参考になる)
過去に10回強、諸々のサービスでCSRFを見つけたことがあります。
それに関して、運営者に届けても反応がないこともちらほら。
場所によっては無言でアカウント削除されたりしました。自分のアカウント使ってCSRF試してみただけなので(そこの)規約には違反してなかったんですが。
運営者が反応無いからとIPAに届けるのも、結構時間かかります。私のようにプロでもない人間でも見つけてしまうような脆弱性だから、見つけて悪用する人も出るのでは、と危惧しながらも、通報した後、何もできないままやきもきするのは、あまり良い気分ではないわけです。
もちろん、即座に対処してくれるサービスもありましたけどね。
「はまちや」さんがそういう経験をしたのかどうかは判りませんが、もし私と似たような経験をしたのであれば、「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
Re: (スコア:0)
>「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
僕は賛成しますね。わざわざ危険性があると報告したのにアカウント削除されたり、無視されたりしたら運営側の程度がしれる。
そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。
あらゆる危険性が残ったまま腐ったサービスを運営し、指摘されたら修正するのが面倒なのか、対応するのが面倒なのかは知りませんが、
指摘されたことをなかったことにしたり、指摘したユーザのアカウントを削除する腐ったサービスは即刻滅びればいいです。
Re: (スコア:0)
何のために?
何のためのセキュリティなの?
被害を出さないためのセキュリティなんじゃないの?
目的と手段を取り違えていませんか?
Re:いつも思うけど (スコア:2)
>被害を出さないためのセキュリティなんじゃないの?
>目的と手段を取り違えていませんか?
「こんにちはこんにちは」って書かれることによって誰がどのような被害を被ったのか、説明していただけませんか?
Re:いつも思うけど (スコア:2, 興味深い)
対応速度や対応してもらえた割合がIPAへの届け出と比較してどのくらいなのかが気になりますね。
はまちや2さんの指摘ではほぼ100%の頻度で対応されてそうなイメージがありますが、実際どうなんでしょう?
IPAは地味にスルーされることもある [nikkeibp.co.jp]というイメージ。
あくまでイメージですが。
個人的には、サイバーノーガード戦法で居直られるよりは対応された方が利用者にとっては親切だと思います。
ところで、今回のスクリプト(?)ってはまちや2さんが作成したってソースありましたっけ?
◆IZUMI162i6 [mailto]
KYですね。分かります。 (スコア:1, すばらしい洞察)
本当に仰る通り、区別って大事です。
脇が甘いといたずらされちゃう「場」である事を理解できずに、
いたずらされて本気で怒る人って稀にいますよねぇ。
KYじゃないですけど、新規参入の人達は、
もともと存在する文化に少しは配慮して欲しいと思います。
面白半分にいじられるのがそんなに嫌なら、NTTかどこかと組んで、
全くいたずらを許さない商用専用のインターネットを作ればいいのに。
# 無論、サイバーエージェントがそうだとは思ってません。
# むしろ、そーゆー「場」を理解してのネーミングなんだろうし、
Re:いつも思うけど (スコア:1, 参考になる)
>>IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
はまちやさんはIPAに報告してもなかなか本気にしてくれなかった過去を経て今に至ってますからね。
彼にとってはIPA自体信用に欠ける機関なんじゃないかな。
IPAたんからへんじこない [hatena.ne.jp]
# まぁこれで信用してくれってっていうのも・・・って文体の通報ですけど。
Re:いつも思うけど (スコア:1)
Re:いつも思うけど (スコア:1)
存在も行動も動機も悪だ
となれば、私は
「じゃあ、はまちやが悪さできないようにセキュリティを高めようぜ」
よりも先に「はまちやを懲らしめなければ」と思います。誰しも、痛い目に合わなければ反省したり、自粛したりしないのが普通ですから。
Re:いつも思うけど (感情論: -2) (スコア:2)
CSRF処理を受け付けるようにコンピュータを構成しておきながら実際にやってみた奴を犯罪者扱いする開き直り運営厨うぜぇ
うまい事言ってやろうか (スコア:0)
現代のねずみ小僧。
でもね泥棒は泥棒。
Re:うまい事言ってやろうか (スコア:1)
Re: (スコア:0)
モヤイ泥棒に聞かせてあげたい言葉ですな
Re:うまい事言ってやろうか(オフトピ) (スコア:2)
あの件、渋谷署に訴えたら受理してくるのかな?
それともその種の許可みたいなの申請済み?
#自作自演とはちょっと違うし
Re: (スコア:0)
> IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべき
その「べき」が本当に正しいかどうかって話でしょう
はまちやは愉快犯じゃなくて確信犯だと思いますよ
私も、連絡したが黙殺に近い対応を取られたこともありますし
はまちやの様な輩が出てくる土壌の方にも問題があると思いますね
Re: (スコア:0)
いつか威力業務妨害で訴えられてもおかしくない。
不備の宣伝になるから訴えられずに済んでいるが。
Re:いつも思うけど (スコア:1, 参考になる)
いつか威力業務妨害で訴えられてもおかしくない。
不備の宣伝になるから訴えられずに済んでいるが。
いや、それについては前例がある [srad.jp]。
Re: (スコア:0)
office氏の件は実在の個人情報が晒されたので実害があった
として告訴は成り立ったけど、本件では実害を算出するのが
難しいんじゃないだろうか。
おいおい (スコア:3, おもしろおかしい)
デスブログとかさ、個人をおもしろおかしく話題にしているようなことを
ストーリーに混ぜるのって見識を疑ってしまう。
#リンクを貼ると「slashdotとかいうサイトで何か書かれてた」とか
#言及されちゃうかもよ
Re:おいおい (スコア:1, オフトピック)
(#1688471)です。
idで書かしてもらうが最初「オフトピック」のモデレショーンだった。
少し悲しかった。/.Jの倫理もその程度かと。
今は修正モデになっている。
やっぱりマトモな人もいるんだね。
少しうれしいよ。
Re:おいおい (スコア:2)
まずモデレーションの是非について扱うために用意された場はストーリのコメント欄じゃないです。メタモデです。
つぎに/.Jは公平性をうたった責任のあるニュースサイトではないです。どちらかというと虚構新聞です。
そしてこのトピックはあと5秒で(スコア:-2, オフトピック)に沈められます。
CSRF脆弱性があったということは…… (スコア:2)
Webサービスが他に何かしら致命的な脆弱性をかかえている可能性は高いよなー。
今までアメブロの方もCSRF脆弱性あったのにやられていなかった
ということは、そうでないのかもしれないけど。
Re:CSRF脆弱性があったということは…… (スコア:1)
例えばこれ [ameblo.jp]とか?>脆弱性
ここは自由の殿堂だ。床につばを吐こうが猫を海賊呼ばわりしようが自由だ。- A.バートラム・チャンドラー 銀河辺境シリーズより
これMobileSafariからアクセスできないなう (スコア:2)
アメーバなうスタッフさんの投稿したなう Amebaなう(アメーバなう) [ameba.jp]なう
エラーログ貼るなう [srad.jp]
# 表記"なう"の処理失敗率が脳内で上がってるなう
はまちやブログ (スコア:1)
ぼくはまちちゃん!(アメーバ) [ameblo.jp]
トラックバックの反応が泣けます。
Re: (スコア:0)
> タレこみにリンクがないようなので。
下手にリンクしたら何踏まされるかわかったもんじゃないからでは?
Re:だってだって (スコア:1)
>転送・再掲載を切実にお願いしてる段階で既にチェーンメールの仲間入り...(強調や赤字とかもうね)
「人間的なセキュリティ」の面での、皮肉的何かなんじゃないんですかね、それ。
そして、引っかかってる人が居るというのが現実。
ぐったりんぐ
東原さんが使ってる (スコア:0)
Re: (スコア:0)
東原さんはもう、「私は使いません」サービスを販売できるレベルだと思うw
Re:東原さんが使ってる (スコア:1)
「私は使いません」サービスのリストを作ったた時点で終了すると思う。
競馬の時のように。
サイバーエージェントFXで… (スコア:0)
俺が損失だしまくっているのも、CSRFのせいか~!(違います
#サイバーエージェントって、どっかで聞いたことあるな~と思いつつ、申し込みました。
#じゃついでに、Amebaブログでも始めますかw
こういう愉快犯って取締れないの? (スコア:0)
良く知られている攻撃に対する脆弱性が放置されているからって
それを攻撃してイタズラ行為を行なっていいってもんじゃないと思うんだけど
こういう非常識な愉快犯を取り締まることってできないのかな
利用規約をうまく設定すればサービスから排除することはできると思うけど
それだけじゃこういう行為を抑止するには不十分だよね
Re:こういう愉快犯って取締れないの? (スコア:1, すばらしい洞察)
愉快犯を排除したところで、本物の犯罪者は防げませんよ
Re: (スコア:0)
> 愉快犯を排除したところで、本物の犯罪者は防げませんよ
本物の犯罪者なら現行の法律でも取締れると思うんだよね(防止にはならないけど)
愉快犯ならやりたい放題が許されるって状態をどうにかできないのかな
Re:こういう愉快犯って取締れないの? (スコア:1, 参考になる)
高木センセイによると、
ハマチをちゃんとテリヤキにするのは難しい [takagi-hiromitsu.jp]
だそうですよ。
刑法第161条の2の電磁的記録不正作出及び供用罪にあたるんじゃないかとか。
Amazon.co.jpのCSRFで個人情報をメールで盗み出したのとかはアウトだよね。
Re: (スコア:0)
刑法第161条の2が適用できるにせよ
不正アクセス禁止法で取り締まれないというのは法の欠陥だね
今回のように面白半分で攻撃するような輩を抑止するには
法の網の目を細かくして攻撃の試行に対する刑罰を重くする必要があると思うね
Re: (スコア:0)
Re:こういう愉快犯って取締れないの? (スコア:1)
最近の折田先生はフルスクラッチだから、
罪に問うのはむずかしいんじゃないですかね。
ただ、一時的にものを置いているだけで、
勝手に撤去もされるわけだし。
民事は言わずもがなだし。
Re: (スコア:0)
「非常識」とかはどうでもいいな。
利用規約か法律で十分。NGなら当事者が訴えるなりすりゃ良い。
Re: (スコア:0)
出来ますよ。
ちゃんと当事者が告訴状を出せば警察としては動かざるを得ません。
ま、被害とコストの板ばさみでしょうか。
日本では懲罰的損害賠償が認められていないので、実被害額がキッチリと出ない
物に付いては訴えるところからしてハードルが高めですが。
Re: (スコア:0)
http://www.nurs.or.jp/~ogochan/essay/archives/2156 [nurs.or.jp]
Re: (スコア:0)
「普通に注意しても無視されるから攻撃するのが正当」などというとんでもない思想だね
「窓が開いてたら部屋を荒らして気付かせてあげる」とかそういう感じ?
Re: (スコア:0)
>>「窓が開いてたら部屋を荒らして気付かせてあげる」とかそういう感じ?
違う。
脆弱性を放置しておくことは、それを知らない利用者が不利益や被害を被る可能性がある。
窓が開けていてイタズラされるのが自分の家なら自業自得だが、マンションの管理人がそんな危機意識じゃ困るってことだよ。
Re: (スコア:0)
民家荒らすのは犯罪だけどマンションなら正義?
ありえないですね
Re: (スコア:0)
>>正義?
事実はまちやは被害が出る前にそれを食い止める役割を果たしたわけだから、善悪でいえば善でしょう
Re: (スコア:0)
その被害とはどんな被害ですか?
その被害は既にハマチヤが出したのでは?
Re:こういう愉快犯って取締れないの? (スコア:1, すばらしい洞察)
「首相官邸のブログ」を例に上げた上で「公式チャネルからデマを流す」
とかきっちり書いてあるのが目に入らなかったと見える。
悪くてもアメーバの関連会社が潰れる程度のジョークで済んだワケでしょ、これは。
最悪の事態が利用者に無差別に降りかかる事を考えれば、関連会社の責任の範囲内で事が済むってだけで大助かりじゃないか。
Re: (スコア:0)
被害を受けるのが間抜けな運営だけならいいけどね
多くのユーザが被害を受ける事態を避けるために、間抜けな運営をぶん殴るのを悪いとは断言できないなあ