攻撃を受けたWebサイト、管理者に通知しても2割は改善されない 19
ストーリー by hylom
DNSから消しさりたい 部門より
DNSから消しさりたい 部門より
年々Webサイトに対する改ざんなどの攻撃行為は増えているが、JPCERTによると、今年4月以降に見つかった改ざん事案4000件以上のうち、その2割りは改ざんが明るみになってサイト管理者に通知が行われた後も改善がされていないという(読売新聞)。
その理由としては、運営者の知識不足や関係者の連携がうまくいっていないなどが挙げられており、修正されても再度改ざんされる例も少なくないようだ。
報告経験あり (スコア:4, 興味深い)
ホスティング系でセットになっているCMSを使ってサイトを運用しているだけな場合、デザインはお金を払ってWeb制作会社に頼んではいても、セキュリティは全く考えていないというところが大多数です。
Web制作会社はセキュリティなんて考えていないのに、そこまでやっていると期待しているクライアントが多すぎ。
特に、今年大事故を起こした格安ホスティング系列のサービス利用者に多し。
今まで発見した20件くらいの改竄サイトに、改竄されていますよと連絡を送ってますが、完全に善意によるもので、お金をもらうわけではないのでメールで一報程度です。
今まで反応があってお礼のお返事が来たのが2件だけですね。
中には改竄発動がランダムになっていて、改竄が確認しにくいものもあってか、改竄されっぱなしのところもあります。
教えてあげても、「改竄されていないじゃん」ってことで無視されるのでしょう。
善意で教えているだけなので、直し方までは伝えませんが、「使っているホスティング会社に連絡して直してもらったほうが良い」とアドバイスするのが精いっぱいですが、肝心なホスティング会社のほうも直したらり防御できるスキルが無いというケースも少なくないです。
親切心で教えてあげる次の段階として、「いくら払ってくれれば調べて直してあげますよ」というべきかとも思いますけど、たぶんそれをやると疑われて警察に犯人として通報されちゃうでしょうからやってません。
何かいい方法は無いですかねえ。
Re:報告経験あり (スコア:2)
「いい方法」というのが、発見者が手間をあまり掛けることなくサイト管理者が修正する気になってくれる方法という意味なら、残念ながらないでしょうね。所詮、改竄されているサイトを見付けて連絡しただけなのだから、役に立てばラッキーくらいに思うしかないのでは。
Re:報告経験あり (スコア:1)
管理者に言ってもダメな場合,被害を最も防ぐにはやはり,
事態をWebか何かで公開するしかないですよね…
でも,アクセスをやめさせるために公開したら,某ブラック教育会社事件みたいになりそうですし,
報酬もないのにそんなリスク取りたくないですよね…
Re: (スコア:0)
JPCERT/CCにも連絡するとか、whoisでそのドメインをホスティングしているxSPの abuse@example.ad.jp に伝えるとか、
IPA関係でも連絡先なかったっけ。
先日カスペルスキーがプレス向けセミナーで……… (スコア:3, 興味深い)
多数の実改ざんサイトと微妙に手口も紹介していました。
※実サイトでまくりなので「写真撮影一部不可」と言いつつ、現実にはほとんど不可ww
で、カスペルスキーの業務としてやっているわけではないと前置きして、そのサイトに告知はしているけど、返信が来る例はほとんどないとか、いったん直しても元通りとかヒドイ話を聞かされました。
改善したと思っているパターン (スコア:2)
ウィルス対策ソフトをいれたから大丈夫
バージョンアップしたから大丈夫
パソコンの大先生に言ったから大丈夫
いろいろとありそうだ
Re: (スコア:0)
改竄された部分を直したから大丈夫
サーバを初期化再インストールし(て同じものを入れ)たから大丈夫
パスワード変えたから大丈夫
もっとありそうだ
Re:改善したと思っているパターン (スコア:1)
担当者に言っておきましたから大丈夫
あなたが何を言っているのか私にはわからないから大丈夫
さらにありそうだ
Re: (スコア:0)
うちでは「調査しましたが問題ありません」とだけ返ってきたことが。
問題が起きてるから報告と全社への通知をお願いしたのに。
サイト管理者いるの? (スコア:2)
> サイト管理者に通知が行われた後も改善がされていないという
知り合いの会社なんか、誰が管理しているのかわからないと言っていたけど実は誰も管理していなかった。
個人絡みだと更新日付が何年も前のままなんてざらだし・・・
こうなると通知をしても見る人いないんじゃないかな?(E-mailによる通知だとかってに解釈しちゃいますが)
# こういった会社なり個人が二割ぐらいなのかと思ったら、なんとなくそうかなと思えた。
よくわからないし、お金かかるもん (スコア:2)
知り合いならただですぐに対策してくれそうな内容でも、調査~対策~検証までちゃんとした会社に外注するとウン十万かかりますよね。
現実的に、中堅・中小じゃ すぐに対策予算を確保するのは難しいのではないでしょうか。
アブラハム・グループ・ホールディングスてw (スコア:1)
リンク先の紹介事例、「いつかはゆかし」の会社でしょ?
事業内容がアレなんだから、意図的に何か仕込んでても不思議ではないのではw
関連記事追加 (スコア:1)
XSSを報告したためにインターネット接続を止められるという事案発生 [srad.jp]
通報を受けて無視するどころか、通報者に濡れ衣被せてISP経由で嫌がらせするという酷い事例。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
8割も改善されるとか大したもんだ (スコア:0)
「あなたのPCが危険にさらされていますバナー」とか
「あなたの家がシロアリにやられてます」とかの
改善率に比べると抜群の高さ。
Re: (スコア:0)
しかも2割の内なんらかの対応したサイトもあるわけで。
一番の原因が抜けてる (スコア:0)
>運営者の知識不足や関係者の連携がうまくいっていないなどが挙げられており
いやぁ・・・目先のお金でしょ?
今まで大丈夫だった。何かあったら社内の連携不足ってことで謝罪すればいい。
昔は雀の涙程度でもお詫びに金券が普通だったのにいつの間にか謝罪だけが普通だし
(そして企業の謝罪はゴメンの言葉だけで謝ればいいんだろ?感があふれてる)
Re: (スコア:0)
やっとWebサイトのデザイナーにお金を払うようになったくらいで、肝心なセキュリティにはお金を払わないんだよなー。
JPCERT通してるならまだマシだろうけど (スコア:0)
JPCERT通してるような案件ならまだマシだろうけど、こういうの [togetter.com]見てると、通報する側もいろいろ問題がある事例とか結構ありそうだな、って思う
#「まとめ」の内容も大概酷いが、コメント欄も酷い
あるいはイタズラ半分に攻撃まがいを繰り返してから上から目線で「脆弱性見つけてやったぜ」とか言われると、言われた側も対処し辛いとかあるんじゃないかな、どこまで本気にしていいのかの検証から必要だから
Re:JPCERT通してるならまだマシだろうけど (スコア:2)
当然、指摘された内容を検証することは必要です。指摘が上から目線だろうがそうでなかろうが。