パスワードを忘れた? アカウント作成
10332681 story
セキュリティ

攻撃を受けたWebサイト、管理者に通知しても2割は改善されない 19

ストーリー by hylom
DNSから消しさりたい 部門より

年々Webサイトに対する改ざんなどの攻撃行為は増えているが、JPCERTによると、今年4月以降に見つかった改ざん事案4000件以上のうち、その2割りは改ざんが明るみになってサイト管理者に通知が行われた後も改善がされていないという(読売新聞)。

その理由としては、運営者の知識不足や関係者の連携がうまくいっていないなどが挙げられており、修正されても再度改ざんされる例も少なくないようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年12月10日 9時46分 (#2509207)

    ホスティング系でセットになっているCMSを使ってサイトを運用しているだけな場合、デザインはお金を払ってWeb制作会社に頼んではいても、セキュリティは全く考えていないというところが大多数です。

    Web制作会社はセキュリティなんて考えていないのに、そこまでやっていると期待しているクライアントが多すぎ。
    特に、今年大事故を起こした格安ホスティング系列のサービス利用者に多し。

    今まで発見した20件くらいの改竄サイトに、改竄されていますよと連絡を送ってますが、完全に善意によるもので、お金をもらうわけではないのでメールで一報程度です。
    今まで反応があってお礼のお返事が来たのが2件だけですね。

    中には改竄発動がランダムになっていて、改竄が確認しにくいものもあってか、改竄されっぱなしのところもあります。
    教えてあげても、「改竄されていないじゃん」ってことで無視されるのでしょう。

    善意で教えているだけなので、直し方までは伝えませんが、「使っているホスティング会社に連絡して直してもらったほうが良い」とアドバイスするのが精いっぱいですが、肝心なホスティング会社のほうも直したらり防御できるスキルが無いというケースも少なくないです。

    親切心で教えてあげる次の段階として、「いくら払ってくれれば調べて直してあげますよ」というべきかとも思いますけど、たぶんそれをやると疑われて警察に犯人として通報されちゃうでしょうからやってません。

    何かいい方法は無いですかねえ。

    • 何かいい方法は無いですかねえ。

      「いい方法」というのが、発見者が手間をあまり掛けることなくサイト管理者が修正する気になってくれる方法という意味なら、残念ながらないでしょうね。所詮、改竄されているサイトを見付けて連絡しただけなのだから、役に立てばラッキーくらいに思うしかないのでは。

      親コメント
    • 管理者に言ってもダメな場合,被害を最も防ぐにはやはり,
      事態をWebか何かで公開するしかないですよね…
      でも,アクセスをやめさせるために公開したら,某ブラック教育会社事件みたいになりそうですし,
      報酬もないのにそんなリスク取りたくないですよね…

      親コメント
    • by Anonymous Coward

      JPCERT/CCにも連絡するとか、whoisでそのドメインをホスティングしているxSPの abuse@example.ad.jp に伝えるとか、
      IPA関係でも連絡先なかったっけ。

  • by Anonymous Coward on 2013年12月10日 13時30分 (#2509292)

    多数の実改ざんサイトと微妙に手口も紹介していました。
    ※実サイトでまくりなので「写真撮影一部不可」と言いつつ、現実にはほとんど不可ww

    で、カスペルスキーの業務としてやっているわけではないと前置きして、そのサイトに告知はしているけど、返信が来る例はほとんどないとか、いったん直しても元通りとかヒドイ話を聞かされました。

  • ウィルス対策ソフトをいれたから大丈夫
    バージョンアップしたから大丈夫
    パソコンの大先生に言ったから大丈夫

    いろいろとありそうだ

    • by Anonymous Coward

      改竄された部分を直したから大丈夫
      サーバを初期化再インストールし(て同じものを入れ)たから大丈夫
      パスワード変えたから大丈夫

      もっとありそうだ

    • by Anonymous Coward

      うちでは「調査しましたが問題ありません」とだけ返ってきたことが。
      問題が起きてるから報告と全社への通知をお願いしたのに。

  • by wine (46423) on 2013年12月10日 16時06分 (#2509410)

    > サイト管理者に通知が行われた後も改善がされていないという

    知り合いの会社なんか、誰が管理しているのかわからないと言っていたけど実は誰も管理していなかった。
    個人絡みだと更新日付が何年も前のままなんてざらだし・・・
    こうなると通知をしても見る人いないんじゃないかな?(E-mailによる通知だとかってに解釈しちゃいますが)

    # こういった会社なり個人が二割ぐらいなのかと思ったら、なんとなくそうかなと思えた。

  • 脆弱性を通報されても一般企業のWEB管理者に治せるスキルがあるはずもなく、外注することになります。
    知り合いならただですぐに対策してくれそうな内容でも、調査~対策~検証までちゃんとした会社に外注するとウン十万かかりますよね。
    現実的に、中堅・中小じゃ すぐに対策予算を確保するのは難しいのではないでしょうか。
  • by Anonymous Coward on 2013年12月10日 8時39分 (#2509163)

    リンク先の紹介事例、「いつかはゆかし」の会社でしょ?
    事業内容がアレなんだから、意図的に何か仕込んでても不思議ではないのではw

  • by akiraani (24305) on 2013年12月10日 18時29分 (#2509512) 日記

    XSSを報告したためにインターネット接続を止められるという事案発生 [srad.jp]

    通報を受けて無視するどころか、通報者に濡れ衣被せてISP経由で嫌がらせするという酷い事例。

  • by Anonymous Coward on 2013年12月10日 10時09分 (#2509225)

    「あなたのPCが危険にさらされていますバナー」とか
    「あなたの家がシロアリにやられてます」とかの
    改善率に比べると抜群の高さ。

    • by Anonymous Coward

      しかも2割の内なんらかの対応したサイトもあるわけで。

  • by Anonymous Coward on 2013年12月10日 12時58分 (#2509276)

    >運営者の知識不足や関係者の連携がうまくいっていないなどが挙げられており

    いやぁ・・・目先のお金でしょ?
    今まで大丈夫だった。何かあったら社内の連携不足ってことで謝罪すればいい。
    昔は雀の涙程度でもお詫びに金券が普通だったのにいつの間にか謝罪だけが普通だし
    (そして企業の謝罪はゴメンの言葉だけで謝ればいいんだろ?感があふれてる)

    • by Anonymous Coward

      やっとWebサイトのデザイナーにお金を払うようになったくらいで、肝心なセキュリティにはお金を払わないんだよなー。

  • by Anonymous Coward on 2013年12月10日 18時32分 (#2509513)

    JPCERT通してるような案件ならまだマシだろうけど、こういうの [togetter.com]見てると、通報する側もいろいろ問題がある事例とか結構ありそうだな、って思う
    #「まとめ」の内容も大概酷いが、コメント欄も酷い

    あるいはイタズラ半分に攻撃まがいを繰り返してから上から目線で「脆弱性見つけてやったぜ」とか言われると、言われた側も対処し辛いとかあるんじゃないかな、どこまで本気にしていいのかの検証から必要だから

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...