パスワードを忘れた? アカウント作成
15256132 story
インターネット

小規模ウェブサイトの約1割はノーガード戦法 27

ストーリー by nagazou
金にならないから 部門より
情報処理推進機構(IPA)は30日、8年ぶりに「企業ウェブサイトのための脆弱性対応ガイド」を改訂した。この改訂はIPAが実施した従業員50人以下の小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえたものだという(小規模ウェブサイト運営者の脆弱性対策に関する調査報告書[PDF]Security NEXT)。

こうした運営者に脆弱性対策の状況について聞いたところ、「構築時も運用時も脆弱性対策をしている」とした回答者は48.8%。「運用時にのみ脆弱性対策している」とした回答は22.9%であった。「一切脆弱性対策をしていない」とした回答者は全体の9.6%ほどいたとしている。脆弱性対策を行わない理由としては、「個人情報を扱っていないから」(51.8%)、「クレジットカード等の決済を行っていないから」(38.6%)、「サイトが著名でないので、被害に遭うとは考えにくいから」(27.7%)とする回答が上位を占めたとしている。
  • だけど2004年からスラドを中心に使われ始めたネットスラングだということを知らない人も多そう

    サイバー・ノーガード戦法 - Wikipedia
    https://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%... [wikipedia.org]

    ここに返信
    • by Anonymous Coward

      リンク先のページにも書いてあるとおり、ノーガード戦法は少なくともあしたのジョー
      (本文にあるのか読者が言ったのかはしらない)まで遡るので、「サイバー」をつけた
      程度で「スラドを中心に使われ始めた」と言っちゃうのはどうかと。

      どこぞの国の起源主張と同レベル。

      • by Anonymous Coward

        「中心に使われ始めた」を「起源主張」と変換するあなたの脳みそがイカれてるだけでは?

    • by Anonymous Coward

      関連項目に

      スラッシュドット [wikipedia.org](日本コミュニティでしばしばお粗末なセキュリティ体制を揶揄する意図で同語が引用される)

      とあるのが味わい深いな。
      でもそれはあくまでコメント欄であって、記事タイトルでの言及はこれまで無かったったのか。

  • by Anonymous Coward on 2021年04月12日 13時50分 (#4011467)

    ログイン機能などの動的コンテンツがない。
    DBなど利用していない(閲覧者の入力データを使ったDB操作がない)。
    静的htmlファイルのみで構成されてる。
    (共有)レンタルサーバーで公開している(システムの脆弱性対応はレンタルサーバー会社がやってくれる)。

    こんな小規模サイトであればまずノーガードで問題ないし、たいていがそんなでしょ。企業情報を載せる程度にしか使ってない。
    CMS使ってたり自社でサーバー運用してたら一気に危険度上がるけど。

    #ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 https://www.ipa.go.jp/files/000070296.xlsx [ipa.go.jp]  ←こういうのやめて。せめてpdfまでにしてよ

    ここに返信
    • by Anonymous Coward

      > (共有)レンタルサーバーで公開している(システムの脆弱性対応はレンタルサーバー会社がやってくれる)。
      この時点で「ノーガード」ではないですね。
      動的コンテンツなしでDBなしで共有レンタルサーバーの場合はそもそもすべき「対策」がないかと。

      javascriptでURL中の文字列やdocument.cookieの文字列をdocument.writeしてXSS脆弱性、
      みたいなページが入り込まないとは言い切れないけれども。

      • by Anonymous Coward

        レンタルサーバーかどうかはアンケートに盛り込んでほしかったな

        • by Anonymous Coward

          小規模サイトで共用レンタルサーバ以上を求めることはまずないので、大体がそうでしょうなあ。特に静的サイトだと設問への返答も困りますよね。

    • by Anonymous Coward

      全システムを光ROMドライブ上に置いても、メモリ内はクラッキングされて、足場になる可能性はあるからなぁ。

    • by Anonymous Coward

      これってOSやミドルウェア含めての話じゃないの?
      静的コンテンツのみでも対応必要だと思うよ

      ※レンタルサーバは除く

    • 管理担当者が交代したらパスワードを変更するとか、なんらかの対策は必要だろ

      • by Anonymous Coward

        もちろん変更してますよ、四半期に一度、例の規則通りに
        え?ほらいつものやつだよ、年に四半期つけてさあ

  • by Anonymous Coward on 2021年04月12日 13時09分 (#4011424)

    遥か遠くに消えてしまったのだろうか
    勝手に半中国webサイトを立ち上げてしまう
    code red2なんてワームもはびこっていたような

    ここに返信
  • 存在しない機能に脆弱性は発生しない -- d.j.b.

    ここに返信
    • by Anonymous Coward

      アカウントハックがあるんじゃない?

  • by Anonymous Coward on 2021年04月12日 13時51分 (#4011468)

    問い合わせはメールか電話で、入力フォームなしなら。
    ワードプレス使ったプラグイン更新してない会社のサイトは、いつかキーワードてんこ盛りのサイトに改竄される運命だし。

    ここに返信
  • by Anonymous Coward on 2021年04月12日 13時53分 (#4011472)

    例えば攻撃を中国から受けた場合は訴訟で対抗できない。
    インターネット上の犯罪は国内案件しかどうにもならないという認識にアップデートせねばならない。
    あと通販サイト系は改竄検知システム導入必須。クラックされてカード情報吸われて流出したという問題が何度も発生してる。

    ここに返信
    • by Anonymous Coward

      ノーガード戦法は静的HTMLを返すだけなので攻撃対象が存在しないのが基本だと思ってた。

      • by Anonymous Coward

        そもそもWebサーバー自体に脆弱性があったりしてだな

        • by Anonymous Coward

          静的HTMLを返すことしかしないのに多機能なwebサーバにするからでしょ。
          httpのgetリクエストしか受け付けない、パラメータとかも一切無視するwebサーバに対してできることは限られてる。

    • by Anonymous Coward

      ガードしても中国攻撃に訴訟できるんですかね?

  • by Anonymous Coward on 2021年04月12日 14時07分 (#4011489)

    本来は
    セキュリティメンテナンスを施して
    損失を未然に防ぐことは
    同等の収益を上げることに適う評価であることが
    世界的に正しい評価となります

    ですが
    日本に於けるセキュリティに対する指針は
    何も起こっていないのにコストは掛けられない
    です

    つまり
    予算がつかないセキュリティメンテナンスを施して
    アクセス停止やパフォーマンス降下を起こせば
    マイナス評価となります
    当然システムの二重化で対応なんて夢のまた夢

    ノーガードを強いているのは
    技術者ではなく
    経営者である
    ということを前提にしないと
    なんの解決にもならない誹謗中傷でしかありません

    権限は認めない、責任だけ取れ、
    というのが
    封建制の抜けない
    よくデキた社会主義国の有り様であり
    この体たらくということです

    ここに返信
    • by Anonymous Coward

      封建制ってどういうものかご存じ?
      https://ja.wikipedia.org/wiki/%E5%B0%81%E5%BB%BA%E5%88%B6 [wikipedia.org]

      • by Anonymous Coward

        端的に言って ☓「封建制」 ○「封建思想」 ということでしょう。

        封建思想なら戦時下の染み(滅私奉公)が落ちていないということでしょう。
        まあ、多少の用語の誤用は、誰しもあることですから、・・・ね。

        • by Anonymous Coward

          > まあ、多少の用語の誤用は、誰しもあることですから、・・・ね。

          それは言い訳に過ぎない

    • by Anonymous Coward

      言ってることは、正しいけどさ、
      経営資源も潤沢にあるわけじゃないよ。
      そして、解決策が無く、苦難の道を歩むしか無いことがあるのが世の中ですよ。(ぴえん)

      竹槍で機関銃と戦おうとしていたころと、大して進歩していないって思うところ。それもこれも、資源が無いことに尽きる。

      あと、セキュリティ対策よりも「防犯対策」って言う方が、おじいちゃんには通じるよ。

    • by Anonymous Coward

      文章の内容以前に、句読点がなくて改行が無駄に多くて読みにくい。
      一体どういう環境で入力してるのだろう。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...