2009年12月07日(月) << 前の日記 | 次の日記 >>
これまでの12月07日 編集

■1「首相官邸ブログ」と称する何か[セキュリティ][政治]次の記事 >> このエントリーをはてなブックマークに追加

1日の記事[http://www.nantoka.com/~kei/diary/?20091201S1] へのコメントによって、「首相官邸ブログ」と称するページが公開されていることを知った。当該サイトは、一般に提供されているブログサービス上に公開されているが、鳩山首相の写真や 五七桐紋[http://ja.wikipedia.org/wiki/%E6%A1%90%E7%B4%8B] が配されており、ドメイン名を気にしなければ、いかにも日本政府が公式に提供しているページに見える。
「首相官邸ブログ」と称するページ
内容はと言うと、 鳩山内閣のメールマガジン[http://www.mmz.kantei.go.jp/jp/m-magazine/index.html] を引用したような記事が並んでおり、メールマガジン登録のバナーも貼り付けられている。
いくら 偽メール事件[http://ja.wikipedia.org/wiki/%E5%A0%80%E6%B1%9F%E3%83%A1%E3%83%BC%E3%83%AB%E5%95%8F%E9%A1%8C] で名をはせた民主党政権とはいえ、政治家個人のページではなく、首相官邸という政府機関の名を冠したページを、特定の民間企業が定めた 利用規約[http://helps.ameba.jp/rules/post_104.html] の下に提供されるページに置くわけがないから、恐らく、広告収入を目的としたspamサイトの一種ではなかろうか *1 。 その様な懸念であえてリンクをはらないでいるが、検索エンジンでもかなり上位に表示されるようだ。
今のところ、公式メールマガジンをコンテンツとして、アクセスを集めているだけであろうし、本物の政府官邸サイトにあたって、このページが信頼できるものかどうかを確認できるような利用者は偽物と判断できるから、実害は無いかもしれない。
しかしながら、この様な偽サイトが放置されれば、インターネットの情報は迂闊に信用できないというネガティブな実績が作られることになる。 インターネットは、偽サイトを偽サイトと見分ける能力がある人だけのものではないはずだ。
この様なページこそ、 プロバイダ責任(制限)法[http://ja.wikipedia.org/wiki/%E7%89%B9%E5%AE%9A%E9%9B%BB%E6%B0%97%E9%80%9A%E4%BF%A1%E5%BD%B9%E5%8B%99%E6%8F%90%E4%BE%9B%E8%80%85%E3%81%AE%E6%90%8D%E5%AE%B3%E8%B3%A0%E5%84%9F%E8%B2%AC%E4%BB%BB%E3%81%AE%E5%88%B6%E9%99%90%E5%8F%8A%E3%81%B3%E7%99%BA%E4%BF%A1%E8%80%85%E6%83%85%E5%A0%B1%E3%81%AE%E9%96%8B%E7%A4%BA%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%B3%95%E5%BE%8B] を活用して取り締まれないものか。
*1: ページ上には、ブログ運営サイトの広告が貼り付けられている。

この記事に頂いたコメント

Re: 「首相官邸ブログ」と称する何か by よー    2009/12/08 03:27
取り締まるなら軽犯罪法(官名詐称)や著作権法でしょう。 責任制限法は責任を追及す...

■ 関連記事

■2 JVN#79762947 EC-CUBE における情報漏えいの脆弱性[http://jvn.jp/jp/JVN79762947/index.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

緊急です。
顧客情報が、一般ユーザーのブラウザ上から閲覧できる、極めて緊急度の高い深刻な脆弱性です。
ということで、修正コードが公開されています。
ざっと見てみたのですが、認証ページを経ずに直接、閲覧ページにリクエストをすると認証無しに結果が得られてしまうというパターンなのでしょうか。検証サイトを立ち上げればはっきりするとは思いますが。
いずれにせよ、無権限ユーザーの管理機能へのアクセスを許してしまうと言うのは大問題ですから、
システム設計
例)管理システムはインターネットからアクセスできない
コード設計
例)管理システムは統一されたベースクラスで権限が確認される
コード実装
例)XSS, SQL Injection対策
レビュー
例)設計レビュー、コードレビュー
等の手段で安全性を確保しようとするもので、今回の脆弱性に関しては、設計段階で配慮するか、レビュー段階で実装者間ででも簡単なレビューを行っていれば発見できていたレベルに見える。
自分が脆弱性の発見に貢献したわけでは無いので大きなことは言えないけれども、探せばもっともっと出てくるような気もするので、もっと注目していかないといけないと感じると同時に、クライアントにすすめるような機会があったら、費用掛けてでもレビューを一緒に勧めるべきだと思った。

■ 関連記事

今日のつぶやき

以上、1 日分です。

指定日の日記を表示

前月 2009年12月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project