スペースモラトリアムノカミサマ

日記+コメント付きブックマーク+他人にも役に立つかもしれない情報など。
(更新情報: RSS(ツッコミ付き) / RSS(ツッコミ抜き) / LIRS)

最近の TrackBack:
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|06|07|08|09|10|
2011|01|02|03|07|10|11|
2012|02|03|04|07|08|09|
2013|01|06|07|
2014|02|08|09|11|
2015|09|
2016|01|05|

2004/02/05

_ [システム運用] ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕@INTERNET Watch

情報漏洩に至った CGI の脆弱性がどのようなものであったか調べてみた。具体的な仕組みが正確にわかる資料は見つからなかったが、各サイトの記述から大まかな仕組みを推測できた。

まず ITmedia によると、

質問フォームで利用していたCGIプログラムの作りが安易だったため、ある程度CGIに関する知識を持った人間ならば、特定の文字列を入力することで、先にフォームから入力された相談内容のほか、相談者の氏名、住所、電話番号といったセンシティブな個人情報を入手できる状態となっていた。

[ACCS、個人情報流出事件を総括した報告書を公開@ITmediaより引用]

また slashdot によると、

エラー用のページ指定がINPUT要素に存在してあり、そのページ先を変更することによりcgiのソースを引っ張ってこれるようになっていた

[ACCSの著作権・プライバシー相談室から個人情報流出@/.Jより引用]

以上から推測するに、CGI に特定のパラメータを引き渡すことによって、サーバ内の任意のファイルの内容を表示できるような状態になっており、また、そのパラメータが何で、どのような内容を引き渡せば良いかは、当該のページの HTML ソースを見ればすぐにわかるようになっていたと推測される。

今回の容疑者は、この仕組みを利用し、

  1. まず CGI 自身のソースプログラムをダウンロード
  2. ソースプログラムに記述されているデータファイルをダウンロード

したものと思われる。(簡単な例が slashdot にもあった)

今回の脆弱性とやらは、どうもサーバ上のファイル名を指定するようなパラメータがあり、それをノーチェックで通すような仕組みになっていたということのようだ。

なお、不正アクセス行為の禁止等に関する法律では、第3条(不正アクセス行為の禁止)にて、ID とパスワードで保護された領域に、他人の ID を利用してアクセスしたり、その他の迂回方法を用いてアクセスすることを禁止しているが、今回の件は、「家に鍵はかかっているが、大事な通帳が実は鍵のかかっていないポストに置いてあり、しかも「通帳はポストの中」と玄関の隅に書いてある家」というレベルの初歩的で杜撰な脆弱性であり、このような物を不正アクセスと見なせるのか疑問。第4条(不正アクセス行為を助長する行為の禁止)に該当するかとも思ったが、第4条では脆弱性の突き方を他人に教えることは禁止してないので非該当のようだ。寧ろ、第5条(アクセス管理者による防御措置)を適切に行っていない管理者の方もどうかと思われ…。

関連リンク

本日のツッコミ(全6件) [ツッコミを入れる]
_ (2004/02/06 00:10)

不正アク禁法の適用は乱暴だと思うけど、まぁでもofficeタソは仕方ないって感じかなぁ。何かの黒衣タソと同じで、挑発的行動がまずいぽ。ACCSから個人情報を抜いて公開するためにやったとみなされれば、どんなにサーバ側の防御措置が甘かったからといっても、悪者になっちゃいますからね…!

_ p (2004/02/06 02:15)

あ、「ACCSに連絡したけど改善が見られないから発表した」のかと勘違いしてたけど、よく見るとそうじゃなくて、officeタソは事前連絡なしにいきなり公表したんですね。そっちの方は確かにまずいでつね…

_ (2004/02/06 02:29)

問題のページを管理していた会社<br>http://www.josephandleon.co.jp/<br>そして、この件に関しての社長のふざけた声明文。<br>http://www.josephandleon.co.jp/seimei.html<br>読んでみると、ツッコミどころ満載です。

_ p (2004/02/06 02:56)

どもです。…トップページ右下の「きまぐれコラム」の方が楽しめるカモ…!<br>『ASKACCS「著作権・プライバシー相談室」を閉鎖に追い込んだ憎っくきサイバーテロリスト、「officeこと、河合一穂」』<br>『だいたい「脆弱性を指摘するため」なんて、犯行の動機としてあまりにも脆弱です。そんなことのために一線を越える人なんているわけがありません。きっと、他にもっと切実な動機があったんだと思います。』

_ りそ (2004/02/06 10:32)

むー。参考になったぽ。ありが㌧。<br>ACCSがDQNだったんじゃなくて鯖管がDQNだったんだね…。

_ p (2004/02/06 18:56)

コラムと声明が消えてる…攻撃メールでも殺到したんですかね?