【マンスリーレポート2003/12】インシデント事後対応　ベストは該当なし、ワーストはBROBA

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

　2003年12月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2003年12月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは　該当なし

　12月に発生したネットワーク上のインシデントの中には、ベストと見受けられるものがなかったため今回は「該当なし」とします。

>> ワーストは　BROBA（NTTブロードバンドイニシアティブ）

　エヌ・ティ・ティ・ブロードバンドイニシアティブ株式会社（NTT-BB）が運営するブロードバンドサービス「BROBA」。ブロードバンドコンテンツの視聴、最大30名まで同時に参加できる動画チャットや音声チャットサービスなど、ブロードバンドの特性を活かした複数のサービスを展開している。

　また、会員になると無料でホームページスペースや掲示板等が提供され、自らのコミュニティを構築することができる。2003年12月、この掲示板にクロスサイトスクリプティング脆弱性の存在が確認された。

　掲示板の投稿欄にホームページのURLを入力する箇所がある。ここで適切なサニタイジング処理が行われていないため、悪意のスクリプトなどを埋め込むことにより、サイト訪問者に被害を与えることが可能になっていた。

　本件は、外部の第三者から編集部への通報によって明るみになった。外部の第三者は以前に、BROBAサイト内の問い合わせフォームからBROBAへ連絡したが返答がなかったという。これを受けて編集部では検証を行い、同様の問い合わせフォームから脆弱性指摘についての連絡をBROBAへ入れた。数日後に「修正しました」との返答をもらい、もとの通報者へと確認したところ、修正が不十分であったことが判明した。

　BROBA側が行った修正は、入力時に正規表現処理によって回避しようというものであったが、タグなどはサニタイジングされないため、脆弱性が残存した。同時に、チェックをするのが入力時のみであり、表示する際には何らチェックが行われていないため、もとの通報者が書き込んである攻撃コードは、この段階でも有効なままであった（IPAなどでは、表示時にサニタイジングすることを推奨している）。

　編集部から再度BROBAへ指摘を行い、返答がきたのは2003年12月24日。それによると、再調査を実施して2003年12月1日には対応完了したとのことであった。

　クロスサイトスクリプティング（CSS）脆弱性そのものの対処は、さほど難しいことではない。また、情報処理振興事業協会セキュリティセンターが当問題に対して警鐘を鳴らしたのが2001年の10月であり、「既知の脆弱性」であることは明白である。にもかかわらず、現在においてもインターネット上にCSS脆弱性は残存し続けている。

　◇BROBA（NTTブロードバンドイニシアティブ）
http://www.broba.cc

[ Prisoner DAMRAK ]

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec