CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
CGMでの情報漏えいについて考えてみたいと思う。とは言っても、試験的な議論なので、いろいろ問題があるのはご容赦願いたい(筆者の書く物はだいたいが、ご容赦願いたい物ばかりであるが……)。
特集
特集
そもそもCGMって、根本的に、サービスとして、セキュリティ上、いろいろ問題があるじゃないかと思うのである。
●ところで
FC2というブログサービスで知られた大手のサイトで17日、18日と異常が発生している。多数のブログで記事中に勝手に「アダルト・ギャンブルのサンプル」からはじめる数行のメッセージが表示されているのである。どうやら、これは無料ブログサービスを提供しているFC2のバグらしい。ある条件を満たすブログに対して勝手に、FC2側からこのメッセージが表示されるようになっていたのである。もちろん、ブログを開設している利用者の側で、この現象を回避することはできない。
ためしにこの文章の末尾の「サンプルです。さんぷるです。」という文字列をgoogleで検索してみた。
http://www.google.co.jp/search?q=%22%E3%82%B5%E3%83%B3%E3%83%97%E3%83%AB%E3%81%A7%E3%81%99%E3%80%82%E3%81%95%E3%82%93%E3%81%B7%E3%82%8B%E3%81%A7%E3%81%99%E3%80%82%22&hl=ja&lr=&filter=0
googleもこれまた「"サンプルです。さんぷるです。" の検索結果 約 0 件中 1 - 10 件目」というよくわからない結果を返してきた。ちなみに、検索結果のページは9ページあるようだったが、実際には58件しかなかった。某有名掲示板でも話題になっているようだ。
原因はわからないし、現象は継続している(1月20日の段階で解消された)。
筆者はふと思った。これは単なるテキストだからよかったものの、マルウェアを組み込むスクリプトでも仕込まれたら大騒ぎだな。
そこで気がついた。いや、でも、こんな手の込んだことしないでも、簡単に多数のブログでマルウェアの埋め込みができるじゃないか、アクセスを集めるツールもある。
●適切な利用の不適切な結果
情報漏えいについて考えると流出発生箇所はおおまか下記の4つになると思う。
・サーバからの流出
インターネット上にあるWebサーバあるいはそのバックにあるデータベースからの情報流出。
・ネットワーク経路での流出
通信経路での流出。
・クライアントPCからの流出
クライアントPC上にあるデータの流出。個人のパソコンに個人情報を蓄積していたりした場合に起こる。
・媒体からの流出
USBメモリなどからの流出。
・その他
人的な要因とか。
世間では、クライアントPC上の個人情報がP2Pソフト経由で流出したり、USBメモリを紛失して流出したりと、頻度高く情報流出の報道がされている。
筆者が個人的に高い確率で遭遇するのは…
【執筆:Prisoner Langley】
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》