CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(4)
CGMでの情報漏えいについて考えてみたいと思う。とは言っても、試験的な議論なので、いろいろ問題があるのはご容赦願いたい(筆者の書く物はだいたいが、ご容赦願いたい物ばかりであるが……)。
特集
特集
そもそもCGMって、根本的に、サービスとして、セキュリティ上、いろいろ問題があるじゃないかと思うのである。
本稿では、検索エンジン等を利用してアクセス(適切な利用)したら、通常アクセスされるはずのないページが表示(不適切な結果)されてしまった「招かれざる客」について考える。
今回は余談として、CGMそのものについて考えてみたい。
●余談 CGMに関する基本的な疑問 誰か教えて欲しい
・CGMはポータルサイトのドメインを利用し放題、マルウェア埋め込み放題
筆者は以前からCGMについて、不思議な思いを抱いていた。
例えば、ブログである。ポータルサイトの提供している大規模なブログサービスを考えてみよう。
ほとんどのサービスは、メールアドレスさえあれば、詳細な個人情報を登録することもなく、すぐにブログを開設、運用できる。そのブログには、各種スクリプトやiframeなど使い放題である。当たり前だが、勝手にマルウェアを埋め込むようなページを作って公開することができる。
これは問題じゃないんだろうか?
フリーメールアドレスなど、いくらでも簡単に作ることができる。
同様の問題は掲示板、無料Webサービスなど、さまざまなものでも起こりうる。
さらに付け加えると、ブログへのアクセスを向上させるために、他のブログを閲覧するとポイントがたまるようなツールも存在する。トラフィックエクスチェンジというのがそれである。これを使うと短期間でマルウェアを埋め込んだサイトを多数に閲覧させることができる。
ブログホイホイ
http://hoi2.jp/Entry/36/
Bomber-EX
http://ex.bomcity.com/
TrafficPanic.Com
http://www.trafficpanic.com/
ブログジャンキー
http://bj.fc2.com/
筆者はトラフィックエクスチェンジを利用していて、もろに危険なスクリプトを埋め込むブログに遭遇した。マルウェアを埋め込もうとしてきた。やりたい放題なのである。
やろうと思えば、短期間に大量のマルウェアを仕込んだサイトを作ることができる。
しかも、そのドメインは、ポータルサイトのドメインなのだ。ほとんどのポータルサイトでは、個人情報を登録させるサービスを持っているし、場合によってはクレジットカードや銀行など、よりクリティカルな情報も登録させている。そういうサイトのドメイン上で不当な目的を持って適切な利用方法でページを設置できるのである。
有名サイトに似たドメインを使ったフェイクサイトが問題になることがあるが、ポータルサイト上のCGMを利用すれば堂々とポータルサイトのドメインを利用できる。
なぜ、これが問題にならないのだろう? と筆者は常々、不思議に思っていた。おそらく、マルウェアは日常的に掲載されては、管理者に削除されているのだろが、そういう対処でいいんだろうか?
マルウェアの問題がスルーされている一方で、著作権やコンテンツの内容については、チェックが必要という認識が広まっているらしい。
ネットの有害コンテンツのレイティングやフィルタリングを研究している「レイティング/フィルタリング連絡協議会研究会」は、CGMへの規制についての中間報告書をまとめている。
「青少年の安全なインターネット利用環境の整備を目指して関係者に望まれる取組みについて〜書き込み可能なCGMサイト増加への対応〜(中間とりまとめ)」
http://www.iajapan.org/filtering/press/20081017-press.html
著作権に関する有名な事件としては、利用者が自分の作品を登録し、有料で販売できる「でじたる書房」で商業作家の作品を高校生が自分の作品として登録する事件が起きた。
【お詫び】盗作の作品がありましたこと、深くお詫び申し上げます。 でじたる書房
http://www.digbook.jp/information.php?tpl=20070202
2007年1月31日に発覚した『綾波美夏』と称する人物による盗作事件について、著作権者・安達瑶の公式見解
http://homepage2.nifty.com/adachiyo/kenkai.html
著作権やコンテンツの内容に関するチェックが前提になってきていることを考えるとマルウェアへの体系的な対処も今後必要になってくるような気がするのだが、違うのだろうか?
・自由度と安全のバランス
筆者がこの話をすると相手は多くの場合、CGMは、そもそもそういうサービスである と言う。それは、つまり性善説を前提にしているので、セキュリティが緩いことが当たり前ということなんだろうか? と訊くと、そういうことではないと言う。フリーのWebサイトと同じだと言う人もいる。筆者は、ひと昔ならいざ知らず、ポータルサイトのドメイン下でのフリーのWebサイトも大問題だと思っている。そう言うと、話は終わってしまう。
インターネット上には筆者の理解を超えたサービスがいくつかあるが…
【執筆:Prisoner Langley】
【関連記事】
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(1)
https://www.netsecurity.ne.jp/3_12876.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(2)
https://www.netsecurity.ne.jp/3_12915.html
CGMにおける「招かれざる客」問題 「プログラム上適切だが、不適切な結果となる利用」について(3)
https://www.netsecurity.ne.jp/3_12969.html
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》