価格.com 事件 IPA からの報告
2005年6月6日(月曜日)
価格.com 事件 IPA からの報告
IPA から「コンピュータウイルス・不正アクセスの届出状況[5月分]について (www.ipa.go.jp)」という報告がでています。
期待の価格.com に関する情報ですが、被害事例 (i) がそれっぽいですね。
(i) Webサーバに侵入され、利用者がWebコンテンツを閲覧しただけで不正なプログラムをダウンロードさせられてしまう仕組みを埋め込まれているのを発見。改ざん行為と修復作業のいたちごっこが繰り返された。改ざん箇所の調査を進めるうちに、データベースでの改ざん形跡が発見されるなどし、最終的には一時的なサイト閉鎖に追い込まれた。原因は不明(届出元で引き続き調査中)。
原因は不明、調査中だそうで。
被害事例(i)では、セキュリティパッチ適用や外部からのサーバアタック診断を適切に実施していたにも関わらず、サーバへの侵入を許す結果となってしまっています。このサイトでは、単に情報を公開するだけのコンテンツに加え、利用者からの書き込みを受け入れる仕組み(掲示板やサービス申込みフォームなど)もありました。こうしたサイトでは OS やサーバソフトの脆弱性対策に加え、利用者からの入力を受け付けるWebアプリケーションの処理方法が適切かどうかのチェックなども必要となり、対策範囲が広範に渡ってしまうケースが多いと思われます。セキュリティ対策を施す範囲とその内容について、再確認しましょう。
セキュリティパッチは当てていたようですね。
Web アプリケーションの脆弱性を突かれたことを匂わせる記述になっていますが、明言はされていません。IPA も断定するだけの情報は持っていないということなのでしょうけれども。
- 「価格.com 事件 IPA からの報告」にコメントを書く
- 前(古い): パスワードは校長の名前
- 次(新しい): カカクコム批判はボツ?