Hatena::ブログ(Diary)

児童小銃 RSSフィード

みえない自由が欲しくて
みえない銃を撃ちまくる
THE BLUE HEARTS 「TRAIN-TRAIN」

なんばりょうすけの仮住まいです

連絡先: rna◎cyber●email●ne●jp


プライバシーポリシー


2005-04-21

[] サークルクラッシャー刃牙

サークルではないんだが、昔とあるコミュニティで勝手に兄弟増やすアレな女がいた。状況が把握できなくなってきたので兄弟が10人に達したらメーリングリスト作ろうかとかそんな話をしていた(作らなかったけど)。

しかし女ってどうしてベッドの上で前の男の××な話とかペラペラ話すんだろう。「あなたの××は今までで二番目によかった」とか言われたよ。二番目て。怪傑ズバットかおまえは。

[] mixi のセキュリティーホール(その3)

id:rna:20050420#p1 の追記に書いたように17:00頃に、残っていた穴のうち僕が把握している分については対策がとられたようです。まずはお疲れさまということで。

ですが、mixi のこれまでの対応のしかたには疑問が残りますし、それゆえ僕が調べてない部分の穴も全部ふさがっているのかどうか、ちょっと見当が付きません。

追記: mixi から連絡がありました(18:05)

内容はお詫び・お礼と対策した旨の連絡です。どうも複数の方から指摘があったような気配です。ただし「はまちちゃん」系の攻撃一般に対する安全宣言らしきものはありませんでした。まだ安全宣言は出せない状況らしいので引き続き警戒(ログイン中に知らないリンクを踏まない、こまめにログアウトする、可能なら JavaScript をオフにする)しておいたほうがよいでしょう。(20:00)

どんな穴だったか

今まで××と書いていた穴について、具体的な記述は避けますが、それを使うと何ができたかというのを挙げます。

  • 招待なしで新規会員登録できる
  • 被害者の「友人まで公開」の情報を取得できる
  • 被害者のマイミクに入っている人の「友人の友人まで公開」の情報が取得できる

匿名掲示板などでお願いして不正な招待を受ける行為(いわゆる「mixi乞食」)については mixi 側が退会処分などの措置で対抗してきましたが、似たような事を機械的に*1実行可能な状態でした。

mixi乞食」と違うのは「mixi乞食」が基本的に「全体に公開」の情報にしかアクセスできないのに対して、今回の穴を使えばより制限された情報にアクセスできてしまうことです。機械的に実行されるだけに mixi 側がアクセスログを見て対処するのはむしろ容易ではありますが、事後的に対処されても一度取られた情報が消えてなくなるわけではないので問題なしとは言えません。

何が問題だったか

mixi の内部事情は知らないので的はずれな部分もあるかと思いますが僕が問題と思った点を。

まず利用者へのアナウンスがなかったこと。少なくとも僕が連絡してから丸一日、問題に気付いていたと思われる時点からは丸二日の間、利用者は危険に晒されていたのですがその間利用者へのアナウンスは一切ありませんでした。問い合わせた個人には一応の対処が終わってから連絡が来ましたが、公のアナウンスはまだありません(21日20:00現在)。限られた範囲でしか知られていない問題ならともかく既に報道もされているわけで、知らせることのデメリットより知らせない事のデメリットの方が大きかったのではないでしょうか。*2

次に対策が後手後手に回ったこと。システムを停止せずに作業したことを考えると、最初の「はまちちゃん」発生から二日半程でほぼ対策を打った(まだ漏れがあるかもしれないけど)のは十分速かったとも言えますが、利用者へのアナウンスがなかった(一般利用者は自衛策をとれなかった)事を考えると微妙なところです。また、指摘された穴をふさいでも技術的には同じ系統の穴がふさがってなかったり、対応が場当たり的に見えることもありました。

追記: 良かった点

悪口ばかりもアレなので良かった点を。「はまちちゃん」の作者をいきなり退会処分にしたり日記を削除したりしなかったのは賢明な選択だったかも。もし「断固たる処置を」みたいに対応していたらお祭り騒ぎになって、より大きな穴への攻撃を加速させてしまったかもしれません。

*1:リンクを踏ませるというステップは必要ですが。

*2:利用者にとってということ。mixi の経営にとってはどうかわかりません。

terazzoterazzo 2005/04/21 19:03 可愛さ×気の多さ×握力=サークル破壊力!!
付き合うときは元彼に連絡、は大事だよね>勝手に増やす

rnarna 2005/04/21 19:20 精神の不安定さ×女の希少さ×握力 だと思った。「ほうれんそう」は大事だよね!

otsuneotsune 2005/04/21 21:13 >利用者は危険に晒されていたのですがその間利用者へのアナウンスは一切ありませんでした
実情は分からないのですがセキュリティ対策の一般論として。
「フルディスクロージャー」といわれる脆弱性をすべて公開するポリシーでも、セキュリティの穴がふさげていない時点では情報公開を控えるように言われています。(検索してみてください)
穴がふさげた時点で「実は数日前でこういう穴があった。これこれこういう対策をしたので今は通用しない」と公表します。
だから「丸二日間危険に晒されている時点でアナウンスが無い」というのはセキュリティ対策的には有りうることです。
(その後にmixiからアナウンスが無いのはそれはそれで問題がありますが)

rnarna 2005/04/21 21:22 そのあたりは承知しているつもりですが、最初の穴(はまちちゃん)はいきなり公表されてしまった(これ自体問題ですが)ので、どう自衛するかというのをアナウンスすべきではなかったか、それがあれば同系統の穴に対してもリスクを減らせたはずだと思いました。

otsuneotsune 2005/04/21 23:57 はまちちゃんのようなCSRF脆弱性は、仕掛けた人がそういうセキュリティの手続きをよく知らずに軽い気持ちでいたずら0-Dayをしてしまったという経緯だとおもいます。
たぶん深刻度が低いのと、対処法はmixi運営側でやるのが当然の脆弱性だったので「どう自衛をするのか」まで解説するのを求めるのは現実的には酷かなぁ。と同情的になっています。
(今回の件について、mixi50万会員のほとんどすべての人に誤解されないようなうまいアナウンス方法が想像できない。すべて包み隠さずにmixiの現状を説明すると「ようするにまだまだセキュリティ対策はやるべきことがあると思います」というありがちな話に。日本で不祥事隠しが多いという話題のひとつに含まれそう)

otsuneotsune 2005/04/22 00:02 あと先日このダイアリーに書かれていた「mixiはこまめなログアウトを勧めるようにアナウンスしろ」というのは良いアイデアですね。
仮に脆弱性がほぼ無いサービスであっても、こまめなログアウトをユーザーに啓蒙するのは良いことだと思います。
邪推すると、mixiは認証系の負荷を考えてそういうアナウンスをすることに躊躇しているのかも?(ユーザーを危険に晒してでもサーバー負荷を減らすというポリシーだとしたら褒められたモンじゃないな)

rnarna 2005/04/22 01:22 コメントありがとうございます。明日の日記でまとめてお返事します。

terazzoterazzo 2005/04/22 01:45 そもそもクロスサイトでPOSTを飛ばせるJavaScript側に問題があるのでは。(例えばHTTPでは仕様上POSTを利用者の確認無しでリダイレクトしてはいけないことになっている。)
あとアナウンスするかどうかはメリ(情報を受け取って自衛策をとることができる)とデメ(新たな攻撃に利用される)のバランスだと思いますけど、自衛策をとれるようなリテラシのあるmixiユーザってrnaさんが思っているよりも少ないんじゃないんでしょうか。

terazzoterazzo 2005/04/27 01:25 ほめられただけましだと思いますよ(涙
しかしベッドの上で昔の男の話はダメかも知れないけど、そのことをWebに書くのもどうかと。あと勝手に姉妹を増やすのとか。

morimori_68morimori_68 2005/04/29 00:00 兄弟十人に達したら11Pでどうか。