さいわいすむとひとのいう

Security
  • おさらい

2003年11月9日(日曜日)、東京・渋谷でA.D.200X主催のA.D.2003が開催された。
A.D.200Xとは“Attack and Defense 200X”の略であり、インターネット上で繰り広げられている攻防に関するさまざまな情報を、その両面から検証/検討しているIT従事者と広く共有し、よりセキュアな環境を構築するための一助となることを目指し、ボランタリーベースで活動を行なってきた非営利団体
彼らの2003年度の研究/検証発表会的位置づけのカンファレンスがA.D.2003。
カンファレンス自体の詳細は本ディレクトリの2003年11月9日付けのコンテンツを参照のこと。
セッションは40分枠と5分枠の2タイプが用意されていて、5分枠はいわば宴会芸的一発ネタが中心。もちろん、だからといって5分枠に技術的/学術的要素がないかと言うとそんなことはない。きちんとした技術や考察のない一発芸はA.D.200Xのカンファレンスにおいてはありえない。
このカンファレンスにおいて行なわれたofficeによる「WebアプリケーションのExploit例」が、今回のドタバタ劇の発端である。
officeのセッションでは、社団法人コンピュータソフトウェア著作権協会(以降ACCS)のサイト(=http://www.askaccs.ne.jp/)が有している脆弱性とその検証方法、さらに検証による結果が提示された。
セッションの本質は、



「デジタル時代の情報モラルを考える」と謳っているACCSが、(イ

ンターネットを基本インフラとするユーザーにしてみれば)タコな

アプリケーションを使用していたがために、収集していた相談者の

個人情報を全然関係のない第三者が「ぜーんぶまるっと」取得可能

な状態においていることの腰の抜け具合を黒く笑う
という、5分枠とは言え、良識のある方々から見ればいささか品のない“ネタ”ではあった*1
従来ならば、脆弱性を発見した場合、まず該当サーバー管理者に通達し対策を依頼し、3ヶ月以上経過して脆弱性が放置されたまま音沙汰がなければ公開に踏み切る、というステップを踏むのがofficeのパターンだった。ただしこのフローは明示的に確立されたものではない。というか、そういうフロー自体が構築されていないのが現状だ。とはいえ、だからといって「あ。脆弱性みーっけ。みなさーん……」というのは、あまりにもダメダメである。ところがそのダメダメをやってしまった。つまり、ACCS脆弱性の指摘がなされる前にネタにしてしまったのだ。しかもこれまでのように事前調査を注意深く行なっていれば、ACCSのサイトはファーストサーバ株式会社(=http://www.firstserver.ne.jp/)のホスティングサーバーであることはすぐにわかったはずだし、それはすなわち、ACCSだけではなくファーストサーバ株式会社へも脆弱性の通告を行なう必要性も自ずとわかったはずだ。
このような調査/通告、さらには脆弱性の危険性が回避されるまでのタイムラグを考慮した上で、ネタは披露されるべきであったのだが、それらをすべてすっ飛ばしてしまったわけだ。
[非常に重要な追記]2004/02/25
上記文中の最後の段落において誤認識があったので訂正します。
officeが管理している掲示板(=http://www.office.ac/tearoom/noframe.cgi?)において、11月25日付けで謝罪文が掲載されていますが、それを仔細に読めばわかるように、彼は、

  • ファーストサーバーのCGI脆弱性を有していることを
  • 2003年7月25日に発見し
  • 製作者が森川さんであること
  • 広範囲に使われているCGIであること

を確認しています。
その使用会社の中にASKACCSがあり、森川さんとも連絡を取り合っていたこともわかります(2003年11月10日の段階で音信不通になったようですが)。すなわち、「あ、脆弱性みーっけ。みなさーん……」ではなく、officeならではの通常のパターンを踏んだ後にA.D.2003での公開、という流れになります。大変失礼いたしました。

  • 不運の連鎖

さらにボランタリーベースで運営されていたがための不運が重なる。プレゼン資料が会場に設置されたサーバーにアップされ、オーディエンスがそれを持ち帰ることが可能だったことだ。
この件はボランタリーベースとはいえイベント運営上の不備であった。また、それを誘発するようないわゆる“馴れあい感”もあったかもしれない。A.D.200Xの発表によると、連絡不十分の一語に尽きるのだが。また、“セキュリティ”に関するカンファレンスであるにも関わらず、officeの発表を静止あるいは中断させることも(まあ、5分間のセッションを途中で中止することなど不可能に近いのだけれど)、サーバーに置かれたプレゼン資料を削除することまで気が回らなかったのはイタイ失点だった。
その上、セキュリティに関するカンファレンスに集まったオーディエンスであるにも関わらず、その資料を後生大事にHDDに保存していたカスも混ざっていた、という不運も重なる。
ここまでの状況を、なーんにも知らない人にかいつまんで語ると、以下のようになる。

  • officeというセキュリティゴロを自認するいけ好かない奴がいる
  • 彼は200名以上の客の前で脆弱性をあげつらい
  • 脆弱性サイトから得た個人情報を公衆に晒し
  • その攻撃方法と個人情報を持ち帰らせた

これではただの愉快犯でしかない。しかし、ただの愉快犯であると思わせるには十分の内容であり、かつ、微妙に異なりはするがまるっきりのウソではない。エサとしては実においしい香りのするエサである。

*1:これは個人的な感想だけれど、長年、個人情報がだだ洩れになっているCGIの欠陥を善意から指摘し、白眼視されることはあっても感謝されることのない作業を繰り返してきたofficeにとってみれば、黒く笑わなければバランスが取れなくなるところだったのかもしれない。でも、それが隙を生んだ