interNet POLICE 警察庁 インターネット安全・安心相談 過去にあった脆弱性の件

interNet POLICE 警察庁 インターネット安全・安心相談 のページ

ここには過去にXSS脆弱性があり、IPAさんに報告しておりました。 さきごろ取り扱い終了になったもようです。 最近、私は、自称ネット難民ですので、なかなかインターネットに接続できなかったこともあり、残念ながら今日になって、あれれ?と思いまして経過報告を日記にて行うこととしました。

2005年06月17日

警察庁 インターネット安全・安心相談のサイトが立ち上がったばかりでした。IPAさんに最初の脆弱性報告をしました。正式のものではありません。以下のような文面でした。自分で発見した脆弱性ではないこともあり、手抜きしていますし、口調がぞんざいです(恥)。失礼しました。


IPA脆弱性窓口御中

いつもお世話になっております。
私宛に匿名で(どうもproxyを使ってWebサービス
「この商品をお友達に紹介」の伝言部分でコメントしてきたようですが)
重大な情報伝達となりかねないことがらが使えられました。
IPAに伝えるべきかどうか迷っているような文面でした。
私自身としては法に触れないような簡単な追試をしてみましたが、
確かにその疑念はありますので御報告だけしておきます。
なお、正式な報告ではありませんのでフォーマットは無視させて
頂きます。申し訳ありません。結果として不受理になっったとしても
いたしかたありません。

御報告

警察庁 インターネット安全・安心相談のサイトには非常に単純なXSS脆弱性があります。残念ながら。

この脆弱性を悪用されたら警察庁お墨付きの安全な
企業主の一覧や表彰されているページやらが
作成され、かえって悪意ある者による被害者への
攻撃手段を与えかねないことになります。
公的に極めて重大です。

以上よろしく御処置願います。

2005年06月17日直後

IPAさんから要請があり正式に報告しなおし状態になりました。

ややあって

直されたり、検査しなおして脆弱性が残っていることを報告したりして、何回かやりとりをした後、XSS脆弱性は修正された模様であるとIPAさんから連絡を受けました。私も確認をしました。

杞憂

しかしながら、ほかならぬ、インターネット安全・安心相談が、サイト立ち上げ直後にバタバタと簡単な脆弱性の修正もできないようでしたので公的な意味で大変に困りますし、サイト構成も、静的ページで十分なページまでも、不必要に複雑な高価なウェブアプリを使っていらっしゃるし、ウェブアプリに存在している脆弱性は、素人の私が確認できるようなXSS脆弱性ばかりでないかもしれません。
そこで、IPAさんともご相談のやりとりを行い、インターネット安全・安心相談さん側のサイトの全面的な検査を、サーバーサイド自らの手で、そして、実績のある第三者によるセキュリティー監査を行っていただけるように要請を出しました。IPAさんを通じて、先方にも意思が伝わったようです。
これをうけて、IPAさんによる本脆弱性関連の取り扱いは、長らく、終了しなかったのです。

2007年02月09日

IPAさんから連絡が届きました。当該サイトは閉鎖とのこと。したがって、脆弱性情報の取り扱いは終了となるのでした。閉鎖ならオーケーですしね。当時も今も、私はネット接続が非常に困難な状況ですので、たいした確認もできずに、やっとこれで終わったのだなぁと、ため息をつきました。

                                                                                                                              • -

このメールは、取扱い番号 IPA#19584292 に関する連絡です。

                                                                                                                              • -


IPA セキュリティセンターです。

interNet POLICE の件につきまして、ウェブサイト運営者より、届出いただきま
したサイトを閉鎖したとの報告がありましたのでご連絡いたします。

該当サイトが閉鎖された為、本件の取扱いを終了させて頂きたいと考えておりま
す。

上記取扱いに不都合がある場合は、お手数ですが、10 営業日を目処にご連絡い
ただければ幸いです。

届出をいただき、ありがとうございました。
今後ともよろしくお願いいたします。

2007年04月16日

たまったメールの整理をしていましたら、あれれ?と

警察庁 インターネット安全・安心相談のサイト

http://www.cybersafety.go.jp/

interNet POLICE の嘘つき!サイトの閉鎖をしてないじゃん!なんなんだぁ!ちゃんとしっかりしたセキュリティー監査したのかしらん?

いや、2月の段階で確認しなかった私も悪いし、IPAさんに責があるわけでもないですしね。半泣き半笑いしながらここいらで愚痴を言うだけですよ・・・

そういえば

そういえば、後になって知ったのですが、確か、当方とは独立に水無月ばけらさんも、当該サイトにあった脆弱性をサイト立ち上げ直後にみつけて報告していたはずです。修正完了だったはず。ばけらさんのサイトのえび日記にそんなこと書いてあったような気が。当時、わが意を得たりとにんまりした覚えがあります。記憶違いかも。間違っていたらごめんなさい。

20070418追記:

上記は間違っていました。ご迷惑をおかけして大変にもうしわけありません。正しくは、以下のばけらさんの記述をみて、そうだそうだ!と思ったのでした。

「安心できない安心相談」@水無月ばけらのえび日記
http://bakera.jp/hatomaru.aspx/ebi/topic/2351

謹んでお詫び申し上げます。

20070418追記終わり


いろいろ考えると、インターネット安全・安心相談のサイトには、たぶん、現在、脆弱性がないのだろうなぁと勝手に推測しています。