小林:山下君,それで指摘された問題とは何だったんだ?
山下:うちのオンライン・ショッピング・サイトのユーザー掲示板にクロスサイト・スクリプティングのぜい弱性があるそうなんです…。
小林:どんな危険性があるんだ?
山下:ユーザーのブラウザでユーザーの意図しないスクリプトが実行されてしまう可能性があります。その結果,場合によってはユーザーの個人情報が漏洩する可能性があります。
小林:ウチのサイトを利用しているお客様に何らかの被害が出たってことなのか?
山下:IPAからの情報では,問題が指摘されただけで実際に被害が出たかどうかについて触れられていませんが…。
小林:う~む,心配だ…。それは確認できないのか?
山下:まずはログを確認してみます。
外部から届けられる情報からは,被害が実際に発生しているかはわからないのが普通だ。少なくともすべての被害は外部からの情報ではわからない。ただし,問題自体が存在しているなら,発見者からの情報に記載はなくとも,被害が発生している可能性はある。
そこでまずは,ログなどを通じて実際の被害が発生していないかどうかを確認する。例えば今回のような「クロスサイト・スクリプティング」のぜい弱性の場合,不審なアクセスや掲示板への書き込みがないかを確認する必要がある。
もし顧客に何らかの被害が発生した可能性が明らかになった場合,特に顧客の個人情報が漏洩した,もしくは漏洩した可能性がある場合は,被害の拡大を抑える目的で事実の公表とユーザーへの謝罪を検討する。
[参考]
脆弱性関連情報に関する届出状況(IPAのプレスリリース)
http://www.ipa.go.jp/security/vuln/report/press.html
山下:部長,残念ですが不審な書き込みがありました…。
小林:それで被害の状況は?
山下:今回埋め込まれたスクリプトは非常に簡単なもので閲覧者のブラウザから機密情報などを盗み取るというものではありませんでしたが,このようなスクリプトの埋め込みが可能だとすると,悪用も可能かも知れません…。どういたしましょうか? まずはサービスを停止した方が良いのでは?
小林:そうだな…。お客様を危険にさらすわけにはいかないし,「ユーザー掲示板」なら代わりにメールで問い合わせてもらうようにしておけばお客様の最低限のニーズは満たせるだろう。「保守作業のためしばらく停止する」旨,掲示して「ユーザー掲示板」を閉じてくれ。
山下:了解しました。
|
|