利用者を危険に陥れる「管理者ごっこ」「web 制作者ごっこ」 R-MS サイトの脅威

>> 想像を越えた危険性だった R-MS サイト

製品・サービス・業界動向業界動向

2002年2月12日（火） 12時00分

>> 想像を越えた危険性だった R-MS サイト

　本誌では、これまで幾度となく、利用者に危険なスクリプトとクッキーを強制するサイト（R-MS サイト）の危険性について、警鐘をならし続けてきた。あえて過激な表現にしていたのは、他にスクリプトとクッキーの危険性について、警告を発する媒体が少なく、過剰にでも警告を出さなければ一般利用者や企業の web 担当や制作者に認知してもらえないという意識があったためである。

信頼できないネットの信頼マークと R-MS サイトの正しい FAQ
(2001.12.1)
https://www.netsecurity.ne.jp/article/1/3436.html

企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)
https://www.netsecurity.ne.jp/article/1/3273.html

利用者を危険に誘導する R-MSX サイトだったオンライントラストマーク
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3935.html

　しかし、その後、クロスサイトスクリプティング脆弱性やインターネットエクスプローラ脆弱性の発見が相次ぎ、利用者の安全を守るべき「オンライントラストマーク」までもが利用者を危険に陥れる危険な R-MSX サイトということが判明した。このような状況では、これまでの警鐘は決して過激でも過剰ではなかったといえる。

>> 続出するスクリプト脆弱性

　スクリプトに関しては、まだまだ問題が噴出している。
　中には、まだスクリプトをオフにするしか対処方法のない問題もある。
　こうした状況を考えると、当初 R-MS サイトを提案した時よりも危険性ははるかに高くなっているといえる。

新年早々、インターネットエクスプローラに新たな脆弱性(2002.1.4)
インターネットエクスプローラ（IE）のGetObject() にあるバグを利用してローカルファイルを読み取ったり、任意のプログラムを実行させることができる脆弱性が発見された。
https://www.netsecurity.ne.jp/article/1/3681.html

Microsoft Internet Explorer does not properly handle document.open()
http://www.kb.cert.org/vuls/id/598147
マイクロソフト社はこの問題に対応していない
http://www.kb.cert.org/vuls/id/IAFY-55LKEQ

IE の新しい脅威　スクリプトがオフでも強制的に実行させることができる
(2001.12.21)
https://www.netsecurity.ne.jp/article/1/3617.html

>> いまだに存在する個人情報をクッキーに保存するサイト

　こうした危険性にも関わらずあいかわらずスクリプトやクッキーを強要するサイトの管理者の意識はどのようになっているのであろうか？
　もっとも、個人保護を優先すべき「オンライントラストマーク」ですら、R-MSXサイトであったことを考えると、スクリプトやクッキーの危険性の認識がいきわたっていないと考えた方がよいのであろう。

　中には、堂々と個人情報をクッキーに保存していることを宣言しているサト管理者まで存在している。
「クッキーを利用してお名前やご住所等の個人情報をご利用者自身のPC内に記録します」
　このような文言を臆することなく、サイト上に掲載している管理者がいる。サイト管理者は、セキュリティに関してどのように考えているのだろうか？脆弱性をついたスクリプトを web あるいはメールに仕込んで、個人情報入りのクッキーを盗みとることはじゅうぶん可能なのである。これは既知の脆弱性であり、知らなかったではすまない問題である。

>> 利用者を守る気のない無責任な「管理者ごっこ」「web 制作者ごっこ」

　多くの脆弱性が発見され危険性が指摘されているにも関わらず、のほほんと脆弱性を放置する管理者は、本来の責務を放棄しているとしか思えない。
　一時期ネットバブルの頃に、ネット企業は「会社ごっこ」をやっているようなものと揶揄されたが、web 管理者は「管理者ごっこ」をやっているようなものである。「管理者ごっこ」を放置している企業も無責任といわざるを得ない。
　また、こうした web を平気で制作する web 制作者にも問題がある。新しい表現や web の技を使いたいがために危険なスクリプトやクッキーを平気で採用する神経は許すべきではないだろう。利用者にとって安全を確保することがあらゆるサービスの大前提といえる。それをないがしろにするような制作者は「web 制作者ごっこ」に興じているといって差し支えないだろう。

「管理者ごっこ」「web 制作者ごっこ」の当人たちは、遊びでよいだろうが、リアルな危険性に直面するのは、利用者なのである。そのことを全く忘れて遊びに夢中になっているのは、web というパブリックサービス当事者として社会的責任を忘れた行為であり、責められるべきであろう。

>> 「管理者ごっこ」「制作者ごっこ」には、厳しい認定試験を！
さもなければ、せめてフィルタリングサービスを！

　本誌がちょっと調べただけでも「管理者ごっこ」「web 制作者ごっこ」にうつつを抜かす R-MS サイトが、たくさんピックアップできた。
　これは、まだまだ氷山の一角にしか過ぎないと思われる。とてもではないが、本誌だけでピックアップしきれる量ではない。
　本誌はかつて web のセキュリティ管理のあまりのひどさに「ネット上のパブリックサービスに免許制を！？　無能な管理者を駆逐せよ(2001.12.4)」と訴えたことがある。

ネット上のパブリックサービスに免許制を！？　無能な管理者を駆逐せよ
(2001.12.4)
https://www.netsecurity.ne.jp/article/1/3447.html

　当時は、過激なコラムであったが、いまとなっては、リアルに必要性を感じるようになってきた。

　免許がダメなら、どこかで「管理者ごっこ」「 web 制作者ごっこ」に該当する web を集めたデータベースを構築し、そのweb へのアクセスをフィルタしてくれないものだろうか？

　安全にインターネット初心者が利用できる「ごっこ」フィルタリングサービスというのは、とても必要なもののような気がする。
　なにしろ世の中には、まっとうな管理や制作者よりも「ごっこ」連中の方がはるかに多いようなのである。

[ Prisoner Langley ]

詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》