2013/09/11

たぶんXSSが理由でインターネットがとまった

昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。

そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。
問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。

サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。
これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています)

プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に苦情があったことが記されていました。
プロバイダには、攻撃をしたとみなされ、再開するにはこういった行為をしないという誓約書を書かなければいけないそうです。

不本意なので、サービス提供者とプロバイダに事情を説明しましたが、サービス提供者は「セキュリティ上の理由でこたえられないが、一般論として不正なアクセスがあれば報告する」の一辺倒で、例外的なハンドリングをするつもりはなく、思考停止しているかんじでした。なぜ僕の報告と、僕のアクセスと、プロバイダへの連絡の事実を調査し結びつけることができないのか、意味が分かりません。それが攻撃によるものではなかったと、あなた方がプロバイダに連絡してもらえば、誓約書なんて書かなくてもきっと済むはずなのに。

そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
セキュリティ問題の報告はこれまでたくさんしていますが、このような事態になったのは初めてであり、アラートを出せる状態を確認するアクセスが、プロバイダに連絡するほどの不正なアクセスであるという、この会社の言う一般論は存在しないと思います。

こういった誤解が生じることはありうると思いながら日々報告していましたが、もし誤解が生じても、人間なので、説明すれば理解してもらえると思っていました。
ところが、報告して、事情まで説明しているにもかかわらず、会話ができない会社がある現実は、残念であるとしか言いようがありません。そのようなセキュリティで何が守れると言うのでしょうか。

こうした行為さえ規制されて、善意の報告者を委縮させ、セキュリティ問題が放置され続ける状態になっても誰も得しないと思います。
 かつて利用者であった僕の情報を何らかの形でまだ持っているのなら、セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。

とりあえずはやくまともにインターネットがしたいです。

2013/9/12 10:44 追記

まだなんとも言えませんが、事態がいい方向に向かう可能性がでてきました。
ある方の協力により、ベネッセさんが対応を検討してくれています。

2013/9/12 22:00 追記

ベネッセさんに話が伝わり、ご理解をいただけました。ベネッセさんが照会をしてくださり、僕のアクセスであることが確認できたため、プロバイダへ「不正アクセス情報の取り下げ」および「停止解除のお願い」の連絡をしてくださったとのことです。その際、ベネッセの方と僕の仲介として、徳丸 浩さんに手助けをしていただきました。徳丸さんのサポートがなければこのように正しく事情を説明することは難しかったと思います。徳丸さんには本当に感謝しています。今後、接続に関してどうなるかはわかりませんが、事情を伝えることができたことは大きな喜びです。

2013/9/13 17:48 追記
プロバイダに確認の電話を入れたところ、取り下げに関する連絡がきていることが確認できたので、1時間をめどに再開させるという連絡を頂き、その後、17:00ごろインターネット接続が復活しました。ベネッセさんからも、検査に関して条件付きで前向きなお話をもらっており、今後はその指示に従って気が向いたときに調査・ご報告をさせていただくつもりです。とりあえず、ここまででおよそ達成したいことはできており、ほっとしています。多くの方のご協力がありここまでこれました。今後は、サービス側にもあらゆる事情があることを鑑みて、今以上に慎重に行動すると思います。
 関係者の方々、見守っていただいた方々、このたびは大変お騒がせしました。

4 件のコメント:

  1. 民事で訴訟を提起するしか無いのかも知れないですね。インターネット不通損害賠償と、言われの無い誓約書に対する精神的苦痛への慰謝料で。

    返信削除
  2. なるほど…JPCERTやIPAのような窓口を使わないと、個人で対処する羽目に陥る危険性があるということがよくわかりました…。

    https://www.jpcert.or.jp/form/
    http://www.ipa.go.jp/security/vuln/report/index.html

    返信削除
  3. >JPCERTやIPAのような窓口を使わないと、個人で対処する羽目に陥る危険性があるということがよくわかりました…。
    仮にJPCERTやらを使うとしても、脆弱性の発見のための通信自体が過剰防衛反応を引き起こしたと思われるので同様の対応が行われたと思いますよ。
    アクセス元IPアドレスからISPを特定し、ISPへのクレームを入れたのでしょう。

    返信削除
  4. 今回のベネッセによる個人情報大量流出についての見解をうかがいたいです。

    返信削除