脆弱性検査について

私達に一通のメールが届きました。

*************************************************************************************************

Whitehackerz 問い合わせ担当者様

貴社のtwitterで、「5000法人のサイトを勝手に検査し実勢レポートとして公開する」旨の発言があるのですが、思うところがあるので匿名で意見を書かせていただきます。

(私はどちらかというと貴社の味方寄りの人間です。単なるアンチの意見ではなく、今回の企画で貴社が心配になったためメールを書かせていただいています。)

結論から言いますと、勝手に第三者の持っているサイトを検査するのは、多分貴社が想定している以上にリスクが高い行為なので、いったん止めて企画を仕切り直したほうが良いのではないか、というのが私の意見です。

以下、各論です。

1) 「勝手に検査」の危険性について

既存の企業サイトを外部から検査するにあたっては、何はともあれ下記ブログ記事を一読しておいたほうが良いと思われます。
セキュリティ専門家の徳丸浩氏のブログです。

2008-11-17 SQLインジェクション検査の危険性
http://d.hatena.ne.jp/ockeghem/20081117/p1

要は、参照系の処理だけでなく更新系の処理まで走っている箇所に「’ or 1=1–」のようなよくある検査文字列を突っ込んでしまうと、本番環境の全データを更新してしまったりする可能性があるため、検査のつもりが本気の攻撃になってしまいうるので危険、ということです。

もし検査のつもりで本番全データ更新とかをやらかしてしまった場合、不正アクセス禁止法どころか器物損壊罪に問われてしまい、貴社に多額の損害賠償が発生する可能性もあります。

(先の徳丸氏のブログ記事でも「SQLインジェクションの検査は、専門家がやっても時としてデータベースを破壊しかねないものであるので、診断に先立って必ず免責事項を取り交わす。」と書いてあります)

貴社のtwitterでは「最悪の事態も想定し」とかかれておられますが、貴社自身がうっかり攻撃者になってしまって、損害賠償の嵐に襲われ、倒産の憂き目に遭うような「最悪の事態」も想定しておられるのでしょうか。

5000社のサイトの検査に2週間程度の期間しか想定していないということは、手動での検査は行わず、skipfishあたりの脆弱性検査ツールで検査を行ってそのレポートを一気に公開とか、そのような企画なのだと思うのですが、SQLインジェクションの検査は上述のとおり危険が高いので、やるにしても最低限、実害を発生させないために、SQLインジェクション系の検査だけ外して検査を行えるようなツールを使う必要があるかと思います。

(もちろん、脆弱性検査ツールで第三者のWEBサイトを勝手に検査する行為は、不性アクセス禁止法違反になる可能性が非常に高いので、法律違反になるため全く推奨できません。仮にskipfishであれば物凄い量のリクエストを短時間に送るので普通にDOSアタックになってしまうのではないかと思いますし、ツールによってはそのような問題もあると思います)

2) 検査結果の公開の問題

5000法人のWEBサイトを勝手に脆弱性検査し、どのサイトにどのような脆弱性があることを公開すると、当然、企業が対策を打つ前に、そのリストを見て攻撃者が攻撃を開始することになります。
(プログラムの脆弱性を修正して、問題なく動くか動作確認して、公開して・・・という作業よりも、攻撃者の攻撃が起こるほうが早いはずなので)

この場合、貴社によるセキュリティ検査が、クラッカーによる攻撃の引き金になるわけで、これでは、安全なインターネットどころかネットをより危険にする行為になります。

つまり検査結果を当該企業に知らせる前に公開するのは危険です。

かといって、5000法人を調査したのに、具体的にどのサイトにどのような脆弱性があったかを書かないレポート(例えば65%のサイトに脆弱性がありました、だけの内容のレポートとか)を公開しても、当該企業には脆弱性の具体的な情報は伝わらないですし、問題が修正されることもないでしょう。

脆弱性情報を一般に公開せず、5000法人に個別に連絡をとって、こういう脆弱性がありました、と言って回れば、たぶん対応されるでしょうが、それをやるのはすごい手間になるのではないかと思いますし、それで企業がお金くれるとも思えないので、タダ働きということになるでしょう。

これだけやっても、基本的に勝手に第三者のWEBサイトの検査を行うのは不正アクセス禁止法に引っかかる行為ですので、果たして貴社の評価がどのようになるのか、ということについては未知数です。

このように、検査結果の公開についてはいろいろな問題がありますが、これらの問題はクリアできていますでしょうか?

3) 外部資料

勝手に脆弱性検査を行いその結果を公開することが犯罪であることを示した判例

IT法務ガイド/IT法務コラム/不正アクセスと法律
http://it法務.jp/%EF%BD%89%EF%BD%94%E6%B3%95%E5%8B%99%E3%82%AC%E3%82%A4%E3%83%89/it%E6%B3%95%E5%8B%99%E3%82%B3%E3%83%A9%E3%83%A0/%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A8%E6%B3%95%E5%BE%8B/

> 不正アクセスをして問題を指摘する行為は犯罪か
> (略)
> 事前に**会等に脆弱性の報告をせず,修正の機会を与えないまま,これを公表したことは,被告人の手法をまねて攻撃するという危険性を高めるものであったというほかなく,被告人の本件各アクセス行為はそのような形で公表することを目的としてなされたものであって,正常な問題指摘活動の限界をはるかに超えるものであり,正常な活動の一環であったとは到底認めらない
> と判断しており,犯罪の成立は妨げられないとしています。

・不正アクセス禁止法に引っかからない脆弱性検査の方法

不正アクセス禁止法に引っかからない脆弱性検査の方法についてはIPAが「不正アクセス禁止法に抵触しないと推察される行為の例」という資料を作っています。
(ご存知だとは思いますが・・)

逆に言うと、このガイドライン以上のことを第三者のサイトに対してやってしまうと、不正アクセス禁止法違反となり、違法行為となるのではないかと思います。ガイドラインの内容についてはググってみてください。

4) まとめ

貴社の活動には、「ちょっと違うんじゃないかな?」と思わせられるところも時折あるのですが、いろいろ楽しませてもらっていますし、私は基本的には貴社の活動を応援する側です。

ですが、今回の勝手診断については、貴社自身がダメージを受ける確率が高すぎるため、企画を仕切り直した方が良いのではないか、と言わずにはいられません。

あまり議論等はしたくないので、匿名でメールを送らせていただく形になり、「言いっぱなし」な形になってしまいますが、貴社の企画を否定しているわけではなく、貴社自身がリスクをちゃんと把握して話を進めているのか不安になったため、老婆心ながらいろいろな情報をお伝えしたくなったのです。

基本的には応援メッセージと受け取ってください。

以上です。

*************************************************************************************************

これを受けまして、予定変更し少々再検討することと致します。

メール頂きました匿名様有難うございます。