エフセキュアブログ

by:片山 昌憲

XSSの脆弱性についてのコメント

サイト運営者の視点でXSSの脆弱性についてコメントしたいと思います。
このlivedoorブログだけでなく、エキサイトでもXSSの脆弱性は過去にありました。
では、どのようにしてXSSの脆弱性を発見しているか?と言いますと、脆弱性のテストを外部機関にお願いして発見しています。
もちろん、社内でもインターネットセキュリティに対する知見がある人材がおり、脆弱性についてはテストしていますが、セキュリティのプロでなければ発見できない脆弱性があるという事です。
この脆弱性の発見後の対応は、もちろん開発したエンジニアが対応しており、同じような問題が2度と発生しないようにしています。
ここで、重要な要素は以下のとおりです。

・WEBサイトの開発者はセキュリティのプロではない。
・セキュリティのプロはWEBサイトを開発するプロではない。

つまり、両方のプロになるという事は難しい事だと思います。
通常はどちらかにスキルが偏っているという事で、両者は協業しているという感じでしょうか。
もっとも、最近では開発者向けにセキュリティの教育をするような企業が増えてきています。
これが普通になって行くと思われますが、まだまだ遠い道のりだと思います。
というのも、エンジニアの教育予算をまともに取っている企業は大企業以外では少ないと思います。
脆弱性で1度痛い目にあった開発者は2度目は繰り返さないと思いますので、いつの日か全体的にレベルがUPしてくるのではないか?と未来に期待しています。

全体感としては、上記のようなものですが、私としては、開発者のテスト不足もあるように思えます。
WEBサイトでの入力項目のテスト項目には、必ずXSSの脆弱性に対応する為のテストを含める事が当たり前になっているか?という事だと思います。

また、開発手法などによっても、脆弱性が変わってくると思います。
バリデーションの部分のチェックを毎回ゼロから作っている企業はチェック自体に抜けが発生するでしょうし、毎回ソースをコピーして作っている企業は、使いまわしているソースすべてに脆弱性もコピーされてしまうと思います。
いずれにしても、テストはしっかりやった方が良いですね。という感じでしょうか。

オンライゲームのアカウントの価値について

下記の記事を読んでコメントします。

ヘルシンキ発  by:ショーン・サリバン
バーチャルなアカウントの価値が法的に認められたという事は、今後もネット上のバーチャルなモノの価格が換算できるようになるという事になります。 現在、日本ではオンラインゲーム会社の資産に、ユーザーのアカウントの価値や、アイテムの価値などは入っていませんが、そのうち資産計上しなければならないかもしれないという可能性があります。

「WoW」は日本ではあまりブームではないのですが、おそらく、世界で最も人気があるオンラインゲームです。日本で盛り上がっていないのは、日本語サイトが無いからです。(言い切って良いのかは分かりませんが。)
 
ところで、このアカウントハッキングですが、昔から良くありました。
WoWのアカウントがお金になると気がついた犯罪者が、ユーザーから不正に取得したアカウントをRMTに販売しています。
問題を複雑にしているのは、RMTサイトで販売したアカウントが、RMTサイトとユーザーは、正規に販売したものか、ユーザーから不正に取得したものか?が分からないというものでした。
今回の法的な判決での金額は、今までのRMTでのアカウント売買実績があったので、金額を算定できたのでは?と思います。
現在でも「RMT WoW」で検索すると、とんでもない数の検索数が表れますので、一度検索してみてください。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード