一部のセキュリティ専門家の認識と対策レベルのギャップ ――XSSは本当に煽られすぎているか?
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT
という記事を読んで、不安になった。
この記事を真に受けて、事前の対策より
「やられてしまったら営業担当者1人に謝罪に行かせ」
る方を選ぶサービス提供者が出て来たらどうしよう?
利用者にも、
「脆弱性があっても大事には至らないものらしい。
専門家が煽りすぎだと言うんだからそうなんだろう」
なんて安心してしまう人がでてきてしまったりはしないかな?
まずは、本当に今が
「そろそろ終わりにしなければなりません」
と啓蒙しなければいけないほど、
「XSS をあおりすぎ」
で、XSS 対策に
「過剰に投資」
している時代なのかどうか、検討しないと。
というわけで、以下は参考情報。
<表1>最近一ヶ月以内に、XSS脆弱性の存在を確認したサイトの一部
※注意
- あくまで
「脆弱性って、ほんとにどこにでもあるんだね」
程度に認識してもらうための情報です。 - ここに載っていないサイトには脆弱性がないわけではないです。
- ここに載せたサイトが他より特に危険、ということではないです。
- 適当に目に入ったサイトを検査してみただけなので、ジャンル等に偏りがあります。
- 一部を除いて、サブドメインは明記していません。
(他のサブドメインにも影響がある脆弱性が多いかも)
※脆弱性があるけど除外したサイトの基準
| サイト名, 会社名など | ドメインなど |
|---|---|
| はてな | hatena.ne.jp |
| Yahoo! Japan | yahoo.co.jp |
| ライブドア | livedoor.com |
| goo | goo.ne.jp |
| BIGLOBE | biglobe.ne.jp |
| So-net | so-net.ne.jp |
| WIRELESS GATE ワイヤレスゲート | wi-gate.net |
| エキサイト | excite.co.jp |
| DoTV | dotv.jp |
| FC2 | fc2.com |
| サイボウズ・ドット・ネット cybozu.net | cybozu.net |
| Technorati | technorati.com |
| テクノラティジャパン | technorati.jp |
| SiteCatalyst | omniture.com |
| Ask.jp | ask.jp |
| kizasi.jp | kizasi.jp |
| All About Japan | allabout.co.jp |
| J-CASTニュース | j-cast.com |
| 2NN 2ちゃんねるニュース速報+ナビ | 2nn.jp |
| 朝日新聞 | asahi.com |
| 読売新聞 | yomiuri.co.jp |
| イザ! | iza.ne.jp |
| 日本テレビ | ntv.co.jp |
| フジテレビ | fujitv.co.jp |
| スカパー! | skyperfectv.co.jp |
| 講談社 | kodansha.jp |
| 講談社コミックプラス | comic.bitway.ne.jp |
| 集英社 | shueisha.co.jp |
| 翔泳社 | shoeisha.com codezine.jp enterprisezine.jp markezine.jp moneyzine.jp careerzine.jp pminfo.jp |
| ITMedia | itmedia.co.jp |
| @IT アットマーク・アイティ | atmarkit.co.jp |
| IT-PLUS | it.nikkei.co.jp |
| CNET Japan | japan.cnet.com |
| ZDNet Japan | japan.zdnet.com |
| インプレスダイレクト | direct.ips.co.jp |
| JASRAC | jasrac.or.jp |
| トーハン | e-hon.ne.jp me-hon.ne.jp |
| アドビ | adobe.com |
| アップル | apple.com |
| ニコニコ動画 | nicovideo.jp |
| pixiv ピクシブ | pixiv.net |
| 魔法のiらんど | tosp.co.jp |
| MobileSapce モバスペ | m-space.jp |
| カフェスタ | cafesta.com |
| ハンゲーム | hangame.co.jp |
| Match.com | match.com |
| ジャパネットたかた | japanet.co.jp |
| ショップチャンネル | shopch.jp |
| ビットウェイ | bitway.ne.jp |
| グッドスマイルカンパニー | goodsmile.info |
| ホビージャパン | hobbyjapan-shop.com |
| ショップサーブ | shopserve.jp |
| ホットペッパー | hotpepper.jp |
| SourceForge.JP | sourceforge.jp |
| SourceForge.net | sourceforge.net |
| シックスアパート Six Apart | movabletype.jp |
| TypePad | typepad.com |
| VOX | vox.com |
| seesaa | seesaa.jp |
| グローバルサイン | globalsign.com |
| アスナル | asnal.com |
| freeml フリー・エムエル | freeml.com |
| JWord | jword.jp |
| MARS FLAG | marsflag.com |
| ロリポップ! | lolipop |
| ムームードメイン | muumuu-domain.com |
| JUGEM | jugem.jp |
| カラメル | calamel.jp |
| 3ミリ | 3mm.jp |
| カラーミーショップ!プロ Color Me Shop! pro | shop-pro.jp |
| さくらインターネット | sakura.ad.jp |
| トッパン・マルチソフト | tms.co.jp |
| EC-CUBE*1 | - |
| CombzMail*2 | - |
基本的な検査をしていたら発見できるはずのものがほとんど。
元記事が載っている @IT や、記事で触れられている EC-CUBE にも脆弱性があるのが、実に残念だったりするわけで。
<表2>数ヶ月前から数週間前の間に脆弱性を確認していたけど、今回改めて確認してみたら、改修されていたサイトの一部
| サイト名, 会社名など | ドメインなど |
|---|---|
| mixi | mixi.jp |
| Yahoo! | yahoo.com |
| eBay | ebay.com |
| はてな | hatena.ne.jp |
| Adobe | adobe.com |
| ニコニコ動画 | nicovideo.jp |
| ハンゲーム | hangame.co.jp |
| 2NN 2ちゃんねるニュース速報+ナビ | 2nn.jp |
| IBM | ibm.com |
| スペースアルク | alc.co.jp |
| 価格.com | kakaku.com |
表1, 2 の両方に載っているサイトは、
「脆弱性対策以外の理由でサイトが改修されて、たまたま元々あった脆弱性がなくなったけど、新たに別の脆弱性が出て来た」
とか、
「発見された脆弱性にだけ対処する改修をした」
とかいうことなのかな?と思える物が多いです。
もちろん、
「リスクに見合わない多大な投資をして、XSS 脆弱性の検査をしたけど、無念にも発見しきれなかった!」
というサイトも含まれているかもしれないけど。。。
つい最近改修された mixi については、改めて日記を書けたらいいな、と思っています。
