(cache) 最近一週間ほどのえび日記 | 水無月ばけらのえび日記

最近一週間ほどのえび日記

2010年12月1日(水曜日)

Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性

公開: 2010年12月3日12時50分頃

こんなアナウンスが出ていますね……【重要】「スクリプトによる貼りつけ処理」に関する脆弱性について (www.fenrir.co.jp)。

Sleipnir、Grani には、デフォルトの設定でウェブサイト側からクリップボードの内容が盗聴・改竄されるおそれがある脆弱性が存在します。
本日 15:00 に差し替えを行いましたので、上書きインストールを行うか、下記の設定を変更して下さい。
(～中略～)
1. IE6 以前を使用している場合
「ツール」メニューから「インターネットオプション」を選ぶ。
「セキュリティ」タブを選び、「レベルのカスタマイズ」ボタンを押す。
「スクリプト」の項目にある「スクリプトによる貼り付け処理の許可」の項目を「無効にする」または「ダイアログを表示する」に設定する。
※「インターネットオプション」の設定を使用するため「Sleipnir(Grani) オプション」で設定の必要はありません。

これ、IEの「スクリプトによる貼り付け処理の許可」の設定ですね。IE6のデフォルト設定が危険であることはよく知られていると思いますが、Sleipnir、Graniはこの設定のまま動いてしまっていたという話なのでしょう。「スクリプトによる貼りつけ処理の脆弱性で Sleipnir/Grani/TB-8 が差し替え (pnir.sitemix.jp)」によると、新バージョンではSleipnir、Grani側でその設定を上書きする設定があり、それがデフォルトで「ダイアログ表示」になっているようです。

これ、普通に考えるとむしろIE6の脆弱性のような気もしますが……。これがSleipnir、Grani側の脆弱性なのだとすると、

(2)　「スクリプト」項目の[Javaアプレットのスクリプト][アクティブスクリプト][スクリプトによる貼り付け処理の許可]で、それぞれ[有効にする]を選びます。

以上、Yahoo! JAPANのページ全般ヘルプ - JavaScriptの設定方法より

……なんて書いているサイトはどうなるのでしょうね。

※以下、2010-12-04追記

……と思っていたのですが、ちょっと違っていたようです。Sleipnir/Graniの旧バージョン使用かつIE6SP1の環境では、インターネットオプション側で「ダイアログを表示する」にしていても「有効」にされてしまうのだそうで (Re:「Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性」)。これなら、Sleipnir/Grani側にも問題があると言えそうですね。

練炭さん、情報ありがとうございました。

「Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性」へのコメント (2件)

関連する話題: Web / セキュリティ

2010年11月30日(火曜日)

三菱インフォメーションシステムズが謝罪

公開: 2010年12月3日12時30分頃

三菱インフォメーションシステムズが会見を開き、謝罪を行ったそうで。津田大介さんによる記者会見の報告がまとめられています。

11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見：津田大介さんによるtsudaりまとめ (togetter.com)

プレスリリースも出ていますね。

弊社図書館システムに生じた問題について（お詫び）| MDIS (www.mdis.co.jp)

入札参加停止措置を受けての発表なのでしょうか。いずれにしても、システム側に問題があったことを公式に認めたという点は大きな前進だと思います。

しかし、プレスリリースを細かく見ていくと、気になるポイントもいくつかありますね。

2010年3月中旬から5月中旬にかけて、新着図書情報をプログラムを使って取得する機械的なアクセスがありました。
このプログラムは、図書館が提供するホームページから蔵書データベースに直接アクセスする方式で、人がホームページの画面から操作する頻度を超えるアクセスが機械的に繰り返されました。
この頻度の高い機械的なアクセスが行われた際、他の利用者がホームページを利用するとつながりにくい、または、つながらないというアクセス障害が発生いたしました。

「頻度が高い」ということを繰り返し言っているように読めますが、それほど頻度は高くなかったのではないでしょうか。「人が操作する頻度を超える」とも言っていますが、素早く操作すれば十分に出る頻度だと思います。

原因及び処置状況
弊社図書館システムのインターネット接続方式は、1回のホームページアクセスに対して10分間、データベースとの接続を維持する仕様となっていました。
今回の頻度の高い機械的アクセスにより、データベースの同時接続数が設定値を超えたため、アクセス障害が発生したものです。
障害発生の連絡を受け、弊社は他の利用者へのサービスを優先し、この機械的なアクセスを回避する種々の処置を講じましたが、完全な回避はできませんでした。
その後6月に、他の図書館でも、頻度の高い機械的なアクセスが見られたため、弊社は同じ仕様の図書館システムで同様のアクセス障害が発生する可能性があると判断し、接続方式を従来の一定時間維持する方式からアクセスの都度、接続する方式に改めることといたしました。
新しい接続方式は、6月末より改良開発を行い、対象となる28の図書館の改修を7月から順次実施し、11月15日に完了しております。

これは誤解を招きそうな説明ですね。アクセスの頻度や「機械的なアクセス」かどうかという点が重要であるかのように読めますが、そうではないはずです。アクセスの頻度が高くても、Cookieを処理していれば問題は起きにくい作りでした。逆に、Cookieを無効に設定している利用者がブラウザでアクセスした場合にも問題が起きる作りです。この点は「岡崎市立中央図書館のサービスが停止した理由」にも書きましたが、高木さんのまとめが詳しいですね……「三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) (takagi-hiromitsu.jp)」。

プレスリリースでは「システムインテグレーターとしての責任」についても述べられています。

弊社は図書館システムにおいて、以下の責務を果たすことができていなかったと認識しております。
1.今回のアクセス障害が発生した際、弊社はシステム解析や性能調査による原因の究明を行わず、図書館への説明も不十分でした。また、障害情報を開発部門で分析し対策を講じることを怠りました。この結果、3月中旬の障害発生後、これを解消する6月末の提案を行うまで約3ヵ月間、障害の可能性が続いてしまいました。
2.個々の図書館のカスタマイズや保守を、顧客に対応するシステムエンジニアに任せており、情報が拠点に分散していたため、根本的な分析と改修に時間を要しました。

このあたりは重要だと思います。不具合のない完璧なシステムを作ることはほとんど不可能なわけで、大切なのは、不具合があったときにどうするかです。特に「図書館への説明も不十分」という点が大きな問題だったのではないかと思います。

今回の件で私が特に驚いたのは、robots.txt が図書館の了承なしに配置されていたらしいという点です。クローラによるアクセスがあると動かなくなる、ということが分かっていたから無茶苦茶なrobots.txtを置いて対策したのだと思いますが、その対策の意味をきちんと説明していれば、こんなことにならなかったのではないでしょうか。

しかもこのrobots.txt、ドメイン全体に対してアクセス拒否する設定になっていて、図書館のサイトがまともに検索できない状態になっていたという……。置く方も置く方ですが、置かれた方もこの状態で問題に気づいていないというのが悲惨です。普通のサイトは「利用者が検索エンジンで検索して訪れることができるように」と配慮してSEOなんてことをやったりするわけですが、そういうことをしようとしたら普通に問題に気づくはずです。それがないということは、まともなサイト運営が行われていないと言ってしまって良い状態だと思います。

どうも、「どうせ図書館の人はIT音痴だから説明しても分からないだろう」などという考えがあったような気がしてなりません。そうだとしたら、そう思われる方にも問題はあるのでしょうね……。

※後半の個人情報流出に関しては、私はよく知らないのでとりあえずノーコメントで。たぶんたりきさんがコメントされるでしょう。:-)