追い打ちをかける様なIPA田中氏からの脆弱性修正指示到来


また、来ました。
我々の存在を脅威と捉えている人が多いのか?前回削除によって対応済みのハズのIPAから再度脆弱性が見たかったと連絡がありました。前回の修正分は削除という形でスパッと対応しましたが、今回の分は当ブログも連動しているのでそうもいきません。
見えない何かが動いているのでしょうか?
ともかく早急に対応致します。ご迷惑おかけいたしますが宜しくお願いします。しかし、やはりやってよい事悪い事はハッキリさせないといけませんね・・・

#########################################################################
- —————————————————————-
このメールは、取扱い番号 IPA#66901608 に関する連絡です。今後
この件で IPA にご連絡いただく場合は、メールの件名に取扱い番号
を加えてください。
- —————————————————————-
エバブラメディアサービス株式会社
代表者様

IPA セキュリティセンターの田中です。
IPA#95377573 につきまして、ご対応ありがとうございます。

この度、新規に下記ウェブページについて届出がありましたので、問題
の詳細と、今後の取扱いについてご連絡いたします。

対象のURL:
http://www.whitehackerz.jp/

以下の手順に従い、問題の詳細をご確認ください。

パスワードは IPA#66901608 と同じものを使用しています。内容を確認
いただけましたら、詳細情報を受信したことを本メールに返信する形で
お知らせくださいますようお願いいたします。ファイルが開けない等、
不明な点がありましたらご連絡ください。

<詳細情報の確認手順>
1. 添付ファイル「脆弱性関連情報_66901608」をデスクトップ等に保存
してください。

2. ファイル名の末尾に「.exe」を追加してください。

3. アタッシュケースのマークの付いたアイコンのファイルに変わりま
ので、ダブルクリックしてください。

4. パスワードが聞かれますので、入力してください。
(パスワードは IPA#66901608 と同じものを使用しています。)

5. フォルダを開き、ファイルの内容をご確認ください。
(1) 脆弱性関連情報.txt
届出情報の詳細を記載したものです。
(2) 今後のセキュリティ上の問題に関する取扱いのお願い.pdf
脆弱性の存在の確認、修正をしていただく際に、ご協力いただき
たい作業の流れを記載したものです。
(3) 修正完了報告書(記入用).txt
修正が完了した際に、修正内容等をご報告頂く為のものです。
(4) 修正完了報告書の記入方法.txt
修正完了報告書を記入頂く際の記入方法を記載したものです。

添付ファイルの内容をご確認いただけましたら、詳細情報を受け取られ
た旨を確認させていただくため、本メールへのご返信をお願いいたしま
す。

以上となりますが、よろしくお願いいたします。

------------------------------
脆弱性関連情報に関する連絡を行う際に、IPA では PGP 公開鍵
による暗号化を推奨しています。
------------------------------
独立行政法人 情報処理推進機構 (IPA)
技術本部 セキュリティセンター

そして開くと以下の内容が・・・

1.発見者からの報告(詳細情報)

発見者から次の報告が届いています。
===============================================================
1) セキュリティ上の問題を確認したウェブサイトのURL
http://www.whitehackerz.jp/toiawaset.php

2) セキュリティ上の問題の種類
クロスサイトスクリプティング

3) 問題の説明
この団体に向けてメッセージを作成し、送信確認画面に遷移した際、
ソースコードをみて ‘-’ や ‘”‘ といった文字列がそのまま送信さ
れてきたことを確認して。
当該文字列が input タグの value 内にそのまま格納されており、
たとえば、
‘ “><script>alert(1);</script><” ‘
というような文字列をフォームに設定した際に JavaScript が動作
してしまい、悪意あるコードも実行可能であると予測できるため。
===============================================================

2.IPAからの補足

このセキュリティ上の問題によって、一般的に下記の被害が発生する
可能性がありますので、早期ご対応をお願い致します。

■被害について
————————————————————
・フィッシング詐欺
ウェブサイト上に偽の情報(偽のログインフォームなど)が表示され、
フィッシング詐欺に悪用される可能性があります。

・情報漏えい
ユーザだけが閲覧できるウェブページの情報が他人に漏えいする可
能性があります。例えば、ユーザの個人情報を表示するページなど
が狙われます。
————————————————————

なお、IPAでは実際に本問題が存在するかどうかの検証を実施しており
ませんので、まずはご連絡差し上げた問題の存在有無につきまして、調
査をお願いいたします。

問題の理解、調査の際に下記資料を参考にしてください。

- IPA セキュリティセンター 「知っていますか?脆弱性 (ぜいじゃくせい)」
http://www.ipa.go.jp/security/vuln/vuln_contents/index.html
- IPA セキュリティセンター 「安全なウェブサイトの作り方」
http://www.ipa.go.jp/security/vuln/websecurity.html
- IPA セキュリティセンター 「セキュア・プログラミング講座」
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

3.今後の取扱いにつきまして

1) 一次返信
本メールが届き、内容をご確認いただいたことを確認させていただ
くため、本メールへのご返信をお願いします。

2) セキュリティ上の問題の有無の調査
セキュリティ上の問題の有無を調査してください。その結果を、本
メール受信後 20 営業日以内を目処にお知らせください。

3) セキュリティ上の問題の修正
セキュリティ上の問題が存在した場合は修正をお願いします。
修正は、3 ヶ月以内を目処に実施してください。

4) 修正完了報告書の送付
修正完了後、本メールに添付しました修正完了報告書に必要事項記
入の上、メールに添付する形で返送してください。

なお、報告書の返送方法につきましては、運営者様のセキュリティ
ポリシーに則り、お取扱いください。IPA では PGP 公開鍵による
暗号化、もしくはパスワードによるファイルの保護を推奨していま
すが、必須ではありません。

パスワード保護の例 )
・zip 形式で圧縮する際にパスワードをかける。
・Word の暗号化機能を利用する。

上記を含む今後の取扱いにつきましては、本メールに添付しました
「今後のセキュリティ上の問題に関する取扱いのお願い.pdf」に詳細
を載せております。ご参照ください。

以上、よろしくお願いいたします。 

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>