■予告.inへのXSS攻撃から得られたこと

個人的なまとめ。長い、グダグダ。あと最近見てないんでどっか可笑しいとことかあるかも。

つってもあれ以来予告.inは怖くて見ていないし、まあ今まで頻繁に予告.inを見ていたわけではないんだけども。まあ世の中では「あの程度の穴を見落とした状態で世に出すとかふざけんな(みたいな感じ？)」とか「どんな大手企業のサイトだって穴はあるし、それは仕方ないことだよ」みたいな話題ばっかな印象だった気もしたんでそれ以外のこととかも含めて。まあ忘れないようにとかのメモとかも兼ねて。

XSS攻撃をリアルタイムで見て

まあ偶然にもその日は遅くまで起きてたんでリアルタイムで遭遇したんだけど、面白いぐらいにスレが増えてた。そりゃもう落ちかけだったスレなんて一気に消されただろ、あれだったら。当然それに便乗するやつも出てくるわけで、警視庁爆笑する、とかのスレタイのスレも確か立ってたな。実際のところ、予告.inのアクセスログとか見れば分かるんだろうけど、傍目ではどこまでが攻撃を受けたせいでスレを立ててしまったのか、なんてのは全く分からなかったんだよな、これが。まあこれとかこれみたいにふざけて立てたのもあったんだけどね。
取り敢えず

• 警視庁爆破するというスレタイ
• 名前欄はfusianasan
  となっていたスレのどれだけが予告.inにアクセスしてしまった結果なのかは矢野さとるさんじゃないと分からないんじゃないかな、と思う。
  逆に踏んじゃったけどスレ立て規制で立たなかったよ、という人も結構いたし。

実際にこの脆弱性ってどうだったのよ？

まあそもそもXSSってなんぞ？みたいな自分には全く計り知れない領域なんだけど。えっと、勝手にiframeタグを埋め込まれて、その閲覧先がVIPに書き込む様に仕組まれたものになってたんだっけ？この時点で満足にHTMLとかCSSとかすら弄れていない自分にとってはすげー話なんだけど。脆弱性とか欠陥とかの全くないサイトなんてないよ、という意見は凄く分かる。けど「その気で」見たら簡単に見つかるような穴がほったらかし、てのもまあ聞いてて面白くはない話だよね。
バグだらけなのにリリースされるソフトみたいな感じか？やっぱりそう考えると…。「二時間で作ったものにそこまで期待するな」とも言われそうだけど、作ってから攻撃を受けるまでは時間があったわけだし、そう考えるともう少し頑張って欲しかった。これは結果論だよね、きっと。

犯人のやったことに関してとか

自分としてはなかなかに皮肉がこもってるよなー、という感想しか。うん、不謹慎だと思うけど大量の「警視庁爆破する」ってスレみたときは笑ったし、これは面白いと思ったんだ。まだ直ってないのに「もう直ったから見てきてみ？」みたいな書き込みもあったしね。VIPで犯罪予告のスレが立つ→予告.inに通報なんてしょうもないことを延々とやっていることに辟易していた自分からしたらこの騒動は「ときめいた」と言っても過言じゃないと思う。それぐらいに何か期待感というか、そういうものを抱いた。

まあ犯人のやったことは犯罪だけど(だよね？当然)、それでも個人的には「良くやってくれた」と思うんだよな、この件に関しては。こうやって予告.inがどうなのか考え直す機会もくれたわけだし、そもそもiframeで読み込むのがこの程度(と言ったら駄目かもしんないけど)で良かったよな、とか思う。いや、きついウイルスとかそういうのだったりしたらもっと大変なことになってた訳だし。

まあこれは予告.inに対する犯人の最大の皮肉ってことで自分は結論づけたいよ、やっぱり。もしこれが予告.inじゃないサイトを閲覧して起きるようなやつだったら、それほど面白くもない、自分も興味を抱かないような出来事ですましただろうし。こんなネタを提供してくれたことには感謝したら良いんだろうか、個人的には十分楽しめたしね。

予告.inのこれまでとこれからとか

先ずこれまでに関して。
「0円で2時間でできたよ！」までは良かったんだと思う、その発想とかあのおどろおどろしいロゴとかね。でもここ最近はそういうおもしろさを感じないんだよな、全く。VIPのネタの犯罪予告スレとかもってきて、アウトだのセーフだのよってたかって評価つけて、んでもって管理人の判断で警察に通報。

実に面白くない流れなんだと思う。こういう言い方は好きじゃないけど「何様？」と言いたくなるような感じ。やっぱり無条件で全部警察に伝えるとか、通報する/しないを判断する権限をもつ人間を複数用意して判断するとか、何かしらもう少しマシな運用方法があったんじゃないかな、とは思うんだけどな。ここで言い具体例は挙げられないんだけど。

これからに関して。
結局アレってmegaviewとか対応したんだっけ？確かしてなかったよね。うーん、あれがでてきた元が元だから、やっぱりああいうのに対応していないとあんまり意味がないような気がするんだけどな。一層のことこういうサイトを作っている会社はフィードみたいな形で情報を提供するとか？うーん、それはそれで気分の良い物じゃないよな、延々自分の書き込んでいるものを監視されてるってのは。

「殺す」とかそういうキーワードだけ抽出する、とかも少し考えてみたけど、結局これは「数す」とかそういうのが出てくるだけで、いたちごっこぽくなるよな…つーか予告.inに対するVIPのチキンレースの時点でもうなってるか。

とにかく今までの運用方法ではもう駄目なんじゃないかな、と思う。犯罪検知サイト自体あんまり意味のあるものとは思えないけど、それでも続けるというならそれ相応のスタイルとか欲しいよな。取り敢えず通報の段階で管理人「個人」の判断がかむのはなんとかして欲しいところ。

まあそれ以前に「チクって遊ぼうぜ！」みたいな場所になってしまっている時点で理念もクソもないんだし、他にも色々と至らない箇所があるんだけどまあもういいや。取り敢えず通報するのか、スレッドを削除するのかの判断が一個人に完全に委ねられている時点で公平性とかに期待しちゃいけないんだろうな、とは思う。そこはどうにかして欲しいよね。

その他諸々

• 犯行予告を監視するよりも優先すべきことが絶対にあるよね、とは先ず思う。どうしてこういう犯罪が起きるのか、はもう少し考えるべきところだと思う。それをほったらかしにして「犯行予告がネットにあがるんだったらそれを監視しよう」って考えは本末転倒というか、なんと言うか。
• やっぱ犯行予告をする人間は自己顕示欲が強いのか？それとも止めて欲しいの？全く分からない。
• そもそも犯行予告を探して、未然に予防する、ってこと自体がばかばかしい気がする。うーん、確かに見付けられたら良いけどさ、実際に犯罪を起こすような人間でわざわざ予告をする人間、ってのは限られる。そう考えるとそもそも犯罪全体の中のごく一部の、しかも実際に起きるのか分からない予告に対してそこまでのリソースを割くってのはあんまり賢くないような気が。

Permalink | 記事への反応(2) | 08:34

ツイートシェア