サイト管理者の事前対策

サイトの管理者は、次の2点を徹底してください。

何をおいてもこれです。相手の情報がなければ対策などが限られてきます。

簡易的なものでかまいません。無料でCGIを配布しているサイトもありますので、 そちらを利用するのが良いでしょう。

サイト管理者に質問や問い合わせをするために、メールアドレスの記載はしておきましょう。ただし、プロバイダーなどのメールアドレスは載せずに、フリーメールなどを載せるようにしてください。

最近は、メールアドレスを自動で回収して「広告メール」や「ウイルス」を送ってくることが多いです。これらの被害を最小限にするために、プライベートなメールアドレスの公開は止めましょう。

例えば、Yahooに登録している方の情報は、以下で確認できます。

http://user.auctions.yahoo.co.jp/jp/show/aboutme?userID=ユーザID

パスワード制限があったとしても、「?変数=（該当文字）」の形式でデータの受け渡しを するCGIの脆弱性をつき、個人情報や、閲覧不可能のデータを入手可能なことがあります。

しかも、これは必ずしも「不正アクセス」には該当しません。ただし、著作権協会（ACCS）へ京大の研究員が不正アクセスしたとして、現在問題となっています。

「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、この男性の目的が本当に『CGIの脆弱性の指摘』であれば、実際に個人情報を入手し、不特定多数の人の前で公開することまでは必要なかったと考えます」

著作権協会（ACCS）は以上のようにコメントしており、この男性のとった行動に問題があったとしています。

「フリー掲示板」などを利用する場合は、多くの方の利用している有名なサイトを利用しましょう（サポート掲示板などが充実しているサイト）。

また、プログラマは自分のプログラムに過信せず、常にセキュリティーチェックを怠ってはいけません。

特に、「個人情報などの秘密データ」に外部変数を変更してアクセスできるシステムの場合は、プログラム仕様の変更をお願いします。

通常の掲示板は、フリーサイトから頂くことが多いため、認証付きの場合でも、 掲示板の設置が容易なように、ログファイルをオンライン上に置いたままになっています。

このとき、第3者がログファイルの名前を知っていたとき、認証制限があったとしても、 直接ファイルをダウンロード可能なことがあります。

具体的には、出会い系サイトで多いCGIに「jewel.cgi」などがあります。 この名前でgoogle検索を用いて、探すと4000件程度見つかります。

通常、「個人情報は相手には見えません」となっていますが、フリーのままのファイル名で 利用していると、このような問題が生じることがあります。

規約をよく読み、ファイル名の変更も出来ない方は、フリーCGIを利用してはいけません。

ログファイル名がデフォルト（初期設定）のままだと、 相手に知られてしまう恐れがあります。掲示板など、 投稿者のホスト名を表示しない設定にしておいても、勝手に見られてしまえば意味がありません。 出来るだけ想像しにくい名前にしておくことです。 『log』や『dat』・『txt』といった拡張子は避けたほうが良いかもしれません。

また、フリーCGIを提供されている方は、エンドユーザに分かりやすいように説明・サポートを怠ってはいけません。

※　「著作権」だけは立派に主張して、サポートがが適当な方が多いです。「如何なる不利益も私は責任持ちません」と言えるのは、最低限の事を説明した上でです。

これは、上記と同様で、標準で設定されているパスワードを変更しない為の漏洩です。

通常、フリーCGI掲示板などでは、著作権表示のためのサイトの最下部に、作者のアドレスが記載されています。

このアドレスから、実際にプログラムをダウンロードし、記述されている「パスワード」を打ち込んでみると、管理人権限で入れることがあります。

方法をよく読み、パスワードの変更は、必ず行いましょう。

また、フリーCGIを提供されている方は、エンドユーザに分かりやすいように説明・サポートを怠ってはいけません。

ただし、この場合はユーザに問題があります。「セキュリティー」意識をしっかり持ちましょう。

例えば、私の掲示板は

すべてのディレクトリに『index.html』を置きましょう。 これがないとディレクトリの中が全部見られてしまうサイトがあるからです。 『index.html』自体は何もない空白のページでかまいません。

この問題を解決するには、各フォルダに「index.html」ファイルを置くか、 「.htaccess 」を作成する必要があります。

現在のYahooBBの個人情報漏洩や、ジャパネットの漏洩がこれです。 関係者の誰かがパスワードを不正利用し、個人情報を盗む、あるいはパスワードを他人に教えるなどです。

これを防ぐには、

・個人に割り当てるパスワードをバラバラにし、誰がばら撒いたかの特定を行う
・社内での個人情報の重要性を、社員に徹底させる

程度しか考えつきません。人為的なもののため、今後の対策が早急に必要な問題です。

googleでは、サイトの「Not Found」を防ぐため、キャッシュサービスを行っています。 しかし、サイトによっては「一定期間を過ぎると、会員以外のデータ閲覧不可能」と言うサービスを行っていることもあります。 この場合、会員以外でもgoogleキャッシュで閲覧可能となり、現在問題となっています。

同様に、海外のサイトには、世界のサイトを蓄積しているオンライン図書館があり、同様に長所・短所を持っています。

これを防ぐには、

・次のメタ タグ要素をページの HTML コードに挿入します。
・Google の、自動 URL 削除システムを使用

程度しか考えつきません。人為的なもののため、今後の対策が早急に必要な問題です。

掲示板以外にセキュリティーホールがあり、そこから進入することがあります。 また、「パスワード解析ツール」などを利用して、パスワードを解析してしまうものもあります。

上記の方法は、私はわかりません。色々なハッキングソフトがあるので、玄人はそれを使って入ってくると思います。

今まで説明してきた以外の方法でデータが不正入手された場合は、「不正アクセス違反」だと思います（私が知らないだけかも知れませんが・・・）。

サーバ管理者等に問い合わせを行い、不正進入の経路を調べてもらい、早急な対策が必要です。