Yuriko.Net 個別記事

2009-02-10
晴れ

脆弱性あり Mobile Eye+ を使っていた業者

ゆりこ による 03:38:30 の投稿
カテゴリー: ソフトウェア,社会問題
タグ: , , ,

Mobile Eye+ に XSS 脆弱性があることを発表して以来、ブログ検索などで、素の Mobile Eye+ を使っている人を見つけては、拙作のパッチを紹介するという活動をしています。多くの方がびっくりされますが、パッチを適用して頂いています。ありがたいことです。反面、書いたコメントが「承認待ち」のまま放置という状態もあって、これは悲しいです。放置していても、自身のサイトが攻撃されたり、他のサイトを攻撃する踏み台にされるだけで、それは自業自得ですから、仕方ないのですが……。

このとき、いくつかの Mobile Eye+ 利用サイト (Google 検索へのリンク) が、ほぼ同じデザインなことに気がつきました。どう見ても、「業者から購入したテンプレートそのままの状態」で、非常に情けないです。念のため、見つけたサイトすべて (コメントが閉じられている1サイト除く) にコメントを書きましたが、5日ほど経過しても反応がありません……。(すべて「承認待ち」のため、わたし以外にはコメントの存在は見えません)

よーく調べてみると、どうやら、「HyperBlogger (ハイパーブロガー)」というツール (というかテンプレートセット) で作ったを購入した人向けの専用テンプレートを適用したサイトのようでした。つまり、販売業者は「脆弱性がある Mobile Eye+ を含むツール」を売っている代行インストールしたわけです!!

Mobile Eye+ の XSS 脆弱性が見つかったのは今年1月7日ですから、それ以前に販売した顧客への対応が困難なのは仕方ないです。でも、手前が販売したソフトウェアならば、脆弱性情報などもきちんと入手して、利用者に通知するのがあるべき姿でしょう。(まあ、スパムブログ生成ツールを作っている時点で、到底「マトモ」とは言えないですが ;-) →先方から連絡があり、「顧客に案内を行う予定である」とのことでした。すばらしい!!

まっとうな WordPress ブロガーがこのようなツールを買う代行インストールサービスを利用するとは思えませんが、じゅうじゅう注意されるようお願いします。なお、拙作の Ktai Style をベースに「PC & 携帯サイト同時生成ツール」を売っている業者もあるようですが、Ktai Style の最新版情報をいち早く入手されて、顧客に通知されることをお願いいたします。

ちなみに、WordPress, Ktai Style はどちらも GPL に基づくオープンソースなので「自動生成ツールと抱き合わせで配布することを禁止する」なんてのは無理なんです。オープンソースソフトウェアは、「利用する分野を制限してはならない」ので、極端な話、テロリストが使用することも認めないといけないのです。


[追記: 2009-02-11 03:30] 本日、深夜0時20分ごろ、HyperBlogger 開発元の「デジステイト」さんからメールが届きました。以下のような概要です。

  • HyperBlogger はあくまで、ローカルアプリケーションであること (WordPress、Mobile Eye+ やブログテンプレートは含まない)
  • HyperBloggerの開発の意図としては、決してスパムを目的としたブログを生成することではない。(ただし、利用者の多くはアフィリエイトを目的としている現状である)
  • キーワードなどを指定して自動的に同一のページが生成される機能はない。必ずユーザ側での編集作業が必要。
  • 既存の企業ポータルサイトや一部会員制サイトでの利用実績がある。
  • HyperBlogger の購入者に対して、特製のテンプレートや必須プラグインを含む WordPress 代行インストールサービスを行なっている。
  • 設置代行したユーザーに対して、Mobile Eye+ パッチの適用またはKtai Style などの代替プラグインを自身にて適用されるよう案内する予定。

わたしは完全に誤解していて、HyperBlogger (14,800円) には WordPress, Mobile Eye+、特製テンプレートが附属しているのだと思っていました (GPL アプリを有償で売ることは問題ないので)。自身で WordPress インストールが難しい人向けに、2,500円で代行インストールを行なっているのだと思っていました。実は、Mobile Eye+ の設置は、代行インストールの一環で行なっていたようです。

上記のような指摘がありましたので、タイトルおよび本文を修正し (旧タイトルは「脆弱性あり Mobile Eye+ を含むツールを売る業者」)、「ヘボ業者」タグは外させて頂きました (このようなタグを付与して申し訳ありません)。アフィリエイト目的のブログ作成という行為は個人的に感心はしませんし、それに使えるツールについては全く興味がないです。でも、この記事の目的は「セキュリティーの向上」にあるので、それに対する対策を取って頂けるならば、何の問題もありません。

このような「毒記事」なのに、素早く丁寧な連絡を行なってくることは驚きでした。自社製品によっぽど自信があるのだと思いますね〜〜。

トラックバック・コメント »

  1. 先日mobile Eye+の脆弱性についてコメント頂いた水天工房の水天堂と申します。
    最初、メールアドレスの件もあり、半信半疑処か一信九疑の状態でこちらに伺ったのですが、結局「ktai style」へ乗り換えすることにいたしました。
    (メールでの投稿が個人的にしっくり来なかったので、ktai styleならサイトからログインできるのが決め手でした。)
    とはいえ、インストールしたのは安定版の1.60ですので1.61がリリースされましたら又伺います。
    ありがとうございました。

    • わざわざお越し頂きありがとうございます。

      最初、メールアドレスの件もあり、半信半疑処か一信九疑の状態でこちらに伺ったのですが、

      qmail の拡張アドレスがあまり知られてないので、「なんでわたしのドメイン名が入っているの?」というメールアドレスは、確かに不審に思われるかもしれませんね。「-wp-」だと分かりにくいので、今後は「-mail4-」に統一することを検討しています。これならば「mail4-example.com」となるので、「サイト毎に使い分けている」ことが推測できるかも、と期待しています。サイト URL として示したページに「yuriko-wp-ドメイン名 (あっと) ゆりこねっと」というアドレスの説明を書いているので、これで疑念を晴らせるのではないかと思います。

      Ktai Style は今後もぼちぼち改善していく予定ですので、よろしくお願いします。1.61 は数日中には出せるのではないかと思います。

上に戻る

※スパム対策プラグインの影響により、すぐにトラックバックが反映されない場合があります。お手数ですが、半日ほど待ってみてください。

コメント投稿

※発言の責任を明確にするため「名無し」「通りすがり」「匿名希望」等の匿名は不可とします。捨てハンドルでもいいので必ず名乗ってください。
XHTML (使えるタグ): <a href="" title="" ktai=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt=""> .
※スパム対策プラグインの影響により、すぐにコメント内容が表示されない場合があります。お手数ですが、半日ほど待ってみてください。

上に戻る