Yuriko.Net 個別記事
2009-02-26

つくば観光協会に電話した
「つくば方面で素の Mobile Eye+ を使っているサイトがある」という報告を発見したのですが、執筆者は「サイト運営者に連絡していない」ようでした。「それはあかんやろ」と思ったので、つくば観光協会にサイトについて電話で質問してみました。すると、以下のような回答でした。
- ウェブサイトの更新は、観光協会の職員さんが行なわれている。
- サイトの構築は業者に発注。
- 携帯対応は、業者からの提案で、設置作業も業者が実施。
- 発注先の業者がどこかは教えられない。
その後、Mobile Eye+ の脆弱性についてしゃべってサイトが危険なことを伝え、口頭では分かりにくいため、回避策・対応策についてはメールいたしました。ウェブサイト担当者の方には真摯に受け止めて頂けました。ありがとうございます。
つくば方面というと、わたしが以前叩いた「ある業者」がありますが、わたしの指摘以降、ちょっとはマシになったかと思っていました。もし、梅まつりウェブサイトの構築が「そこ」ならば、やっぱしまだスキルが低いままなのかなーということですね……。そういう業者は、市や観光協会が「指名停止処分」にするべきでしょう 土木や建築だったら、欠陥工事レベルですから、指名停止になってておかしくないわけで、IT 関連でも同じ措置があってもよいかと。
[追記 18:35] 昼すぎに観光協会から連絡があり、業者に対応を取って頂いたそうです。こちらでも、脆弱性が回避できていることを確認できました。さすがに「直接電話する」のは効果がありますね。もちろん、観光協会および業者さんの対応が早かったことは特筆すべきことだと思います。(業者さんは) 知識や情報収集能力が足りないっぽいですが、それを行動力でカバーといったところでしょうか
トラックバック・コメント »
コメント投稿
カレンダー
2月 2009 月 火 水 木 金 土 日 « 1月 3月 » 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 - 5日 JR東日本への乗車ボイコット(3月4日まで)
- 8日 宮崎市内で不発弾処理
- 9日 11日までNHK番組技術展 (渋谷)
アーカイブ
- 1997年 (5)
- 1998年 (12)
- 1999年 (6)
- 2000年 (128)
- 2003年 (17)
- 2004年 (99)
- 2005年 (393)
- 2006年 (393)
- 2007年 (311)
- 2008年 (373)
- 2009年 (213)
- 2010年 (124)
- 2011年 (137)
- 2012年 (41)
- 2013年 (32)
- 2014年 (30)
カテゴリー
- WordPressハック (468)
- モバイル・携帯電話 (287)
- 旅行 (208)
- テレビ・メディア (174)
- イベント (147)
- 更新履歴 (138)
- ソフトウェア (126)
- 社会問題 (119)
- 日常生活 (101)
- アップル・Macintosh (94)
- 食べ物・料理 (93)
- ジェンダー・セクシャリティー (86)
- カメラ (83)
- ふりひら (69)
- 鉄道 (67)
- ユニバーサル・スタジオ・ジャパン (62)
- 阪神タイガース (58)
- ネットワーク (56)
- 愛知万博 (33)
- スポーツ (28)
- コンピューター (24)
- 航空 (17)
- オリンピック・パラリンピック (17)
- 読書 (9)
- 音楽 (9)
- Raspberry Pi (8)
- 映画 (6)
主なタグ (まだ整備中)
au
Bluetooth
E03CA
EM・ONE
GPS
HT-03A
Ktai Entry
Ktai Location
Ktai Style
Lightweight Google Maps
Mobile Eye+
NHK
Nikon
WordBench
WordCamp
WX310K
イー・モバイル
ウィルコム
ウェブログ管理
オープンソースカンファレンス
ケータイ大喜利
スライド
セキュリティー
ソフトバンク
テンプレート
ドコモ
バグ
フィルム
プラグイン
ベータ版
メール投稿
モニター
モバイル対応
モバイル投稿
モブログ
リリース
位置情報
停波
携帯対応
携帯閲覧
料金プラン
最新版
玖伊屋
絵文字
防水端末
メタ情報
- RSS フィード
- Atom フィード
- トラックバック・コメントの RSS
- XHTML 準拠 の検査
- XFN
- Powered by WordPress
私が連絡したところで、動かないですからあそこは。
業者は以前も指摘があり知ってたが、知らん振りなんです。
サイトの構築は業者に発注とのことですが、公開されていますよ。
既にお気づきだとは思いますが、
筑波山梅まつり公式Webサイトの投稿者の一人、ishiharaさんのところのようです。
筑波山梅まつり公式Webサイトからもリンクがはられている(Author: ishihara)ので確認してください。
ishihara氏のサイト、http://www.adad.be/内で、土浦市相撲連盟・筑波山梅祭りについて書いてあります。
そうなんですか? わたしが電話したところ、観光協会にはすぐに対応してもらえましたよ?? 業者の方は、わたしが以前批判した「ある業者」ならば、記事を作ってすぐ連絡がありました。なので、観光協会も業者も「動かない」ということはないと思います。
むしろ、脆弱性の発表だけして何もしないのは、かなりやばいです。それはスクリプトキディーと同じになってしまいます。発表するならば、*事前に* 相手に通知して、しばらく応答がないときに限定するべきです。それでも、自サイトで公表するのは避けて、JVN や JPCERT/CC に報告するべきです。このような第3者機関を通じても反応がなければ、自サイトで書いても仕方ないとは思います。
# JVN とか JPCERT/CC とかが何か知らないなら調べてみてください。これらを知らないでセキュリティーについて語るのは「もぐり」です。
つくば観光協会については事例がありますが、梅まつりについては見あたりませんでした (削除された??)。
エントリーは消されましたみたいです
私のエントリーで伝えたかったことは、セキュリティの話ではないような…。
とりあえず、私は間違いなくモグリです。
ああ、それは残念。ウェブ魚拓を取っておいてもらえればよかったのですが、後の祭ですね。
というか、紹介事例を消すというのは、自分のやってることに自信がない証拠ですね。やっぱり「ヘボ業者」タグを付与した方がいい気がしてきました。そして、つくば市にはぜひとも「指名停止処分」を敢行してもらいたいものです
セキュリティーでないとしたら、どういう意図でしょうか?? 「業者叩き」になってしまう気もするんですが……。なお、アダルト広告回りも、広い意味でセキュリティーです (危機管理とも言えますが)。
市と繋がりのある観光協会のサイトと梅まつりのサイトでほぼ同じ情報を流しています。
梅まつりのサイトはシーズンのみの投稿であり、協会のサイトがあるのに新たにサイトを作る必要はあったのか
また、梅まつりのサイトの投稿者が業者であり、本来ユーザが更新するためのものであれば権限を持つアカウントが生きていることはおかしいです。生かしておくにせよ投稿者としての情報は公開しないはずです
まさか、協会の人が空何とかしてるわけじゃないよね?と言った疑いもでてきます。
ほかにも記事の目的がありますが、ここでは書きにくいのであとでメールしますね。
なるほど、社会的な内容の指摘でしたか。それですと、WordPress のバージョンを出す必要はなくて、まして、Mobile Eye+ を使っていることも出す必要はなかった気がします。単純に、観光協会のウェブサイトと、梅まつりのウェブサイトを比較して、類似性を検出すればいいと思います。IP アドレスから、ホスティング先も同一であると類推できるでしょう。
社会的な方面については、わたしも興味はあるものの、あまり得意な分野ではないので、その方向性で批判をする予定はありません。ぜひがんばってください。