Yuriko.Net 個別記事

2009-02-26
くもり

つくば観光協会に電話した

ゆりこ による 10:23:36 の投稿
カテゴリー: ソフトウェア,社会問題
タグ: , ,

つくば方面で素の Mobile Eye+ を使っているサイトがある」という報告を発見したのですが、執筆者は「サイト運営者に連絡していない」ようでした。「それはあかんやろ」と思ったので、つくば観光協会にサイトについて電話で質問してみました。すると、以下のような回答でした。

  • ウェブサイトの更新は、観光協会の職員さんが行なわれている。
  • サイトの構築は業者に発注。
  • 携帯対応は、業者からの提案で、設置作業も業者が実施。
  • 発注先の業者がどこかは教えられない。

その後、Mobile Eye+ の脆弱性についてしゃべってサイトが危険なことを伝え、口頭では分かりにくいため、回避策・対応策についてはメールいたしました。ウェブサイト担当者の方には真摯に受け止めて頂けました。ありがとうございます。

つくば方面というと、わたしが以前叩いた「ある業者」がありますが、わたしの指摘以降、ちょっとはマシになったかと思っていました。もし、梅まつりウェブサイトの構築が「そこ」ならば、やっぱしまだスキルが低いままなのかなーということですね……。そういう業者は、市や観光協会が「指名停止処分」にするべきでしょう ;-) 土木や建築だったら、欠陥工事レベルですから、指名停止になってておかしくないわけで、IT 関連でも同じ措置があってもよいかと。

[追記 18:35] 昼すぎに観光協会から連絡があり、業者に対応を取って頂いたそうです。こちらでも、脆弱性が回避できていることを確認できました。さすがに「直接電話する」のは効果がありますね。もちろん、観光協会および業者さんの対応が早かったことは特筆すべきことだと思います。(業者さんは) 知識や情報収集能力が足りないっぽいですが、それを行動力でカバーといったところでしょうか ;-)

トラックバック・コメント »

  1. 私が連絡したところで、動かないですからあそこは。
    業者は以前も指摘があり知ってたが、知らん振りなんです。

    サイトの構築は業者に発注とのことですが、公開されていますよ。
    既にお気づきだとは思いますが、
    筑波山梅まつり公式Webサイトの投稿者の一人、ishiharaさんのところのようです。

    筑波山梅まつり公式Webサイトからもリンクがはられている(Author: ishihara)ので確認してください。

    ishihara氏のサイト、http://www.adad.be/内で、土浦市相撲連盟・筑波山梅祭りについて書いてあります。

    • 私が連絡したところで、動かないですからあそこは。
      業者は以前も指摘があり知ってたが、知らん振りなんです。

      そうなんですか? わたしが電話したところ、観光協会にはすぐに対応してもらえましたよ?? 業者の方は、わたしが以前批判した「ある業者」ならば、記事を作ってすぐ連絡がありました。なので、観光協会も業者も「動かない」ということはないと思います。

      むしろ、脆弱性の発表だけして何もしないのは、かなりやばいです。それはスクリプトキディーと同じになってしまいます。発表するならば、*事前に* 相手に通知して、しばらく応答がないときに限定するべきです。それでも、自サイトで公表するのは避けて、JVN や JPCERT/CC に報告するべきです。このような第3者機関を通じても反応がなければ、自サイトで書いても仕方ないとは思います。

      # JVN とか JPCERT/CC とかが何か知らないなら調べてみてください。これらを知らないでセキュリティーについて語るのは「もぐり」です。

      ishihara氏のサイト、http://www.adad.be/内で、土浦市相撲連盟・筑波山梅祭りについて書いてあります。

      つくば観光協会については事例がありますが、梅まつりについては見あたりませんでした (削除された??)。

      • エントリーは消されましたみたいです

        私のエントリーで伝えたかったことは、セキュリティの話ではないような…。
        とりあえず、私は間違いなくモグリです。

        おみたこからのコメント
        • エントリーは消されましたみたいです

          ああ、それは残念。ウェブ魚拓を取っておいてもらえればよかったのですが、後の祭ですね。

          というか、紹介事例を消すというのは、自分のやってることに自信がない証拠ですね。やっぱり「ヘボ業者」タグを付与した方がいい気がしてきました。そして、つくば市にはぜひとも「指名停止処分」を敢行してもらいたいものです ;-)

          私のエントリーで伝えたかったことは、セキュリティの話ではないような…。

          セキュリティーでないとしたら、どういう意図でしょうか?? 「業者叩き」になってしまう気もするんですが……。なお、アダルト広告回りも、広い意味でセキュリティーです (危機管理とも言えますが)。

          • 市と繋がりのある観光協会のサイトと梅まつりのサイトでほぼ同じ情報を流しています。

            梅まつりのサイトはシーズンのみの投稿であり、協会のサイトがあるのに新たにサイトを作る必要はあったのか
            また、梅まつりのサイトの投稿者が業者であり、本来ユーザが更新するためのものであれば権限を持つアカウントが生きていることはおかしいです。生かしておくにせよ投稿者としての情報は公開しないはずです

            まさか、協会の人が空何とかしてるわけじゃないよね?と言った疑いもでてきます。

            ほかにも記事の目的がありますが、ここでは書きにくいのであとでメールしますね。

            おみたこからのコメント
            • 梅まつりのサイトはシーズンのみの投稿であり、協会のサイトがあるのに新たにサイトを作る必要はあったのか

              なるほど、社会的な内容の指摘でしたか。それですと、WordPress のバージョンを出す必要はなくて、まして、Mobile Eye+ を使っていることも出す必要はなかった気がします。単純に、観光協会のウェブサイトと、梅まつりのウェブサイトを比較して、類似性を検出すればいいと思います。IP アドレスから、ホスティング先も同一であると類推できるでしょう。

              社会的な方面については、わたしも興味はあるものの、あまり得意な分野ではないので、その方向性で批判をする予定はありません。ぜひがんばってください。

上に戻る

※スパム対策プラグインの影響により、すぐにトラックバックが反映されない場合があります。お手数ですが、半日ほど待ってみてください。

コメント投稿

※発言の責任を明確にするため「名無し」「通りすがり」「匿名希望」等の匿名は不可とします。捨てハンドルでもいいので必ず名乗ってください。
XHTML (使えるタグ): <a href="" title="" ktai=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt=""> .
※スパム対策プラグインの影響により、すぐにコメント内容が表示されない場合があります。お手数ですが、半日ほど待ってみてください。

上に戻る