質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.35%

  • PHP

    25485questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    7412questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • HTTP

    686questions

    HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

  • MariaDB

    407questions

    MariaDBは、MySQL派生のオープンソースなリレーショナルデータベースシステムです。 また、MySQLとほぼ同じデータベースエンジンに対応しています。

脆弱性により、本来知ってはならない情報を知った時

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 846

p_np

score 37

Webアプリケーション脆弱性により、本来知ってはならない情報を知った場合は、しっかりと報告すれば問題はないのでしょうか? ケースとしては

  • ボタン操作の誤りなど、偶然的に脆弱性を見つけた場合
  • 意図的に脆弱性を見つける目的で、何らかの操作(SQLインジェクションなど)をした場合

です。

よろしくおねがいします

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+11

IPAの脆弱性報告窓口というのがあります。 http://www.ipa.go.jp/security/vuln/report/ こちらに報告するのが現在最も間違いのない手段です。 サービス事業者に報告してももちろん構わないのですが、握りつぶされる、もしくは犯人扱いされるという事態を避けるには公的機関を経由する方が確実です。

なお、

- 意図的に脆弱性を見つける目的で、何らかの操作(SQLインジェクションなど)をした場合

ですが、正常な操作での振る舞いから脆弱性の存在が強く疑われ、報告するためにも裏付けを取りたいような場合というのは存在すると思います。そういうときは高木浩光氏のブログが参考になるのですが、あくまで合法な手段だけで証明できないか、つまり自分のアカウントや自分のマシンに対してのみ攻撃を仕掛けるような手法でのみチャレンジしてください。

それにはもちろん、何が合法で何が違法か判断が付くだけの法律の知識も必要になってきます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/12/10 12:07

    高木浩光氏のブログ、なんの説明もなしに紹介しても何が参考になるのかわからなかったかもしれません。
    最近の記事こそ法律や社会制度についてばかりですが、メインテーマは情報セキュリティ・情報プライバシーで、10年くらいまではかなりアグレッシブに各種ネットサービスの脆弱性やプライバシー侵害を指摘していました。相手がGoogleだってまったく容赦なしの超攻撃的ブログです。
    目次からそういう脆弱性の分析・指摘をしているような記事を探せると思いますが、分析・証明の手段はとにかく慎重。絶対に自分が攻撃者とならないような手段を徹底しているのです。そういった分析手法を参考にしてもらえればなと。

    ここからは余談になりますが同時期、10年前くらいに情報セキュリティ分野で名を馳せたスーパーハッカーのはまちちゃん氏(はまちや2氏とも)という人がいて、この人が高木浩光氏と正反対の活躍をしていました。
    脆弱性を見つけると、大々的ないたずらを仕掛けるのです。mixiを大混乱に陥れたはまちちゃん事件とか。まあ完全にこれ違法なんですが、この事件まではCSRF脆弱性なんてほとんど知られていなかったのに事件を機に一般常識レベルになったりしたんでセキュリティ文化的にはプラスの貢献だったと言うべきなんでしょうね。

    キャンセル

  • 2015/12/11 19:40 編集

    今回はあるWebサービスで、ある操作(*)をしたときに理論上任意のSQLコードを実行できてしまう脆弱性を見つけました。しかし、報告すると悪者扱いされるのではないかと心配し、このことに対して皆様がどのようにお考えなのかを知りたいため質問させていただきました。
    *SQLインジェクションではなく、ボタンなど既に設置されているものを操作
    今回のことについては、その企業に相談しますが、今後相談しにくい事態が発生した場合はIPAの脆弱性報告窓口に報告することにします。

    脆弱性に関する実際に発生した事件なども例示していただきありがとうございます。とても参考になりました。

    キャンセル

  • 2015/12/12 08:15

    GUI操作だけでSQLインジェクションが可能なサイトを作れちゃうの、もはや何かの才能を感じますね…

    キャンセル

+2

Web の管理者と貴方の立場によるのではないでしょうか?

単純な操作ミスによるケース等は、報告すれば感謝される場合もあるでしょう。 ただ、脆弱性発見の目的でも、その行動がオーソライズされた立場での行動でなければ、インジェクションなどはその目的を問われて窮地に立つ場合もあるでしょう。


余談になりますが、単なる興味本位でアメリカのサーバーにいたずらしてサーバーをクラッシュさせてしまい、訴訟を起こされた例を知っています。その人は訴訟を回避するために、アメリカまで行って悪意がない?ことを釈明する羽目になりました。(笑)

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/12/10 12:57

    法的リスクという点では、日本だとLibrahack事件がもっと印象に残ります。
    この事件ではいたずら・攻撃をしたわけでもなくサーバー負荷にも配慮してアクセスするプログラムを使ったのに(サーバー側のバグにより)サーバーが落ちたことでそのプログラマが逮捕されたというもの。

    サーバー管理者と警察の心証次第でどうとでもなってしまう現実、どうかお気を付けください。

    キャンセル

  • 2015/12/10 16:20

    「相手の心証次第でどうにでもなってしまう」というのに激しく同意いたします。

    「意図的に脆弱性を見つける目的で…」とは言っても、当事者や社会的な同意や許可がなければ問題は大きい気がしますね。

    正当な依頼があっての事ならともかく、ここの家は防犯が弱そうだとピッキングして鍵が開いたぞ!と言ったら、悪意ある目的でなかったか勘ぐられるリスクは非常に大きいでしょうね。

    キャンセル

  • 2015/12/11 19:46

    ご回答ありがとうございました。
    「意図的に脆弱性を見つける目的」は、よく考えてみると問題ですよね。今回は意図的に脆弱性を見つけようとしたわけではないのですが、仮にこのような行為をした場合にどのような扱いを受けるのかわからなかったため、質問させていただきました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.35%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • PHP

    25485questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    7412questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • HTTP

    686questions

    HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

  • MariaDB

    407questions

    MariaDBは、MySQL派生のオープンソースなリレーショナルデータベースシステムです。 また、MySQLとほぼ同じデータベースエンジンに対応しています。