10周年のSPコンテンツ!

#FB良品 XSS祭りのその後:技術要素ではなく発言のまとめ

これは、セキュリティ・技術問題の話ではありませんので、セキュリティクラスタの方には興味が無いかと思います。 FB良品関係者がどのようなコメントをしたか?また、それに対してどう感じたか?のまとめです。
沖縄 九州 fb良品 セキュリティ siiis 樋渡啓祐 武雄市
15
FB良品についてはこちらにまとまっています。
リンク sites.google.com 04:FB良品 - 佐賀県武雄市の問題について:takeoproblem 樋渡啓祐が市長を務める佐賀県武雄市の問題についてまとめているページです。FB良品・F&B良品・武雄図書館・武雄市図書館・武雄市MY図書館・著作権問題・違法行為・民主主義・迫害・病院問題・指定管理・指定管理者・指定管理制度・個人情報・ウィルスブロッカー・EM菌・酵素食・法律違反・恫喝行為・暴言・情報漏えい・情報漏洩・ビッグデータ・Spotify・リコール・樋渡市長・CCC・蔦..
まとめについて

このまとめは、必要以上に 『技術的な部分には言及していません』。

また、 『FB良品』 に関しては他にも 『多くの話題や疑問提示』 などがありますが、そういう部分にも言及していませんし、まとめられているtogetterも多く存在していますが、あえて 『リンクもしていません』。

このまとめの主旨は 『安全である』 という発言がどこまで 『根拠がなくいい加減なものであるか?』 果たしてその発言を発している人物を 『信用しても良いのか?』 更に 『サイトに書かれていることの信憑性はどうなのか?』 という部分です。

必要以上に多くの要素を盛り込まなかった理由は、 『興味を持ったら、人の発言を "狂信的" に鵜呑みにするのではなく自分で調べろ』 と思っているからです。

もう一つの理由は、情報が多岐に渡ることで、本当にこれを伝えたい人( 『FB良品』を利用しようとする方々)が混乱するのを避けるためです。


『 FB良品 』にXSSの脆弱性があるということで祭り状態になった後の2012年12月11日に以下のような文章がサイトに掲載された。


この度は、検索機能に関連する不具合があり、ご利用のみなさまには、ご不便、ご心配をおかけしましたことを、お詫び申し上げます。
検証の結果、この不具合により被害が生じるアクセスは生じていないことが確認されましたので、ご安心下さい。
今後提供される、検索機能については、不具合を排除しております。
今後とも、FB良品をよろしくお願いいたします。(2012.12.11)


それを受け、 『FB良品』 の 『登録商標の保有者』 である某市長が以下のようなTweetをする。

樋渡啓祐
樋渡 啓祐 @hiwa1118

全国応援村実行委員、関西学院大学客員教授、REVICなど少々。りんごおじさん。ランナー。前武雄市長。

リンク sites.google.com 01:樋渡啓祐という人物 - 佐賀県武雄市の問題について:takeoproblem 樋渡啓祐が市長を務める佐賀県武雄市の問題についてまとめているページです。FB良品・F&B良品・武雄図書館・武雄市図書館・武雄市MY図書館・著作権問題・違法行為・民主主義・迫害・病院問題・指定管理・指定管理者・指定管理制度・個人情報・ウィルスブロッカー・EM菌・酵素食・法律違反・恫喝行為・暴言・情報漏えい・情報漏洩・ビッグデータ・Spotify・リコール・樋渡市長・CCC・蔦..
樋渡 啓祐 @hiwa1118
FB良品サイトの検索機能の不具合についてご指摘頂いた皆さん感謝。この度はご心配をかけました。すみません。関係各所の対応により問題解消済みで、念のためシステム担当に確認しましたが、被害が生じるアクセスも発生していません。ご安心下さい。今後とも「FB良品」をよろしく!
問題解消済み?

じゃあ、某市長の 『解決済み発言』 の後に出てきた、 『FB良品』 を運営されている企業の代表で、更に 『市政アドバイザー』 であるこの方の 『この発言』 は何なのでしょう?


杉山 隆志 @TakaFlight
@katoSat ご指摘ありがとうございます。確認させ、必要な処置をします
Seiji Matsuda R.I.P. @SeijiMatsuda1
問題が未処置であるにも関わらず「関係各所の対応により問題解消済みで、念のためシステム担当に確認しましたが、被害が生じるアクセスも発生していません。ご安心下さい」と言える根拠はなんだろう? https://t.co/ifxyMd26 http://t.co/6J5gmxhr
ちなみに、この 『FB良品』 を運営している企業の代表で、 『市政アドバイザー』 であるこの方は、以前(2012年5月)にこんなTweetをされています。
杉山 隆志 @TakaFlight
@ryoumax そこはそうなんですけども、個人情報については守られないことに恐怖を感じる方もいるでしょうから、難しいですよね。僕なんか、基本性善説なので、道徳でいいじゃん、とか個人的にはおもっちゃうんですが(cont) http://t.co/wUrc2a74

「基本性善説なので、道徳でいいじゃん、とか個人的にはおもっちゃうんですが(仕事がそれじゃまずいのですけどね(^^ゞ)」

うん。仕事がそれじゃまずいでしょう(笑

『FB良品』 は、そういう方が代表をされている企業において運営されています。

なんとなく、こんな状況になったのが理解出来ますね。


樋渡 啓祐 @hiwa1118
ちなみにFB良品各ショップの売上げも順調のようです。ある程度まとめてから報告しますね。
Seiji Matsuda R.I.P. @SeijiMatsuda1
「ちなみにFB良品各ショップの売上げも順調のようです」 https://t.co/4OEKaRzQ その売上の部分が商品提供者や利用者の被害ではないことを切に願う。 http://t.co/6J5gmxhr
あれ? 『問題解決済み』 でしたよね?

では、 『FB良品』 にASPを提供している企業の 『この発言』 は何なのだろう?


ネットショップ構築サービスMakeShop @makeshopjp
@katoSat ご連絡・ご指摘ありがとうございます。ご指摘いただいた件につきまして、修正・対応を進めさせていただいております。状況を真摯に受け止め、対応させていただきたいと思います。
Seiji Matsuda R.I.P. @SeijiMatsuda1
MakeShop側も未処置。はて?何がどう安心なのかを説明する義務があるのではないだろうか? https://t.co/vkYmsZPy http://t.co/6J5gmxhr
祭りになったことに関しては、こういう意見もある。
mala @bulkneets
他のサイトにも影響及ぶのに攻撃対象だと見なしたら土日に平気でゼロデイ晒すし「こんなのも見抜けないの」とかいうなら導入店舗2万サイトぐらい全部に言って回って来いよ。現実的なリスクとか予算に見合った実効性のある対策とか無視して、セキュリティに関する事柄が完全にクレームの道具になってる
Seiji Matsuda R.I.P. @SeijiMatsuda1
ゼロデイよくない」というのは理解出来ないでもないが、問題は対策が未処置でありながら、その状態のサイトを「安心です」とか言ってしまう市長の発言なんだよなあ。 https://t.co/whC2FZ1W http://t.co/6J5gmxhr #takeotoilet
一応、フォローしておくと確かに 『ゼロデイ攻撃』 自体は問題があると私も認識している。

でも、それ以上に 『安全性が確保されているかどうかを、認識・確認出来ていない状態』 にも関わらず、 『大丈夫だ』 と運営者側の人間が発言するのを私は問題視しているので、このまとめを作成した。


この後、FB良品の実質的システムである、ASP提供企業が「一部」不具合を解消(したらしい)。

詳しくは、自分で検索するなりしてください。


樋渡 啓祐 @hiwa1118
田中市長( @tanakatoga )、FB良品利用者の方々 twitterに書かれてるような心配事は発生しないのでご安心を@ronzo7415 風説の流布はやめたら。犯罪だよ。本当に何かあるならこんな所に賢しげに書くより、FB良品ポータルの問合せ先へどうぞ。
残りを読む(307)

コメント

とげとげ @togetoge10 2012年12月16日
市長のリテラシーのなさからすると、予想通りの反応、といったところでしょうか。ユーザーの皆様には、御愁傷様としか言えません…。
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月16日
まとめのタイトルに「その後」と書きましたが、まだこちらも進行中のようです。「FB良品サイトリニューアルでXSS祭りまとめ」 http://togetter.com/li/420276
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月20日
まとめを更新しました。 fb-ryohin.jp/ #takeotoilet #FB良品
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月20日
編集可能状態にしておりましたが、どうもURLを弄られた形跡があったため、修正し編集不可能状態にしました。 もし、何か問題があって削除などの必要がある場合はご一報ください。
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月30日
まとめを更新しました。どうやら、そもそも『安全宣言』なんてものは存在していないようです。 http://fb-ryohin.jp/ #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月30日
市政アドバイザーの発言に虚偽(間違い?)があったようなのでまとめを更新しました。 #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月31日
「釣りサイトでウマー」的な話を付記しました(笑 http://fb-ryohin.jp/ #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2013年1月1日
まとめを完結しました。『FB良品』を利用する方はせいぜい気をつけてください。 http://fb-ryohin.jp/ #takeotoilet
Jean-Luc Picachu @JeanLuc_Picachu 2013年1月3日
担当者の意識がこのレベルだとSQLインジェクションのテストとかしたらボロボロになりそうだな。
ログインして広告を非表示にする
ログインして広告を非表示にする