検索CGIにクロスサイトスクリプティングの問題

問題となったのは、上記2サイトでそれぞれ設置されている検索ボックス。メールマガジンやプレゼントの検索に利用される。ここにHTMLやスクリプトを入力すると、そのまま実行されてしまう状態になっていた。悪用されれば、クレジットカードや電話番号などの情報を盗み出すことも可能である。つまり、検索用CGIにクロスサイトスクリプティングに対しての対策が施されてなく、セキュリティ的に脆弱な状態であった。これに対しては、HTMLのタグやスクリプトを無効化する、サニタイジングにより回避できる。具体的にはタグを文字列に置換する処理を施すわけである。

発覚から対応までの経緯

この問題に気づいたのは、ネットアンドセキュリティ総研株式会社（旧：バガボンド）である。発覚から対応まで、まぐまぐとバガボンドのみのやりとりとなった。

2社の主なやりとり

9月24日(水)　　[Eメール]バガボンド　→　まぐまぐ（プレミアム事務局）

• 検索CGIにクロスサイトスクリプティングの脆弱性がある旨を連絡。メールの宛先は、たまたま直接付き合いがある部署であるが、担当部署に転送してもらうことをメール内で依頼。

9月29日(月)　　[Eメール]バガボンド　→　まぐまぐ（プレミアム事務局、広報担当）

• まぐまぐからの返答がないため、9/24と同内容のメールを送付。今度は、まぐまぐサイトで公開されている問い合わせ先のEメールアドレス（広報担当）にも同報送信。 さらに若干の時間を置いた後、バガボンドから再度Eメール送付。このときは、前回の宛先に加え、サイトで公開されている他のEメールアドレスにも送付。

9月30日(火)　　[Eメール]まぐまぐ（広報担当）　→　バガボンド

• 「すでに対応済み」という旨の連絡を受ける。まぐまぐ側からの連絡はこれが初めてである。

読者へは一切報告なし

クロスサイトスクリプティングの問題があったこと、その対策を講じたこと共に、まぐまぐのWebサイトでは一切記載がなかった。同社発行のメルマガ「ウィークリーまぐまぐ」でも9月末から現在までの間に、これに関する記載は全く見受けられなかった。

問題を公開すべきか否か

この問題が初めて公になったのは、対策が講じられた後の10月3日、発見者でもあるバガボンドによってである。しかし、まぐまぐ側は問題が公開された後も、前述のとおりで読者への報告は実施しなかった。

振り返ってみると、幸運にも何ら具体的な被害が出たわけではない。たまたま気づいた側が報道・出版関係者であったこと以外は、「こっそりと」修正してしまえば、それで済んだことであり、事実、そうなっている。寝た子を起こすがごとく、わざわざ読者に告知して、いたずらに不安を煽る必要はないかもしれない。

どうするのが正しい措置であったかは、今となってはわからない。

が、いろいろな意味で情報公開が叫ばれている昨今、そして、フレンドリーでオープンな印象を我々に与え続けてきた企業の、意外ともいえる一面を見た気がする。