- 2016年5月17日
- セキュリティについて
中国のハッカーサイト「WooYun」に日本企業等100サイト以上登録されていることについて考えてみた
先日、中国のハッカーサイトである「WooYun」がネットで話題になりました。
その理由は。。。
中国ハッカー、穴のあるサイト公表…日本関連も
中国のハッカーサイトが今年2月以降、セキュリティーに穴(脆弱性)のある日本の公的機関や企業のサイト名100件以上を公表していることがわかった。(YOMIURIONLINE)
それによればまず、
①ハッカーが脆弱性のあるサイトを発見する
②「WooYun」に「○○サイトに△△の脆弱性があります。◎◎日後に公開します。」と投稿する
③日本でいえばJPCERTなどのセキュリティ関連団体などがその投稿を確認する
④当該サイトの運営企業などに連絡をする
主な流れはこのようです。
当サイトの気になる特徴が2点ある。
まずひとつは、一定の猶予期限が過ぎると脆弱性の対策の有無を問わず、脆弱性情報を掲載する点だろう。
日本と言えば、基本的に非公開である。危険な情報を開示すべきではないという考えのもとにである。
開示したとしてもそれは当該企業と調整の後、対策を万全に行ってから各種調整をして発表するというのが一般的である。
ただ一方で脆弱性対策が放置され、セキュリティ関連攻撃の対象になりやすいといった問題点もあったので、日本でも見習う点もありそうだ。
現に、日本のサイトの登録数が「WooYun」にて伸びているのだからハッカーの調査対象に日本が入っているのは間違いないのだから。
2点目は、サイトの活性化の仕組みだ。
このハッカーサイト。現時点で10万件以上もの登録数があるのだが、件数が伸びる理由(仕掛け)としてあるのが、このサイトがハッカーの登竜門になっているからだ。
脆弱性情報の投稿自体は無償(報酬無)で行うのだが、その投稿を見ていた企業に評価されてセキュリティ企業などに迎え入れられのだ。
恐らくだが、それ相応の待遇で迎えいれらるのだろう。
であるから、ホワイトハッカーは投稿を続けるのである。
海外にはその他にもWEBサイトの改竄情報を掲載しているサイト等もあり、セキュリティ情報の開示には日本より積極的である。
各企業がそれぞれ報奨金制度を設けて自社サービスをよりセキュアにするような仕組みは存在するが、こちらのような善良なハッカー(ホワイトハッカー)が自由に(一定のルールの元)投稿・公開できる仕組みはまだ日本では浸透していないだろう。むしろ警戒している節さえある。
情報を開示することに対しては色々な意見があると思うが、筆者は脆弱性情報の開示に対して積極的になる動きは大いに賛成である。