先日、私は以下のような日記を掲載しています。

• これで有罪なら、セキュリティ業界はやめだな
  • http://d.hatena.ne.jp/Yoshitune/20050125#1106628992

この文中には以下のような書き込みを行なっています。

XSSで知識もへったくれも無い、と思うんですけど…マジで。セキュリティホールmemoのこじまさんの言う通り。

今回の事件において、office氏が行なったのはXSS(クロスサイトスクリプティング)ではなくASKACCSのWebサーバにて動作しているCGI「csvmail.cgi」のセキュリティホールを利用し、個人情報が保存されたファイルにアクセスする、というものでした。

現在進行形の事件において精度の欠く情報を記載した点において、私の不見識と調査不足を恥じると共に、お詫び申し上げます。

実際に行なわれたアクセス方法を簡単に説明しますと、以下の通りになります。

1. ASKACCSのWebサーバには投稿フォームと連動したCGI「csvmail.cgi」が動作していた
2. csvmail.cgiは投稿内容の最終確認用として、投稿内容を表示するのに使用される、ファイル表示用CGIである
3. office氏はCGIにデータを送信するHTMLをダウンロードした
4. HTML内のCGIに値を渡すinput要素に記述されたvalue部分をCGI自身の「csvmail.cgi」に書き換える(実際にはpostメソッドのaction部分も書き換えた？)
5. 書き換えたHTMLファイルを実行するとcsvmail.cgiのソースが表示された
6. ソース内には投稿内容が格納されているログファイル名「csvmail.log」*1が確認できた。
7. 先の書き換えたHTMLファイルのvalue部分を「csvmail.log」に書き換え再度実行した
8. csvmail.logの内容(ASKACCSに投稿された個人情報)が表示された

XSSを簡単に説明しますと、以下のようになります。

1. 攻撃者がXSSのコードを含むサイトAを立ち上げる
2. 任意のユーザがサイトにアクセスし、リンクを含んだページがブラウザに表示される
3. 何らかの要因(巧みな文章など)でユーザがリンクをクリックする
4. ユーザが攻撃対象のサイトBにスクリプトを含んでアクセスする
5. スクリプトを含んだページがブラウザに表示される
6. ユーザのブラウザ上でスクリプトが実行される

以上の通り、XSSとoffice氏がASKACCSに行なったアクセスは全く別物であります。

この日記は全てにおいて真実に基づき、事実を書くという趣旨のものではない事をこの場を借りておことわりしておきます。多分に私のフィルタが適用されて、都合の良い様に変えられたり、不正確な情報やそもそも事実と異なる情報が含まれております。
私自身、特に気をつけている訳ではないので、こうしたことはまた発生する事は容易に予測できます。
都合の良い言い分ではありますが、その時は指摘していただける事を切に望みます。

最後にはてなダイアリーで日記を書き続ける限り、恥を晒し続ける事を防いでくれたnekoneko氏に最大限の感謝の意を捧げます。ありがとうございました。




以下、参照リンク

• [ニュース]　ACCS不正アクセス裁判、検察側は元研究者に懲役8カ月を求刑
  • http://d.hatena.ne.jp/nekoneko/20050130#p3
• ACCS不正アクセス 京大研究員逮捕事件のテンプレ
  • http://www.geocities.jp/officeandaccs/index.html
• クロスサイトスクリプティング対策の基本（前編）
  • http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
• [1-5.] hiddenは危険（セッション変数を利用しよう）
  • http://www.ipa.go.jp/security/awareness/vendor/programming/a01_05_main.html
• 用語「csvmail.cgi」
  • http://altba.com/bakera/hatomaru.aspx/glossary/006300730076006d00610069006c002e006300670069