セキュリティ対策が甘い理由

プログラマーになろうと思い、ＩＴ企業の事業内容とかを調べています
ついでにお問い合わせフォームでセキュリティ対策がされているか調べているのですが、
２社とも対策が非常に甘く、CSRF攻撃が簡単にできそうな状況にありました
なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか
IT未経験３０代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが…

No.1 ベストアンサー 回答者： Wr5 回答日時： 2013/10/25 09:30

>なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか

職業プログラマー＝ネットワーク管理者ではないからでしょう。
職業プログラマーの天下な会社だったらどうかは判りませんが……。
平社員が役員より権限が上。なんてこともまずないですしね。

対策コストが流出コストより大きいと判断しているか、経営陣がそういう事に無頓着だったりするとか…まぁ、いろいろあります。

ついでに、職業プログラマーにしてもピンキリです。
簡単なバッファオーバーランとか見逃すようなレベルでもお給料を貰っている限りは職業プログラマーでしょうし、詳細設計書をプログラミング言語に翻訳するだけの簡単なお仕事って場合はそのコードがなにをやっているのか理解していない可能性だってあります。

この回答へのお礼

ありがとうございます
スキルレベルが人によってまちまちなのですね

お礼日時：2013/10/25 10:06

No.18 回答者： zwi 回答日時： 2013/10/25 23:43

面接担当の気持ちがわかった気がします。

お礼返答は、いりません。

No.17 回答者： hagure-bora 回答日時： 2013/10/25 23:00

＞なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか

会社によって事情はそれぞれだと思いますが…
必要ないと判断したから対策してないだけだと思いますけど…

＞IT未経験３０代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが…
募集要項が「IT未経験３０代お断り・実務経験がないとだめ」だということと、お問い合わせフォームのセキュリティ対策が甘いことは、何の関連性もないので、示しがつくとかつかないとかの問題もないと思いますが…
仮に「そうですね、示しがつかないですよね」と誰かの賛同を得られたとして、質問者様にとって何か有益なことがあるのでしょうか？

この回答へのお礼

>会社によって事情はそれぞれだと思いますが…
>必要ないと判断したから対策してないだけだと思いますけど…
ガイアックスという会社の導入事例からサイトをたどり、お問い合わせフォームのソースコードを表示してみました
あるサイトではCSRF対策がしてあり、別のサイトではしてないなんてことがありました
必要がないと判断するならサイトによってまちまちということは考えにくいので、ガイアックスの例に限って言えば必要がないからというのはちょっと考えにくいと思います。
e-ネコショップの方は導入事例にあるすべてのサイトで見事に対策をしてなかったので、必要ないと判断した可能性もありますが…

>募集要項が「IT未経験３０代お断り・実務経験がないとだめ」だということと、お問い合わせフォームのセキュリティ対策が甘いことは、何の関連性もないので、示しがつくとかつかないとかの問題もないと思いますが…
関連性はありませんが、それだけ高いスキルを求めているなら、中の人はさぞかし高いスキルを持っているんだろうなと思うのが人というものだと思います

お礼日時：2013/10/25 23:34

No.16 回答者： zwi 回答日時： 2013/10/25 22:47

貴方が会社員で、上司に会社のホームページの脆弱性を治したいと意見するとしましょう。

理由が

>>仮にCSRF攻撃を受けて、その会社にどのような害が及ぶと思われていますか？
>大量に送り付けてサーバーをダウンさせることぐらいはできます（ある程度送った段階で気づかれるとは思いますが）

>あと考えられる被害としては業務が止まってしまうことが考えられます
>たとえば、問い合わせフォームで核爆弾を○○課の○○に仕掛けたと送ったとします。送られた会社としては通報しないわけにはいきません。
>通報すれば、当然警察からは非難するように言われるので、その間、仕事はできなくなります。（会社が本気にすればの話ですが）
>爆弾を仕掛けたのがどこかのイベント先なら、イベントが中止になる事態も考えられます。

全部CSRF攻撃である必然もないし、ハッカーならそれより効果的な方法が多数ありますよね。
そもそも、こんな理由で上司がホームページの脆弱性を納得して工数が貰えるわけがないと思いませんか？

起こる可能性や費用対効果が全く考えられていないのです。
皆さんは費用対効果で割に合わないと言っているのに、もしかしたらを言い続けても誰も納得しません。
このような提案をするＳＥを信頼しろというのは無理があると思います。
就職出来ない理由も、こういう状況を見れない発言にある気がします。

この回答へのお礼

>そもそも、こんな理由で上司がホームページの脆弱性を納得して工数が貰えるわけがないと思いませんか？
確かにもらえないでしょうね
某社みたいに未対策のページがたくさんあれば、それこそ莫大な人件費がかかることになりますからね
ただ、CSRF攻撃で大量のお問い合わせが送り付けられたら、別の意味で中の人はこまるだろうなと思います
（お問い合わせフォームの実装にもよりますが）１件ごとに題名とメールアドレスを変えられたら、フィルタリングだけでは対応できません

お礼日時：2013/10/25 23:27

No.15 回答者： wormhole 回答日時： 2013/10/25 22:44

>大量に送り付けてサーバーをダウンさせることぐらいはできます（ある程度送った段階で気づかれるとは思いますが）

>あと考えられる被害としては業務が止まってしまうことが考えられます
>たとえば、問い合わせフォームで核爆弾を○○課の○○に仕掛けたと送ったとします。送られた会社としては通報しないわけにはいきません。

その両者はCSRF攻撃の対策をしておけば防げることですか？
どちらもCSRF攻撃でなくてもできる事ですが。

CSRF攻撃でなくても多量にアクセスすれば正規の手段でもサーバーをダウンさせることはできますし、CSRF攻撃関係なく「核爆弾を○○課の○○に仕掛けた」と問い合わせがくれば何らかの対応しないわけにはいきません。

私が#14でたずねたのはCSRF攻撃でないと起こせない害の事ですよ。

この回答へのお礼

>その両者はCSRF攻撃の対策をしておけば防げることですか？
>どちらもCSRF攻撃でなくてもできる事ですが。
確かに対策をしても防げませんね
ブラウザー経由でやればいいだけの話ですし

ただ、CSRF攻撃なら、リンクを踏ませるだけで予告状を送り付けることができます。警察としては送ったやつら全員を調べないわけには行けないので、血税を浪費させることは可能だと思う
まあ、警察がいくら血税を消費しようと会社には関係のない話ですが

お礼日時：2013/10/25 23:05

No.14 回答者： wormhole 回答日時： 2013/10/25 20:59

その会社がCSRF攻撃を受けてもたいした問題でないと考えてるだけでは？

会社側の対策としては、問い合わせをいたずらで送信されたのと大差ないと思いますし。

そもそもセキュリティ対策は、(その会社が決めた)セキュリティポリシーに従って行うものですから、そのセキュリティポリシーを知らない状態で対策が甘いとかいってる方がおかしいです。

仮にCSRF攻撃を受けて、その会社にどのような害が及ぶと思われていますか？

この回答へのお礼

>仮にCSRF攻撃を受けて、その会社にどのような害が及ぶと思われていますか？
大量に送り付けてサーバーをダウンさせることぐらいはできます（ある程度送った段階で気づかれるとは思いますが）

あと考えられる被害としては業務が止まってしまうことが考えられます
たとえば、問い合わせフォームで核爆弾を○○課の○○に仕掛けたと送ったとします。送られた会社としては通報しないわけにはいきません。
通報すれば、当然警察からは非難するように言われるので、その間、仕事はできなくなります。（会社が本気にすればの話ですが）
爆弾を仕掛けたのがどこかのイベント先なら、イベントが中止になる事態も考えられます。

お礼日時：2013/10/25 21:59

No.13 回答者： Taiyonoshizuku 回答日時： 2013/10/25 16:57

>>リファラはブラウザが送出するものであって、第三者(html)が変更できるもんじゃないと思うんだけど。

>http://www.atmarkit.co.jp/fsecurity/column/ueno/ …
>条件を満たしているＰＣはないと思われますが、特定のフラッシュを読み込ませることでリフェラを変えることができるようです
>>というか、それじゃ、サーバ経由になるから、どこからデータが送信されたかわかっちゃうし？？
>ばれたくないのであれば、攻撃用のデーターを含むページを表示後、JavaScriptで送信ボタンを押させれば、クライアント側のパソコンから送らせることもできます

うん、その条件はもうほぼないよね。

ばれたくないって、そのアクセスしたユーザじゃなくって攻撃先のサーバでどこのサーバ経由かわかっちゃうってことだよ。
送信ボタンを勝手に押させるとかじゃなくてさ。
IPがその踏み台を踏んだ人のIPにならないと意味ないでしょ？
乗っ取り事件だって、その乗っ取り先のIPになってるから意味があるわけだし。

というか、現状リファラの乗っ取りがかなりの条件が重なってないとできないから、この方法に対して論議すること自体無駄なんだけどさ。


ほかの回答者の方も言ってるけど素直になろうよ。
中途半端な知識で噛み付いても、回答している人はみんなスキルある人たちだよ。
(俺は微妙だけどｗ)

やっぱ、スキルというか、それ以外の理由で落ち続けてる気がしてきたよ。

この回答への補足

>うん、その条件はもうほぼないよね。
流れを見失ってました。今の実装ならまず成立しないですね
長々とお付き合いさせてしまいすみませんでした

補足日時：2013/10/25 22:25

この回答へのお礼

>うん、その条件はもうほぼないよね。
リフェラをチェックしていないという条件なら成立します

>IPがその踏み台を踏んだ人のIPにならないと意味ないでしょ？
JavaScriptはクライアント側で実行されるので、IPアドレスはリンクを踏んだPCの物となります

>中途半端な知識で噛み付いても、回答している人はみんなスキルある人たちだよ。
中途半端な知識も何も…許可をもらった上で実際にやったことがあるのですが

お礼日時：2013/10/25 21:43

No.12 回答者： zwi 回答日時： 2013/10/25 16:47

最初の質問に関して「断言するには問題が有りました」と謝れない人は採用したくなかなと思いました。

意固地になっているようにしか見えません。

この回答へのお礼

まあ、感情としてはそうなりがちでありますよね

お礼日時：2013/10/25 21:34

No.11 回答者： Picosoft 回答日時： 2013/10/25 16:22

> 古いバージョンのフラッシュを使用している場合は第三者がリフェラを偽造可能なようです

その話も知っていますが、かなり前の脆弱性ですよね、それ……。


ご提示のリンクも以前に拝見したことがありますが、
その記事をよく読むとリファラチェックをちゃんとしていれば騒動を未然に防げたことがわかります。
(もちろんワンタイムトークンも有効です)

結局何が言いたいかというと、
「ワンタイムトークンが見当たらないから対策が甘い。脆弱性がある」とは言えない、ということです。
まぁリファラチェックもユーザにリファラ送出を強制するという点では問題が全くないわけではありませんが、
現在ではCSRF対策として有効ではないでしょうか。

この回答への補足

>現在ではCSRF対策として有効ではないでしょうか。
お手軽といえばお手軽ですね
ただ、この方法だと、ページ構成が変わった時にめんどくさいですし、わざわざユーザにドメイン名を記載させないといけないので、個人的にはあまり使いたくないです
それに、ブラウザーやプラグインにリフェラ書き換えが可能になる脆弱性があった場合を想定すると…

補足日時：2013/10/25 22:22

この回答へのお礼

確かにその通りですね
ただ、以下の方法を繰り返してサーバーを落とすことが容易にできてしまうので、リフェラではじくのはあまりよろしくないと思います
１．HTTPソケットを作成
２．リフェラを偽造
３．POSTリクエストを作成
まあ、こんなことをやってもすぐばれるので、やる人はいないと思いますが…

お礼日時：2013/10/25 16:36

No.10 回答者： zwi 回答日時： 2013/10/25 15:43

面接でこんなやり取りになったら確実に落とされます。

企業が求めているのは、こういう反論をしてもらう人ではないのです。
確実に最小限のコストで他の人と協力して必要な対処が出来る人です。

この回答へのお礼

確かにその通りですねｗ

お礼日時：2013/10/25 16:22