mixiユーザー(id:65133463)

2019年10月20日11:49

36 view

米国大統領公式サイトに重大な欠陥!「デバッグモード」で放置。

Forbes JAPANは2019年10月18日に、選挙キャンペーンの運営は非常に大変な作業だが、選挙関連のサイトのセキュリティを維持するのは、さらに重大な任務であり、脆弱性を放置すると深刻な結果を招く。

さらに、信用まで無くす。

セキュリティ関連サイトComparitechの研究員らが、少なくとも768のサイトに影響を与える不具合を発見した。

研究員のBob DiachenkoとSebastien Kaulによると、このエラーは2020年の米大統領選での再選を目指す、ドナルド・トランプ(Donald J Trump)の公式サイト「DonaldJTrump.com」でも発見されたという。
トランプの公式サイトは、Webベースのフレームワークの「Laravel」で制作されている。Diachenko とKaulらはLaravelで作成された768のサイトが、「デバッグモード(debugging mode)」のままで公開されていることを発見した。

「デバッグモード」は、エンジニアがプログラムのエラーや脆弱性を発見するためのモードで、本来は公開前のサイトで利用するものである。「デバッグモード」の状態でサイトを一般公開することは、非常に大きなセキュリティリスクを引き起こす。

Comparitechの報告によると、これらの誤った設定のサイトはデータベースのロケーションや、パスワード、暗号キーなどのセンシティブな情報を露出させていたという。

裸同然であった。

研究員らはDonaldJTump.comのサブドメインから、Eメールサーバの設定情報を含むテキストファイルの位置を確認できたという。

しかも、そのデータは位置さえ分かっていれば、誰にでも閲覧可能な状態だった。

つまり、パンツだけであった。

ハッカーがこのデータを悪用すれば、公式になりすましたEメールを送信したり、公式サイトに接続されたシステムに侵入することも可能になる。

Comparitechによると、データ流出が起きた証拠は得られていないという。しかし、外部の第三者による不正アクセスがあったことは、十分想定可能だと言う。

DiachenkoとKaulらは2019年10月11日に、この問題をDonaldJTrump.comの運営者に報告し、その5日後にトランプの選挙キャンペーン関係者とニューヨーク市警にコンタクトを取った結果、返信が得られたという。

トランプのチームは、問題は既に解決済みであると返答したという。

ここから察するに、サイトの脆弱性は少なくとも数日間の間、放置されていたことになる。
しかし、もっと長期間に渡り、問題が放置されていた可能性もある。

Comparitechのレポートでは、サーバーがどの程度の期間、「デバッグモード」のままで公開されていたかを突き止めるためには、さらに厳密な調査が必要だという。

しかし、ここで問題となるのは、時間の長さではない。これほど著名なサイトのセキュリティが脆弱なまま放置されることは、「たとえわずかな時間でも十分に危険な事だ」とDiachenkoは指摘した。

危うく、ドナルド・トランプ(Donald J Trump)の公式サイトから、ポルノ情報やマルウェアが配信されるところであった。

このような状態で、クラックしても犯罪だろうか?
扉が開いていたので、除いただけと言う弁解は通じないのだろうか?

ドナルド・トランプとファーストレディは、よく裸を公開される。

7 0

コメント

mixiユーザー

ログインしてコメントを確認・投稿する