KUNISAN.JPブログコメント書き込み※書き込み欄はページ下にあります。 独立行政法人情報処理推進機構(IPA)からセキュリティ警告メール名前: 小川 邦久 リンク: http://kunisan.jp/ 日付: 2013年10月14日
ちょっと前の話になりますが、KUNISAN.JPホームページのフォームからの投稿で、独立行政法人情報処理推進機構(IPA)からメールが届きました。内容はこんな感じです。
-------------------- KUNISAN.JP ご担当者様 突然のご連絡失礼いたします。 独立行政法人情報処理推進機構(IPA) 技術本部 セキュリティセンターの●●と申します。 IPA では、情報セキュリティ対策の一環として、経済産業省告示に従い、一般の方や研究者の方が発見された、ウェブページに関するセキュリティ上の問題点の届出を受けつけ、ウェブページの管理者の方に連絡する業務を行なっています。 この度、下記ウェブページに関するセキュリティ上の問題につきまして届出がありました。この問題に関する詳細情報を担当者様へご連絡したいので、通知先および通知方法を確認させて下さい。 対象のURL: http://kunisan.jp/ -------------------- 何のことだかよくわかりませんでしたが、まず頭に浮かんだのが「IPAを装う詐欺ではないか?」ということです。とりあえず、メールの一文をコピーして、ネットで検索してみたのですが、他に同じようなメールを受け取った人も多いようで、内容も「(連絡を受けて)助かった」というものでした。 とりあえずは「信じてみよう」ということにしたのですが、IPAにセキュリティの問題を聞く上で、「PGP暗号化方式(PGP公開鍵を用意する必要あり)」または「パスワード方式(IPAから電話連絡のパスワードでZIPファイルを解凍)」のどちらかを選んで欲しいとのことでした。PGP公開鍵はよく分からないし、パスワードの電話対応も「平日のみ」ということで困っていたのですが、「対応が難しい場合にはメール本文に記載」もOKとのことで、結局の一番簡単なこの方式を選択しました。 それから数日後にIPAよりメールが来ました。セキュリティの問題を見ると、思わず「ハッ!」としてしまいました。セキュリティに関わることなので、ここでも詳しい事は書けませんが、何しろ当日のうちに問題の対応にあたりました。問題があったのはPHPのプログラム数点で、本当に基本的な所が抜けていました。これまで大きな問題が起こらなかったのがラッキーな位です。 対応完了後にIPAに「対応完了」の旨をメールしました。その翌日にメールで返信があり、「添付の修正完了報告書(テキスト形式)に記入して欲しい」というものでした。週末の時間がある時に修正完了報告書の記入を完了し、「ご報告ありがとうございました」の一文を添えて提出しました。 それから約2週間後、IPAより以下のメールが届きました。 -------------------- IPAセキュリティセンターの●●です。 修正された旨を発見者に連絡しましたが、異論がありませんでしたので、このメールを持ちまして、本件の取扱いを終了させていただきます。 本件につきまして、ご協力いただき、ありがとうございました。 今後とも、よろしくお願いいたします。 -------------------- 一安心というところです。 それにしても、私のサイトのような零細ホームページにまでセキュリティチェックをする人ってどんな人なんだろう、と思ってしまいます。もしかしたら、大手企業などお金のかかったホームページよりも、零細ホームページの方がセキュリティリスクが高いということなのでしょうか。零細サイトでも、ブログサービスを利用している人やHTMLのみでサイトを構築している人は問題無いと思いますが、私のように生半可PHPやPerlやJavaScriptやMySQLを知っているのは、かえって危ないのかも知れませんね…。 Web管理関連記事(リンク一覧): SPF、DKIM、DMARCの設定とネームサーバー(DNS)設定のトラブル / さくらレンタルサーバーのアクセス履歴をPHPで表示 / PHPで画像のアップロード(さくらレンタルサーバーのPHPでImageMagick) / KUNISAN.JPサイトのメンテナンス(2018) / Webサーバー引っ越し(さくらインターネット スタンダード)とHTTPS(常時SSL)化 / ...(記事連続表示)
※HTMLタグ入力は出来ませんのでご了承ください。
|