KUNISAN.JPブログコメント書き込み

ちょっと前の話になりますが、KUNISAN.JPホームページのフォームからの投稿で、独立行政法人情報処理推進機構(IPA)からメールが届きました。内容はこんな感じです。

--------------------
KUNISAN.JP
ご担当者様

突然のご連絡失礼いたします。
独立行政法人情報処理推進機構(IPA) 技術本部 セキュリティセンターの●●と申します。

IPA では、情報セキュリティ対策の一環として、経済産業省告示に従い、一般の方や研究者の方が発見された、ウェブページに関するセキュリティ上の問題点の届出を受けつけ、ウェブページの管理者の方に連絡する業務を行なっています。

この度、下記ウェブページに関するセキュリティ上の問題につきまして届出がありました。この問題に関する詳細情報を担当者様へご連絡したいので、通知先および通知方法を確認させて下さい。

対象のURL:
http://kunisan.jp/
--------------------

何のことだかよくわかりませんでしたが、まず頭に浮かんだのが「IPAを装う詐欺ではないか?」ということです。とりあえず、メールの一文をコピーして、ネットで検索してみたのですが、他に同じようなメールを受け取った人も多いようで、内容も「(連絡を受けて)助かった」というものでした。

とりあえずは「信じてみよう」ということにしたのですが、IPAにセキュリティの問題を聞く上で、「PGP暗号化方式(PGP公開鍵を用意する必要あり)」または「パスワード方式(IPAから電話連絡のパスワードでZIPファイルを解凍)」のどちらかを選んで欲しいとのことでした。PGP公開鍵はよく分からないし、パスワードの電話対応も「平日のみ」ということで困っていたのですが、「対応が難しい場合にはメール本文に記載」もOKとのことで、結局の一番簡単なこの方式を選択しました。

それから数日後にIPAよりメールが来ました。セキュリティの問題を見ると、思わず「ハッ!」としてしまいました。セキュリティに関わることなので、ここでも詳しい事は書けませんが、何しろ当日のうちに問題の対応にあたりました。問題があったのはPHPのプログラム数点で、本当に基本的な所が抜けていました。これまで大きな問題が起こらなかったのがラッキーな位です。

対応完了後にIPAに「対応完了」の旨をメールしました。その翌日にメールで返信があり、「添付の修正完了報告書(テキスト形式)に記入して欲しい」というものでした。週末の時間がある時に修正完了報告書の記入を完了し、「ご報告ありがとうございました」の一文を添えて提出しました。

それから約2週間後、IPAより以下のメールが届きました。

--------------------
IPAセキュリティセンターの●●です。

修正された旨を発見者に連絡しましたが、異論がありませんでしたので、このメールを持ちまして、本件の取扱いを終了させていただきます。

本件につきまして、ご協力いただき、ありがとうございました。
今後とも、よろしくお願いいたします。
--------------------

一安心というところです。

それにしても、私のサイトのような零細ホームページにまでセキュリティチェックをする人ってどんな人なんだろう、と思ってしまいます。もしかしたら、大手企業などお金のかかったホームページよりも、零細ホームページの方がセキュリティリスクが高いということなのでしょうか。零細サイトでも、ブログサービスを利用している人やHTMLのみでサイトを構築している人は問題無いと思いますが、私のように生半可PHPやPerlやJavaScriptやMySQLを知っているのは、かえって危ないのかも知れませんね…。

Web管理関連記事(リンク一覧): SPF、DKIM、DMARCの設定とネームサーバー(DNS)設定のトラブル / さくらレンタルサーバーのアクセス履歴をPHPで表示 / PHPで画像のアップロード(さくらレンタルサーバーのPHPでImageMagick) / KUNISAN.JPサイトのメンテナンス(2018) / Webサーバー引っ越し(さくらインターネット スタンダード)とHTTPS(常時SSL)化 / ...(記事連続表示)

情報セキュリティ白書2013 をAmazon.co.jpでチェック