Zoho Writerのセキュリティホールが見せる、Web 2.0世界の問題

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-05-20 19:16

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 CNET News.comのMartin LaMonica氏は最近、Zoho Writerに情報漏洩の脆弱性があることを偶然発見した。このブラウザベースのワープロソフトは、Web 2.0の早期導入者には有名なものだ。

 詳細は次のようになっている。

 米国時間5月19日の朝、私はZoho Writerのページに行き、「soccer」を検索した。検索結果には私の2件の文書が含まれていたが、その他に私の知らない人が作成した7件の文書も見つかった。

 私はこの問題をZohoの技術エバンジェリストに報告し、彼はその問題を迅速に同社の技術チームに伝えた。何回かやりとりが行われた後、Zohoのチームはバグを発見し、修正した。

 ・・・Zohoの名誉のために言えば、同社の人たちは謝罪したし、このバグの重大性を明確に理解していた。問題が生じたのは、これがあまり頻繁に起こらない状況で起こるものだったためだ。しかし、今回私は考えた。誰かが私の文書を偶然見たということはあり得るだろうか?

 この話は、Web 2.0の世界の情報開示倫理に関する重大な問題を提起している。Web 2.0の世界では、脆弱性が発見されても、エンドユーザーには自分たちが深刻なリスクにさらされていたことを知らせることなく、黙って修正されていく。もしZohoに置かれていたLaMonica氏の文書に個人を特定できる情報が含まれており、彼の身元情報が盗まれていたらどうなっただろうか?もし悪意をもった人間が、この脆弱性をすでに発見していて、文書をくすねるのに利用したら?

 これらの質問に対する答えは知りようがないが、データ保存事業を営む企業は、脆弱性が発見され修正された時には、エンドユーザーにそれを通知する義務があるのではないかと思える。

 私はZoho Writerの公式ブログを覗いてみたが、マーケティングの類のエントリしか見つけられなかった。Zohoユーザーに対する情報開示や通知はなかった。

 この問題を抱えているのは、Zohoだけではない。MicrosoftやGoogleもオンラインサービスのバグを定期的に修正しており、その一部は非常に重大なものだ。しかし、この修正はサーバー側で行われており、パッチのダウンロードやインストールが行われないため、脆弱性に関する警告が発表されることはなく、エンドユーザーは相変わらず何が起こっているのか分からないのが現状だ。

(参照:GMail backdoor patched, time to check your filters

 われわれはすでに、GoogleがGMailの深刻な脆弱性を黙って修正したために、有名なロゴデザイナーであるDavid Airey氏の仕事が妨害されたことを示す証拠について記事を書いている。

 このブログの記事では、Airey氏がどのようにGmailのハイジャックの被害を受けたかを説明し、もしGoogleがGmailユーザーがサインインする際に警告を出していればこれが避けられたことについて書いている。

 われわれは、Microsoftがオンラインサービスの脆弱性を修正していることを知っている。これは、同社がセキュリティホールの発見者に対する謝辞をページに掲載しているからだ。しかしバグの性質と、そのバグに関連したリスクについては決して開示されない。

 悪意のあるハッカーは、これらの脆弱性を探しており、善意の者よりも前に見つけている。従って、これらのバグの一部はサーバー側で修正が行われる前に、ゼロデイ攻撃として利用されていると仮定しても差し支えないだろう。

 Web 2.0の世界のベンダーには、修正事項をエンドユーザーに開示する責任がある。もしオンラインサービスが黙って修正をしているのであれば、ユーザーはそのリスクを理解し、その情報をベンダーに要求すべきだ。

 追加情報:私がこの記事を投稿してから1時間も経たないうちに、Zohoはブログにこの問題について情報を開示する、次のような通知を投稿した。

 われわれはグループに関連する文書を検索するための新しいインデックス付け機能を5月17日に有効にした。これは検索関係の機能であるため、この機能が正式に発表されるまでに数日間インデックス作成作業が行われる予定だった。残念ながら、われわれは新しい検索システムに重大なバグを導入してしまっており、これが5月18日にユーザーの1人に対し影響を及ぼした。そのユーザーの検索結果には、他のユーザーの文書4件が含まれていた(彼ら自身に関係のないグループに共有されていた)。われわれは知らせを受けてすぐに検索サブシステムを停止し、完全な調査を開始し、3時間でこのバグの原因を明らかにした。

 われわれは原因を特定し次第、この問題を修正した。

 私は、Zohoはもう1歩進んで、ユーザーがログインしてすぐ見られる場所にこの開示情報へのリンクを張り、念のために顧客が何が起きたのかを十分に認識できるようにすべきだと思う。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン登録のお申し込み

「特集 : Zero Day」 バックナンバー

関連キーワード
セキュリティ

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策
  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます
  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド
  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」
  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

カテゴリランキング

  1. 「iPhone」でスクロールするスクリーンショットを撮るには

  2. 「iPhone」のキャッシュを消去する方法--2025年、デバイスの生産性を向上させるには

  3. サポート終了の「Windows 10」PCを延命するには--「ChromeOS Flex」導入のススメ

  4. 「iPad」でマルチタスクのために画面分割するには

  5. 「iPhone」のバッテリー消費を大きく抑える11個の節約術

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]