WooYunは、中国人ハッカーが見つけた脆弱性のあるサイトを公表している、ハッカーによる脆弱性の投稿サイトです。
日本ではあまり聞きませんが、欧米などではよくあるタイプのサイトです。
中国のサイトを中心に10万件以上の脆弱性が掲載されています。読売新聞の記事によると、2月からは日本のサイトについての投稿も目立つようになっています。
ハッカーは脆弱性を見つけたら内容をすぐに公表するのではなく次の手順で公表します。
- ハッカーが脆弱性を見つける
- サイト名と脆弱性があることを公表。このときに脆弱性の内容の詳細は掲載せず、「○○サイトの脆弱性を○日後」に公表しますと、一定の猶予期間を設けます。
※この期間に企業は対策を行ったり、ハッカーに連絡を取ることができます。 - 一定の期間が経過した場合、脆弱性が修正されていない場合でも、脆弱性の内容が公表されます。
例えば、WooYunのサイトで「日本」というキーワードで検索してみると、国内のサイトが多数出てきます。有名大学や上場企業も含まれています。
※検索には画像認証が必要です。
ざっと見たところ、一般公開されているサイトよりも、社員向けや学内向けのシステムが多そうです。本来非公開であるはずの社内向けシステムのログイン画面のURLが公開されており、そこに脆弱性があるとの報告が掲載されていたりします。「3万件以上の個人情報が・・・」などという怖い脆弱性も掲載されています。。
このようなサイトはハッカーの登竜門になっており、発見内容が評価された優秀なハッカーは大手企業やセキュリティ企業からヘッドハンティングを受けます。
脆弱性を公表してしまうことは批判を受けることもありますが、公表しなくても脆弱性があることには変わりはありません。いずれ誰かが脆弱性を見つけて気がつかないうちに被害に合うよりは、先に脆弱性を知って対策をした方がいいでしょう、というのが基本的な方針です。