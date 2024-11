社名にHTMLスクリプトタグを採用したソフトウェア開発企業が、企業登記所から「データベースの脆弱(ぜいじゃく)性につながる」として社名変更を強制されたという事例が、ソーシャルニュースサイトのHacker Newsで話題となっています。Company forced to change name that could be used to hack websites | UK news | The Guardian

https://www.theguardian.com/uk-news/2020/nov/06/companies-house-forces-business-name-change-to-prevent-security-riskUK govt aims to kill off Bobby Tables in Companies House name ruleshttps://www.thestack.technology/companies-house-names-rules-drop-table/Company named "><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD" forced to change it (2020) | Hacker Newshttps://news.ycombinator.com/item?id=41948666イギリス日刊紙のThe Guardianが2020年11月に報じたニュースによると、問題になったのはイギリスのソフトウェアエンジニアが設立した開発会社で、「“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD」(本来記号はすべて半角)という社名でした。しかし、セキュリティ対策が不十分なウェブサイトがこの会社名を適切に処理しない場合、社名が空白であると認識し、意図しないスクリプトが実行される可能性がありました。イギリスで会社を登録する場合、既存の規則の範囲内であれば、企業登記所は提供された正確な名前を表示することが義務付けられています。企業登記所の命名規則は、模倣や不快な言葉は規制対象としていましたが、データ入力を改ざんする試みは対象としていませんでした。イギリスでは2016年にウェブ漫画を元ネタにした「;DROP TABLE "COMPANIES";-- LTD」という社名で登録した企業も存在します。設立者であるサム・ピッツィー氏は「この社名を構成するコマンドには意図的な間違いが含まれています。社名で特に大きな問題提起をするつもりはなく、セキュリティ関係者の知識を利用して笑いを取ろうとしただけです」と述べています。なお、この社名は変更されず、記事作成時点でもそのまま使われているとのこと。「“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD」の設立者も、「コンサルティング事業にとって楽しく遊び心のある名前になると思ったら」という理由でこの社名をつけたと語っています。しかし、悪意のある攻撃者が同じ手法を使い、「クロスサイトスクリプティング」と呼ばれるより深刻な攻撃を仕掛ける可能性もあります。そのため、企業登記所はこの社名をデータベースから削除し、社名を変更するように命令。「“><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD」の設立者はこの命令を受け入れ、「THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD(HTMLスクリプトタグを社名にしていた会社)」という社名に変更しました。同時に、旧社名は企業登記所のデータベースから徹底的に削除されたとのこと。THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD overview - Find and update company information - GOV.UKhttps://find-and-update.company-information.service.gov.uk/company/12956509/その後、イギリス政府は2022年に「経済犯罪および企業透明性法案」を提出し、企業登記所の命名規則を変更。データ入力を改ざんするような社名も規制対象になったことで、同様の社名は登録できなくなりました。Hacker Newsでは「AIのプロンプトに影響を与えるような社名はどうでしょうか」「総合的に考えると、このような名前を制限するのは理にかなっています。世界中のデータ利用者全員を監査するためにお金を払うつもりがない限り、この解決策の方が現実的です。会社名にコードを持たせることで何が得られるのかはわかりません」といった議論が展開されると同時に、「ナンバープレートにスクリプトコードを貼り付けて、スピードカメラにSQLインジェクションを組み込んだ例もあります」「私の娘はハワイで生まれましたが、ハワイの出生証明書には名前の文字数が240文字まで記載できるので、ミドルネームは周期表にしました」「自分も過去にオークションサイトのユーザー名をスクリプトコードに設定し、自分が入札したオークションに他の誰も入札できないようにしました。たくさんのオークションを落札しましたが、その後アカウントは消去されました」など、同様の事例も紹介されていました。