パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される」記事へのコメント

  • > 状況からみて9日夜から侵入されていたと考えられるとのことだ。
    CVE-2014-0160 の問題は侵入しなくても、細工したパケットを投げれば良いのでは?

    • by Yak! (32970) on 2014年04月20日 15時34分 (#2585621) ホームページ 日記

      piyolog 三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた
      http://d.hatena.ne.jp/Kango/20140419 [hatena.ne.jp]

      に挙げられている一連の徳丸さんのツイートより。

      https://twitter.com/ockeghem/statuses/457680470092693505 [twitter.com]

      【続き】ということで、おそらく不正アクセスを検知した後、不正アクセスの起点のIPアドレスと期間を絞り込み、その期間そのIPアドレスからアクセスされた会員の人数を発表しているのだと推測しました。

      つまり、
      ・CVE-2014-0160 によるもの以外に実際に不正アクセスが存在していると思われる
      ・CVE-2014-0160 による直接の被害範囲は不明だと思われる
      ということではないかと。

      親コメント
      • by Anonymous Coward

        OpenSSLのライブラリを読んでるプロセスのメモリを 64KBずつ読み込めるという問題だと認識してるんだけど、
        それで漏洩した情報のこんな詳細な項目が把握できるとは思えないんだけどなぁ。
        CVE-2014-0160をきっかけに、結果的に DBへのアクセスを許してしまったということなら納得できるけど。

        • by Anonymous Coward

          実際どの程度の内容が取れるかは実際にやっていた攻撃者以外不明ではあるよね。

          多分数字としては、秘密鍵が漏れた程度に想定して怪しい期間にアクセスしてきたすべてを対象としているんだろうけど。
          もっと少ない数字かもしれないし、もっと多い数字かもしれないし。

      • by Anonymous Coward
        自分もプレスリリースでwebパスワードは漏洩していませんと断言しているのが気になりますね
        この脆弱性が利用されたなら偶然でもパスワードを抜かれるケースは存在するはず

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...