アカウント名:
パスワード:
もともとの記事には「データベースサーバーはOSにUNIXを採用しており、Welchia.Bの影響はない。個人情報の漏洩も発生していない」というコメントがあるが、このコメントを出された方は「踏み台」という言葉をご存知ないのだろうか?セキュリティインシデントおよび、インシデントレスポンスに関する考えが甘いと考えざるを得ない。
漏洩したかどうかの検証が正しくされているかどうかというのは別途考慮すべき事ですが、この発表だけを見て「甘い」と断じるのは早計であり、言いがかりを付けているとしか思えません。
・データベースサーバはWelchia.Bに感染していない ・個人情報は漏洩していない という2つの点を主張しているのであって
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
甘い? (スコア:1, すばらしい洞察)
チケットを取り扱っている(いた?)訳ですから個人情報がどうなったかというのは最大の関心事なので、その点の否定を早めにやっておくというのは適切な対処だと思います。
「内部情報の漏洩が無い」=「その他の事は知ったこっちゃない」と言っている訳ではないのに、なぜかこういう指摘する人の脳内では、そのような連想が行われるようですね。
そういう短絡的な思考形態の方が、甘いと思いますが。
甘くないですか? (スコア:4, すばらしい洞察)
私は、ワームに感染したこの事例を「セキュリティを破られた」と表現すべきでは無いと思います。タレコミ文にも書きましたが、これは「 整備不良コンピューターをネットに接続」して、周囲に害を与えた(この場合はローソンネット内部にも感染して影響が出た)事例です。
情報漏洩が無かった事はアナウンスされてしかるべきですが、 この場合には感染が起きた事がそもそも問題なわけです。「きちんとした運用がされていなかった/見落としがあった」事に対するコメントは無くて当たり前ですか ?
このような感染事例の場合、当事者が「被害者」であるように振る舞う事が見逃されていますが、実際には自分の不注意/怠慢によって被害を受け、さらに他の不注意なコンピューターへの「加害者」になっている事をきちんと指摘すべきだと思います。
私は、何ヶ月も前に提供されているパッチを適用していなかった為に起きた今回の事例を、「セキュリティを破られた」ととらえる事は 甘え だと思います。
もっとも、接続されている機器(コンピュータだけではない)が増えてくると見落としの可能性はどうしても出てくるようです。(この事例でも「過去に公開されていたWEBサーバー」という表現がされています)。社会的責任を問われる企業の場合は、ウイルス用予防接種 [cnet.com]の様な手段も考慮した管理が行われる事が望ましいと思うのですが。
# 元コメント(#502554)へのモデレートは ・・・・ ?
Re:甘くないですか? (スコア:0)
「叩くなら正しく叩け」「正しく叩けないヤツは自分も甘いと思い知れ」と言いたい訳
Re:甘くないですか? (スコア:0)
主張したかった「甘さ」への言及(「甘い」と断じる理由)が圧縮されてしま
Re:甘い? (スコア:2, おもしろおかしい)
Re:甘い? (スコア:1, 興味深い)
「Welchia.Bの直接の影響による内部情報の漏洩はないけど
間接的な影響による内部情報の漏洩はどうなのよ?」
ってことじゃないの?
ワームが開けたバックポートを利用して誰かが侵入した場合とか。
もし「Welchia.Bには感染してないから内部情報漏洩はない」と
記者が考えているなら「甘い」し、
元記事の書き方はそのようにも読める。
#噛み付くところじゃない気はするがね
Re:甘い? (スコア:1, 参考になる)
「データベースサーバーはOSにUNIXを採用しており、Welchia.Bの影響はない。個人情報の漏洩も発生していない」
と、
- データベースサーバはWelchia.Bに感染していない
- 個人情報は漏洩していない
という2つの点を主張しているのであって「データベースサーバーはOSにUNIXを採用しており、Welchia.Bの影響はないから個人情報の漏洩は発生していない」
と言ってる訳じゃないですよね。
「甘い」と言ってる人は、そのように脳内補完して読んでるように思えますが。
漏洩したかどうかの検証が正しくされているかどうかというのは別途考慮すべき事ですが、この発表だけを見て「甘い」と断じるのは早計であり、言いがかりを付けているとしか思えません。
Re:甘い? (スコア:2, すばらしい洞察)
たしかにそうですが、問題は、前者には「OSはUNIX」という根拠が示されているのに、後者にはその根拠(たとえばアクセスログを検査した結果、とか)が示されていないあたりが、突っ込みたくなる点でしょう。「甘い」とする結論が短絡的なことは認めますが、相手の言い分を丸呑みするのも「甘い」と思います。
Re:甘い? (スコア:1, 興味深い)
もし、それに個人情報が入っていたらワームによってはばらまかれていた可能性もあったのだから「甘い」んじゃないですか。
間違えていらっしゃる様だが、「幸いそうじゃなかった」だけで、 WEBに繋がっている企業のコンピュータがそんな管理状態だって事は有ったら困る話だよね。
> この発表だけを見て「甘い」と断じるのは早計
ネットワークに接続した1台の感染から郵政公社のシステムが停止した事件 [nikkeibp.co.jp]は、ワームに感染したのが少数でもネットワークが落ちてしまった最近の事例だけれど、忘れてませんか?
ローソンの危険性に対する認識は「甘い」と思うけど。
Re:甘い? (スコア:0)
> 記者が考えているなら「甘い」し、
訂正。記者じゃないな。ローソンチケットの中の人だ。
Re:甘い? (スコア:1, 参考になる)
その内側にいるDBサーバの管理レベルも予想できそうなものだが。
Re:甘い? (スコア:0)
鯖管の人だからって等しくお金をもらえてるわけでも
外部に晒されるサーバーだから優先して人材を回してもらえてるわけでもなかったりしたり。
Re:甘い? (スコア:1, 興味深い)
あるアプリを解析されて、それにぶら下がっているDBのテーブルから
正規(に見える)手順で顧客データを吸い出されてもおかしくないからね。
あとはアプリを置き換えて受け取った情報を何らかの方法で他サーバへ
送信するという方法もある。
管理権を奪われるというのはそういう事だよ。