パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

価格.com、サービス再開へ」記事へのコメント

  • by Anonymous Coward
    SQL注入されちゃうのはプログラムの欠陥だろー>asahi.comの記事
    • by niratama (2175) on 2005年05月24日 19時55分 (#740081) ホームページ 日記
      最高レベルのセキュリティが破られた [itmedia.co.jp]んだから、欠陥なんてあるわけないじゃないか!
      修正しているそばから改ざんする [nikkeibp.co.jp]というレベルの高い攻撃 [impress.co.jp]を仕掛けてくる、スーパーハカーによるサイバーテロ [kakaku.com]だったんだよ!

      #んなワケねーだろ
      親コメント
      • by __hage (7886) on 2005年05月24日 20時30分 (#740101)
        なんにしろ、ウィルスをばらまいている事を知っていたにも
        かかわらず「犯人追跡」だの「侵入経路の特定」だの理由をつけて
        サイトの運営を続けていたわけです。

        顧客を危険に晒してるのに順番がおかしいです。
        ナメきってると思いました。私はもう利用しません。

        # 直接の顧客は私のようなサイトの利用者じゃないでしょうけど

        私一人なら痛くもかゆくもないでしょうけど、
        こう思ってる人がどれくらいいるんでしょうね。

        ま、これに懲りて安全なサイトにはなるでしょうけどね。
        親コメント
        • >なんにしろ、ウィルスをばらまいている事を知っていたにも
          >かかわらず「犯人追跡」だの「侵入経路の特定」だの理由をつけて
          >サイトの運営を続けていたわけです。

          サイトの運営を続けるのは、俺はそれ自体が悪だとは思えないけど。
          既出の穴でパッチ当てているブラウザでは感染しないのだろ?被害が小さいと判断するのはおかしな判断とは思えない。
          被害の可能性や被害者への連絡を4日後に行なったのは遅い気もするが、4日でしかないとも言えるんじゃないの?
          親コメント
          • 「ともいえる」では大抵のことは言えてしまいます。

            利用者側の判断として「パッチを当てているから大丈夫」ってのはいいでしょう。
            サービス提供者側が「パッチを当てていれば大丈夫」と判断するのはどうなんでしょう。
            もっと踏み込んで「パッチを当ててないやつが悪い」というニュアンスを感じます。

            もちろんパッチを当ててないやつも少しは悪い、というか自業自得の面はあるでしょう。
            だからといってサービス提供者側がそれをアテにするのは間違った態度です。

            サービスを受ける側も提供する側も被害を広めない・受けない努力が必要です。
            それは、サービスを受ける側ではたとえばパッチを当てることです。
            サービスを提供する側ではたとえばサイトの運営を即時停止することです。

            不特定多数が利用するサイトですから、サービスを受ける側に素人さんがいることは
            容易に想像がつくはずです(つかなきゃ馬鹿です)。

            もう一度言います。顧客を危険に晒してまでサイト運営を続けたのは間違いです。
            親コメント
            • >不特定多数が利用するサイトですから、サービスを受ける側に素人さんがいることは
              >容易に想像がつくはずです(つかなきゃ馬鹿です)。

              それはそうなんだけどさ、IEでも古い奴やパッチ当てて無い奴の中には、開いたページのエレメントをscriptで拾って他所に送信可能だよね。
              これは容易に想像が付く問題だから、scriptは起動しないように切っておくべきだろうけど、必須のサイトは多く存在する。
              そう言ったscript必須のサイトは閉鎖すべきなんですか?
              カカクコムでの穴を突くパッチって、最近供給された奴じゃないよね。かなり以前でしょ。

              俺は「信用済みサイト」以外はscriptの実行は認めていない。当然/.も信用していない。
              でも、こんな奴ばかりじゃないことは容易に想像がつくはずです。

              ちょっとでも危険ならば即閉鎖すべきなんだろうか?
              即閉鎖した場合、書き換え方法がログから特定出来なければ、廃業すべきってことになりそうだよね?穴塞がずに再開出来る訳ないだろうし。
              って事は、社員がログが残らないように工作した場合は廃業?
              クラッカーがログを消して出て行った場合でも廃業?
              パケットキャプチャーする時間くらい与えても俺は良いと思うけど。

              ただ俺も一つ気になる点がある。
              何度も変えられた様だけど、それならば早い段階で犯人のIPアドレス分かっていた様な気がする点。
              その段階でトップページで告知すべきなんじゃ?と。
              俺は、しばらく「アクセス出来ない状況」で「変だな」と思ってたら、その後ニュースで流れて知ったよ。
              ウイルス感染被害者への配慮ならば、仮のサーバー立てて、早い内に告知すべきだったのではと思う。
              「アクセス出来ない状況」って、閉鎖していたが仮サーバー立ててなかったのでしょ?
              親コメント
              • ほぼ大多数の素人さんがスクリプトの危険性なんか認識しているわけが無いわけで。
                「ウィルスを配信している」状態が分かった段階でサーバ停止して
                別サーバたててお知らせ出すぐらいはやっても良かったんじゃないでしょうか?

                大体、素人さん
              • >「ウィルスを配信している」状態が分かった段階でサーバ停止して
                >別サーバたててお知らせ出すぐらいはやっても良かったんじゃないでしょうか?

                「お知らせ出すぐらいは」ってのが難しいんじゃ?
                お知らせの告知を出すと、ばれたと思われクラッカーが再攻撃してこない可能性もあるよね。
                ログの削除と重なれば手口の特定が非常に難しくなるよ。
                そうすると、停止したサーバーの再開は困難 => ネット専業だから廃業と言う流れに。

                バランスを考えると「手口が判明しだい告知などの対処」がベストの様な気が俺はするね。

                逆に、ウイルス配信で即停止すべきと言うのがルールならば、ライバル社がサーバー管理者をたらし込めば、ウイルス配信しログ削除が可能だよね。
                2億とか出されればぐらつく奴はいると思うけど。
                サーバー管理者で、自分の管理下にあるサーバーのログの削除は技術的には可能と思っている人はいるんじゃ?
                話があれば、自宅サーバー立てて真面目に出来るか検証可能だよな。その後受けるか連絡すれば良いんだし。
                進入経路も書き換え手口も分からん。ログも削除されている。そう言った状況で犯人の特定が出来る確率は少ないんじゃないの?
                ウイルス配信で即停止すべきと言うのがルールならば、俺は逆にセキュリティーが保てなくなる様な気がする。
                親コメント
              • 今回のkakau.comは単にサーバ停止中の損失を恐れて運用し続けただけだと思うが(で、結果傷を広げた)。

                >手口の特定が非常に難しくなるよ。
                >そうすると、停止したサーバーの再開は困難 => ネット専業だから廃業と言う流れに。

                手口を特定する必要は必ずしも無いでしょ。
                セキュリティの専門家を招集して既知の脆弱性や攻撃手法で攻撃をテストし、成功したらその穴埋め。それが終わったら建前上「穴は無くなった」と言えるので、サーバ運用再開。
                犯人もきっちり対策が施されているかもしれな
              • >セキュリティの専門家を招集して既知の脆弱性や攻撃手法で攻撃をテストし、成功したらその穴埋め。それが終わったら建前上「穴は無くなった」と言えるので、サーバ運用再開。

                「既知の脆弱性や攻撃手法で攻撃をテスト」って、単なる一通り?
                パッチ当てているか否かって問題ならばそれで直ぐ分かると思うが、CGIなどの不備って、そんな簡単に分かれば苦労しないと思うけど。
                >しかし結果として“最高の対策”とは呼べない部分はあったと思う」(穐田社長)
                http://www.itmedia.co.jp/news/articles/0505/25/news086.html
                と言っているくらいなんだから、「最高の対策」と呼べる対策はそもそも存在していたのでは?
                例えば、バッファオーバーフローの脆弱性も今でもたまにぽつぽつと穴が公表されるよね。
                テストプログラム回して簡単に脆弱性があるか分かれば苦労しない気がするけど。

                ついでに、
                「当社に過失はなかったが、詳細は明らかにできない」「今回の件は、過失や重過失に類するものではない」と「無過失」と述べている点と、
                >SQLインジェクションによるものだったする一部報道については「私どもから発表した事実ではない」(穐田社長)と、肯定も否定もしなかった。
                と言っている点は気になるな。
                OS、wwwサーバー、スプリクト言語辺りのどれかに未知の穴でもあったって言う話?
                >不正アクセスの手口は「判明している」(穐田社長)としながらも「類似犯罪のヒントとなる情報は出したくない」と、詳細は明かさなかった。
                からは、パッチの提供がまだされていない様な印象を俺は受けたけど、どうなんだろう?
                親コメント
              • >「最高の対策」と呼べる対策はそもそも存在していたのでは?

                信じるかどうかはまかせますが、存在しない [srad.jp]ようですよ。
                そもそも、「最低限の対策」程度で今回のことは発生しないしな。
                  #「最低限の対策」の場合、別の要因で結果的に同様の事象が発生した可能性もあるが、
                  #それはあ
              • >気になるもなにも「その通り」という回答そのものでしょ。

                「その通り」って、「SQLインジェクションによるものだった」ってこと?
                仮にそうだったとすると、彼の無過失の主張は戯言なのかな?
                それと、SQLインジェクションって情報流したのは情報の漏洩?情報の管理が出来ていないってことか?

                まぁ、掲示板は読めるけど書けない現状(読み込みCGIは可)を考えると、書き込みの特殊文字の無効化をミスった感じは濃厚だけど、彼は無過失を主張するんだな。
                親コメント
      • ところで「最高レベルのセキュリティが破られた」の報道したのはIT戦士の記事だけだっけ?

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...