Re:要するに (#1333162) | サウンドハウス、情報流出について詳細な経緯を公開

「サウンドハウス、情報流出について詳細な経緯を公開」記事へのコメント

記事ページを表示すべてのコメント取得

検索133コメント Log In/Create an Account

要するに (スコア:3, 興味深い)

by Anonymous Coward

長いので要点を抽出してみました。たぶん社長はここを一番言いたいんじゃないかなと。
お客様からは、「サウンドハウスの個人情報管理が甘かったのではないか」という管理責任を問う声を頂きました。（略）それに対して弊社の率直な答えは、通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言われるレベルでもない、ということです。（略）
弊社のWEBサイトは全て自社開発をしており、セキュリティ面に関しましては、24時間体制のシステム管理者が、外部のアドバイス、指導を受けて構築してきております。そのシステムのセキュリテ
- Re: (スコア:5, 参考になる)
  
  by Anonymous Coward
  
  >2008年の時点でSQLインジェクションを知らなかった
  
  全く知らないのでなく、セキュリティには金を払っているのだから、
  これで防げるのではないかと思っていたという事でしょ。
  技術の専門家で無かった自分は「ハッカーセーフ」とやらの謳い文句が、
  十分投資に見合った体制だと思っていたと20ページ目に書いている。
  技術の専門家だったら責めるのも解るけど、エンドユーザーの態度としては、
  こんなもんじゃないかなあとも思うんだけど。
  
  >知らなかったのは行政のせいだなんて
  
  この会社、この社長の発言全てを弁護するわけじゃないがOffice氏の事件以降、
  善意の第三者が危険な状態になっている事を
  - Re: (スコア:2, 参考になる)
    
    by Anonymous Coward
    
    一か所だけ反応します。
    
    >Office氏の事件以降、善意の第三者が危険な状態になっている事をお知らせというのは激減している。
    
    そのOffice事件を受けてIPAやJPCERTなどの取り組みが制度的に整備されました。
    そののち、それまで問題点を発見しても誤解されることを恐れて通報を躊躇していた善意の第三者の皆さんは、多少の不安も感じながらそれらの取り組みに加わっています。
    したがって、善意の第三者が直接「問題のある組織団体」や「ネット上」へ危険な状態になっている事をお知らせというのは激減していますが、それは当たり前のことで、むしろ通報する側される側とも余計なリス
    - Re:要するに (スコア:2, 興味深い)
      
      by Anonymous Coward on 2008年04月19日 18時29分 (#1333162)
      
      >そのOffice事件を受けてIPAやJPCERTなどの取り組みが制度的に整備されました。
      (略)
      >その教訓はきちんと生かされているのではないでしょうか。
      
      レスありがとうございます。
      この部分、自分でも最後まで触れずにいようかと思いましたが、やはり触れることにしました。
      このようなツッコミが入る程度には、IPAの活動は周知されているのか、普通にOffice事件から
      進展がないと受け止めている人が多いのか解らなかったからです。
      
      あれ以降、確かに軽微なものはリスクを負う事無く報告されるようになりました。
      そして問題が起きた後のインシデントレスポンスの体制は整ったかもしれません。
      しかし、今回の経緯 [srad.jp]を見て、そして自分が通報したときの経験からすると充分といえません。
      
      ・「海外における善意の第三者」の通報には対応していないか、窓口が知られていない
      逆に一見日本語が提供されていても、グローバル企業、日本以外に本拠点のあるサイトへの対応は弱い
      ・今回のような脆弱性を全個所（SQLインジェクション以外の部分）報告する事は歓迎されない
      そこを糸口にした影響範囲を調査する事は逆に制限がついている
      ・報告しても放置が多いのに全く公開されず公開できず、その間ユーザーは危険に晒されつづける
      具体的事例を蓄積しているはずなのに、統計的にしか知ることが出来ない
      
      という問題を依然抱えているように思えるからです。
      
      >Office事件は通報者自身の不手際
      これがたまたま、比較的オープンな集会であったために発覚しましたが、今回のようにアンダーグラウンドで
      取引されているような脆弱性情報 [impress.co.jp]のような、
      即警察にも動いて欲しい事案を報告するにはIPAの窓口だけでは不足です。
      （場所によっては、裏切り者となって殺されるリスクがあるかもしれません）
      そして、ソフトウェア事例ですが一太郎の脆弱性が、シマンテックのブログで公開された事例について
      高木浩光氏 [takagi-hiromitsu.jp]も「一太郎zero-day攻撃のニュースは、
      次のように、いつも Symantecの blog が一次情報源になっている。」と書いています。
      （まあ、氏のblogなので、やや煽り気味である表現があるのは無視して読むことが必要ですが）
      要するに、海外の善意の第三者は依然Office流とも言える対応をしているし、悪意のある人間は尚更です。
      日本国内の善意の第三者だけが守るような取り組みで、その善意の示し方も慎重なやり方に制限されています。
      結果的に、通知された側は本当のリスクが見えなくなっています。
      
      脆弱性を通知された組織の側から、間近に問題がどう受け止められたかを見た事もあります。
      私は当該アプリケーションの実装もしていなければ、何か決定する権限が与えられている訳では
      ありませんが、他に誰もその脆弱性報告がどういう攻撃をされるのに利用されて、
      一番大事な所ですがビジネスリスクになるのが解らないという事で相談された事があります。
      IPAからの報告は、技術者に届かなければ意味が通じず効果がないという事なのです。
      統計的なデータ [security-next.com]だけでは、わが社に限って狙われることは無いと思ったりするのです。
      特にクロスサイトスクリプトのようなものは、「これまでにこれでこういう事例があった」
      みたいな一時報告者は知らなくてもIPAが蓄積しているであろう具体的なソースを提示しないと、
      すぐにエスカレーションされる機会が殆ど無いのです。
      
      例えばSQLインジェクションでは、会員の情報を抜いて見せて報告をすればいいのですが、
      一度そういう報告をすると「これ…訴えられるかもしれないよ」とお叱りを頂きます。
      だからシングルクォートを入れたらSQLエラーが画面に出た、程度の情報で報告します。
      では、そこからIPAが相手と同意をとって検証して、会員情報リストが抜ける形を示して
      くれるかというとそうでは無いので、よほど日頃からセキュリティ事情に関心をもっている、
      CIOでも置いていない限りビジネスリスクとして認識してくれません。
      オフショアに丸投げにして作られたものなどは、解っていても「契約外、仕様外」といって、
      直すのに新規構築に負けないくらいの金と労力がとられるので躊躇する場面もあるようです。
      
      まあ、SQLインジェクションは、もはや名前だけが一人歩きするようになっているので、
      「とにかく対策しなければ」と思う人のほうが多いと思ってしまいます。
      しかし、44件残っているうち1年以上放置されているのが20件 [nikkeibp.co.jp]というのが実情です。
      しかも、今回のような事案の場合、「この欄に'を入れたらエラーが出たよ」どまりの報告では、
      抜本的な対策を取る事無く別欄のインジェクションで攻撃されている不安が残ります。
      ラックさんとの協力でツールを公開 [atmarkit.co.jp]してくださったようですが、
      これは複数台サーバーにわたる膨大なログを定期的に自動処理出来ないので実行コストが嵩みます。
      すると、結局元々意識の高い会社が「ああやっぱり攻撃されてなかったね、よかったね」という確認を
      自主的に行って安心する程度になってしまう可能性が高いです。
      
      これまでの、「統計的な取り組みは評価に値する」「あの頃に比べれば改善したと思う」という意味で、
      その認識は貴方と同じですが、今回の事例からハッカーセーフを導入するようにはなったが、
      しかしそのソリューションが一体何を守っているのか解っていないでやっているという実態が
      明らかになり、ウェブをやってるのは技術者がいる会社だから技術者に解る内容で公開すればいい、
      という性善説的な従来の限界、日本国内ルールの限界が見えてきたと思います。
      
      IPAの実効性に論点が膨らみすぎましたので、Office事件後と事件前の話だけに絞りましょう。
      Office氏のやった事は、発表の場とプロセスが悪かったにせよ具体的なプレゼンでありました。
      あれ以降、IPAに報告をすることで、具体的なプレゼンを必要としなくなってはいるが、
      それだけに充分相手に伝わらなくなっているという事です。
      
      シェア
      
      親コメント
      - Re:要するに (スコア:1, すばらしい洞察)
        
        by Anonymous Coward on 2008年04月19日 19時30分 (#1333174)
        
        例えばSQLインジェクションでは、会員の情報を抜いて見せて報告をすればいいのですが、一度そういう報告をすると「これ…訴えられるかもしれないよ」とお叱りを頂きます。
        
        当たり前だ。それは違法行為だ。
        君の言っていることは、窃盗の危険を示すために実際に窃盗して見せるという行為で、到底社会が許す行為ではない。これは日本だけじゃなくて、欧米諸国でも同じ。侵入してもおとがめなしなのは中国くらいなもんだ。
        
        シェア
        
        親コメント
        
        Re:要するに (スコア:1, 参考になる)
        
        by Anonymous Coward on 2008年04月19日 21時14分 (#1333203)
        
        ですね。
        ただIPAに期待したいのは脆弱性がある可能性があるという報告をするだけでなく、
        それがどの程度危険なのか、回避策も含めた業者紹介も含めた総合的なアナウンスというか説得作業等で相手を意識改革をさせる事でしょうか。
        
        ぶっちゃけ現状のIPA、一度届けるとIPA越しになるのでレイテンシが長くなる上に、こちらのメールを直接送付じゃないのか話がねじれて非常に「邪魔」です。
        
        無謀な人、社会的に失う物が少ないと思える人は訴訟リスクを取るかもですね。
        だって実例の方が説得力は圧倒的に増しますからね。
        
        # エラー画面から、攻略手順を1から10まで書いて仮想通貨の搾取が可能ですよとメールした事があるのでAC
        # 結局向こうはSQLどころかデータベースすらちゃんと解ってなかった・・・コピペ・サンプル・解説本の罪なんですかね。
        
        シェア
        
        親コメント
      - ファーストサーバーの社長が逮捕されたので (スコア:1, 興味深い)
        
        by Anonymous Coward on 2008年04月20日 18時23分 (#1333510)
        
        改めて当時の出来事をトレースしていましたが、
        久保田理事がこんなことを言ってたんですね。
        
        レンタルサーバー会社の安全性を認証する第三者機関を～ACCS久保田理事
        http://internet.watch.impress.co.jp/cda/event/2004/09/30/4793.html
        
        「レンタルサーバーを借りるときに、きちんとそのサーバー会社がセキュリティに対して適切な体制を整えているかをチェックしないと、実際に情報が漏洩した際にそのサーバー会社を選んだことに対して委託元としての法的な管理責任を問われる可能性が高いが、個々の企業にはそのようなチェックを行なうノウハウがないために実質的にはチェックは困難」と指摘。「そのような問題を避けるためにも、サーバー会社が適切な管理を行なっているかどうかを認証する第三者のチェック機関が必要だ」と訴えた。
        
        これがサウンドハウスの社長を含めて一般的な経営者の感覚そのものなのでしょう。
        そして、その感覚は過去も現在も変わっていない、と。
        ホスティング会社に限らずセキュリティサービスを提供する企業の格付けが必要であることは間違いないでしょうが、ではそれをどこの誰がやるのかが問題になります。
        それについてなにかアイディアをお持ちでしょうか。
        
        ご指摘のとうり、IPAやJPCERTの枠組みは完璧ではありませんが、改善させることは可能です。
        また格付けそのものではなくガイドラインのような形式でもよいのかも知れません。
        いずれにしても、実務経験から得られた問題点や改善点についてのご意見や提案をおもちなのでしたらそれらは公の場に問うてみてはいかがでしょうか。
        ひとりでぐちぐち悩んでいるよりは問題意識を共有している方々と前向きに取り組んでみてはいかがでしょうか。
        
        (#1332755)の内容には大筋で同意しますし(#1333162)の内容は大方は理解できます。
        ただ、正式なセキュリティ監査案件で受注したのではなく当事者間の口約束みたいなことで相談に乗る、というは内部統制(セキュリティ管理統制)の面で問題ありすぎなので、用心にされた方がよろしいかと。
        技術屋としての良心というかお気持ちはわかりますが、そのような場合には、やはりきちんとしたセキュリティベンダーへ相談することを勧めるにとどめるのがIT分野のプロとしてのたしなみではないでしょうか。
        
        約10万件、カード会社二社からの通報で発覚と言うことは既に流出したカードが悪用されていたことになります。
        決済時期が国内使用とずれる海外で悪用されていたことが発覚すればカード会社は金融庁の聴取を受けることになるでしょう。
        クレジットカード (日本) - Wikipedia
        http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AC%E3%82%B8%E3%83%83%E3%83%88%E3%82%AB%E3%83%BC%E3%83%89_%28%E6%97%A5%E6%9C%AC%29#.E6.97.A5.E6.9C.AC.E3.81.AB.E3.81.8A.E3.81.91.E3.82.8B.E3.82.AF.E3.83.AC.E3.82.B8.E3.83.83.E3.83.88.E3.82.AB.E3.83.BC.E3.83.89.E3.81.AE.E6.B3.95.E8.A6.8F.E5.88.B6
        カード会社は加盟店契約を行う場合に審査を行いますが、セキュリティ面での対応が適切であるかどうか技術的なことまでは踏み込みません。
        恐らくカード会社はサウンドハウスはハッカーセーフを導入していたことから優良加盟店として認識していたのではないかと思われます。
        そのうちクレジット会社主導でセキュリティ格付け制度が立ち上がるかもしれません。
        
        シェア
        
        親コメント
        
        Re:ファーストサーバーの社長が逮捕されたので (スコア:1, 参考になる)
        
        by Anonymous Coward on 2008年04月21日 7時33分 (#1333625)
        
        ＞そのうちクレジット会社主導でセキュリティ格付け制度が立ち上がるかもしれません。
        
        ハッカーセーフは、既にクレジットカード会社公認のようですよ。
        
        ビザ・インターナショナル『日本初のインターネット脆弱性スキャニングとセキュリティ診断の無料サービス』を開始 [hackersafe.jp]
        
        ハッカーセーフのサイトにありますが、ビザインターナショナルのリリースのようです。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

サウンドハウス、情報流出について詳細な経緯を公開 More ログイン

「サウンドハウス、情報流出について詳細な経緯を公開」記事へのコメント

要するに (スコア:3, 興味深い)

Re: (スコア:5, 参考になる)

Re: (スコア:2, 参考になる)

Re:要するに (スコア:2, 興味深い)

Re:要するに (スコア:1, すばらしい洞察)

Re:要するに (スコア:1, 参考になる)

ファーストサーバーの社長が逮捕されたので (スコア:1, 興味深い)

Re:ファーストサーバーの社長が逮捕されたので (スコア:1, 参考になる)

スラド