パスワードを忘れた? アカウント作成
10334 story

「官製クラッカー」による抜き打ち侵入演習計画 213

ストーリー by yoosee
突っ込みどころ満載に見えますが... 部門より

Anonymous Coward曰く、"15日の asahi.com の記事によると,カカクコム侵入事件を重く見た総務省が、抜き打ちで通信企業各社のサーバ等システムへ侵入したりアクセスを集中させるという演習を計画しているそうだ。

朝日新聞の表現によると「本物のハッカーになりすまして、通信企業の心臓部であるサーバーなどの設備を狙う」のだそうで、「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」のだそうだ。総務省はこの計画に06年度予算として15億円程度を盛りこむ予定。これによって「社内外への情報提供や業者間の連携」などの「危機管理態勢全般を確認する」というのだが、社外への対応も抜き打ちで試されるのだろうか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • まずご自慢の (スコア:5, すばらしい洞察)

    by heath_yam (16773) on 2005年06月16日 8時07分 (#752343)
    住基ネットからお願いします。
    --
    ヒースキット山口 heath yamaguchi
  • このタレコミ (スコア:3, 参考になる)

    by seoth (17664) on 2005年06月16日 8時40分 (#752365)
    さすがに酷い。
    これじゃ、総務省が適当に選んだ企業に無断で検証するみたいじゃないですか。
    実際に(#752340)(#752348) のようなコメントもついてるし。
    計画では大学などで情報セキュリティーなどを研究する専門家でチームを編成。各社の参加を募り、数週間程度の演習期間内に抜き打ちで、各社のシステムへ侵入したり、アクセスを集中させたりする。
    参加企業を募ってからだという事は重要ですよ。
    • Re:このタレコミ (スコア:2, すばらしい洞察)

      by yoshzawa (26107) on 2005年06月16日 9時07分 (#752380)

      >各社の参加を募り、数週間程度の演習期間内に抜き打ちで、各社のシステムへ侵入したり、アクセスを集中させたりする。

      サーバ管理者は
      その数週間は
      24時間監視端末とにらめっこですね?

      通常業務と同じスタイルでやらなければ
      (体制とか力の入れ方とか勤務時間とか)
      あまり有効じゃないような気が…
      親コメント
      • by hal-e (22687) on 2005年06月16日 9時17分 (#752385)
        社内で通知するかはそれぞれの判断で、とか。
        あとから「演習でした」と知らされてブチ切れるサーバ管理者が・・・。
        親コメント
      • 余程ひどい穴が空いていなければ、通常ならばログやrポートやrootkitのスキャニングをまめにバッチでやれば済むような。
        で、業務に戻った所でバッチの結果を見て、「新しい」スキャニングツールで監視を再開すればいいのではないかと…
        リアルタイムでの対応というのはかなり限定されたシチュエーションになると思う
        …昔のようにシェルを乗っ取ったクラッカーを封じ込めて追い込むとかそういう真似するなら別ですけど、最近のクラッカーはゾンビ化した第三者のコンピュータからロボットでサーバの脆弱性を突いて乗っ取ろうとしますからね。

        親コメント
      • Re:このタレコミ (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2005年06月16日 10時14分 (#752433)
        クラッカーも役人なので5時で帰ります。
        親コメント
    • Re:このタレコミ (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2005年06月16日 9時01分 (#752375)
      誰が「元ネタにもあたらず脊髄反射で反対コメントを返す」かを
      調査するための演習タレコミです。
      親コメント
  • 抜き打ち検査の手口 (スコア:3, おもしろおかしい)

    by tockri (27596) on 2005年06月16日 10時31分 (#752450) ホームページ 日記
    「ああ総務省の鈴木ですけどシステム担当者さん?今回の検査の件ですけど、
    一応参加企業の登録しなきゃいけないんで、
    https://sequrity.soumu.go.jp/.../....php
    で管理者ユーザー名とパスワードを登録しておいてください」
    • Re:抜き打ち検査の手口 (スコア:2, おもしろおかしい)

      by blackdragon (20912) on 2005年06月16日 11時32分 (#752497)
      というか、その手を使った便乗ソーシャルクラッキングも発生したり。

      クラッカー「もしもし、総務省セキュリティー演習プロジェクトの郵政太郎と申しますが、この度は演習に参加いただきましてありがとうございます。」

      システム管理者「え、何のことですか?」

      ク「あれ、まだ聞いてませんか?
       実は、今、セキュリティー演習というものをやっていましてね、趣旨はホームページで確認していただければ…。
       で、御社からも参加のご応募を頂いているんですよ。それでですね、その準備段階として~」

      って感じで。
      親コメント
      • Re:抜き打ち検査の手口 (スコア:2, すばらしい洞察)

        by boo (899) on 2005年06月16日 17時09分 (#752666) 日記
        それが出来るなら、気に入らないやつのサイトにDDoS攻撃かけられますね。

        ライバル「もしもし、総務省セキュリティー演習プロジェクト担当さん?
          うちのサイトのアクセス集中テストお願いしたいんですよ。
          サイトのアドレスですかぁ?えっと…」
        --
        あぁ、「ン」が消えてるんですよ。「ビーフン・カレー」ね。
        親コメント
    • Re:抜き打ち検査の手口 (スコア:2, すばらしい洞察)

      by ZZX (12828) on 2005年06月16日 18時55分 (#752704)
      冗談抜きでこういう検査はありだと思う。ちゃんと関係者にセキュリティ意識が浸透しているかどうかを確認する意味で。

      「最大のセキュリティーホールは人間」なわけだから。

      --
      ZZX
      親コメント
  • by tyuu (9154) on 2005年06月16日 9時41分 (#752400) ホームページ 日記
    参加企業を募り、期間限定(数週間)でシステム監査を実施する。

    なぜ、やれ特権行使だ! DoS だ!バックドアだ!となるのでしょう。

    「業務が止まる危険性があるから、参加しません。」と判断するか、
    「第1回、セキュリティ監査 突破!!と宣伝したいから参加とする」かでしょう。

    こういうのは 1 民間企業が音頭を取ってやるよりも
    国が主体でやる方が良いかと思います。

    腰の重い大企業なども箔が付くので、参加するでしょうし、
    それに連られて、中小も参加しそうです。
    また、システムにも公平なイメージが[なんとなく]あります。
  • by Jadawin (2174) on 2005年06月16日 10時39分 (#752459) 日記
    誰がチェックするんじゃろうか?セキュリティ監査技士とか資格ができるんかな?

    天下りを許さないところには自衛隊特務班を、天下りたっぷりのところにはスク
    リプトキディを派遣したりして。
  • by QwertyZZZ (8195) on 2005年06月16日 13時26分 (#752571) 日記
    少なくとも何処の誰とも判らない人間に比べて、明らかに安心できます。
    また、問題発生時の責任分担も判りやすいし、責任の担保能力についても問題は無い。

    とりあえず表はね。

    後は内容。
    実際に試験を請け負う為にはどういう条件があるのか?
    変な下請け使えばそれなりに流失被害なんかは起こりえるから、その辺りの保障は?とか。
    それでも被害発生時は総務省を訴えれば良いので、マシって言えばマシか。
    学生なんかでは振っても鼻血しか出ないだろうし。

    実際の試験内容は・・・これはあんまり出さない方が良いのか。
    これもどうせ業者の信用でしかないし。

    あとは実績を積んでって事かな。

    #後は当然、現状の「お役所」に対する信用問題と同等の懸案もあるが、未だどうこう言うレベルでは無かろうかと。

  • ナビスコ (スコア:2, おもしろおかしい)

    by Lurch (10536) on 2005年06月16日 13時34分 (#752577)
    あたりからOENで、官製クラッカーが出るのかと思った。
    ビスケットではダメですか?
    --

    ------------
    惑星ケイロンまであと何マイル?
  • by moromama (23126) on 2005年06月16日 7時47分 (#752335) 日記
    演習でした、で済むの?
    迷惑には変わりないような。
    --
    Minder
    • by blackdragon (20912) on 2005年06月16日 8時18分 (#752350)
      >演習でした、で済むの?

      -asahi.comより-
      各社の参加を募り、数週間程度の演習期間内に抜き打ちで、各社のシステムへ侵入したり、アクセスを集中させたりする。

      ということで、志願したところのみを対象ですので、「抜き打ち」という表現自体ちょっとおかしいですね。
      親コメント
  • by mharada (11407) on 2005年06月16日 8時00分 (#752338) 日記
    こういうことをやったことないよね。
    銀行に殴りこんでセキュリティチェックとか、地下鉄で煙幕を噴出させて対応を見るとか。

    なんでネットワークだとこういうことを抜き打ちでやってもよいと発想するのでしょうか。
    • Re:警察だって (スコア:2, すばらしい洞察)

      by soltiox (25610) on 2005年06月16日 8時08分 (#752345) 日記
      いや、むしろ逆かも。
      「ネットワークだから、こうゆうコトを抜き打ちでできるよな」
      とゆう感覚がありそうな気がします。
      親コメント
    • Re:警察だって (スコア:2, 参考になる)

      by akudaikan (26016) on 2005年06月17日 3時57分 (#752919)
      まったく同じことをやってるよ。
      参加者を募ってから抜き打ちネットワーク侵入検査。
      警察の情報関連部署が、地方自治体中心に盛んに宣伝して回ってる。
      といっても、NESSUSを使うぐらいで、手動での検査はあまりしていないみたいだけど。
      民間のセキュリティ関連会社がぼやいていたなー。
      「地方自治体向けのセキュリティ診断がまったく売れないんですよ」って。
      総務省のも民業圧迫にならなければいいけどね。
      親コメント
  • 特別講師は office たん。

    --
    むらちより/あい/をこめて。
    • by stwo (9482) on 2005年06月16日 8時40分 (#752366)
      office氏は侵入系ではありません。中に入ろうとゴニョゴニョする系ではないですね。外に染み出てきているのを発見する系です。
      #とはいえ官製クラッカーがどのようなことをなさるのかはわかりません。外注するんでないですか、実績のない民間企業に。毒吐きすぎた、すまん。
      --
      | 慈愛こそ慈愛
      親コメント
  • で、 (スコア:1, 興味深い)

    by Anonymous Coward on 2005年06月16日 8時20分 (#752351)
    特別演習している最中に、ちょっとした「穴」が発見されたり、あるいは空いたりして、で、その情報を聞きつけたほんもののクラッカーが本当にクラッキングして演習以上の成果をあげる、という「事故」があった場合、誰が責任を取るんですかね?

    あるいは、演習中に運良くroot権限が手に入って、かつ、演習中に手がすべって

    /bin/rm -rf /

    しちゃった場合とか。
    • 警報 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2005年06月16日 10時30分 (#752449)
      >ほんもののクラッカーが本当にクラッキングして演習以上の成果をあげる

      「これは演習ではない! 繰り返す。これは演習ではない!!」
      親コメント
    • Re:で、 (スコア:1, 興味深い)

      by Anonymous Coward on 2005年06月16日 8時54分 (#752372)
      root取りにいく過程でexploitコードの中にshellを直接叩く待ちうけ
      ポートを作ったり、suidビット立てたshellを作ったりという手口で侵入
      するためのバックドアを作成することもあると思います。

      それらを消し忘れたりして偶然クラッカーがそれを発見して簡単にroot
      取られたりという事故はあるかもね。

      国が責任を取るんだろうけど。
      親コメント
    • by typer (9666) on 2005年06月16日 9時36分 (#752397) 日記
      責任取るのは穴の情報を漏らした人では?
      #あ!その穴を発見するための演習か!
      親コメント
  • by onikuya (17148) on 2005年06月16日 9時06分 (#752379) 日記
    銀行強盗の対応訓練を装った本当の銀行強盗ってのがあったけど似たような事をする奴が現れたりして

    #もしかしたら漫画かもしれないけどID
  • by Elbereth (17793) on 2005年06月16日 9時14分 (#752383)
    上の方だけ参加を承知しておいて、下っぱには全然知らされないもんだから
    現場の判断で業務が停止しちゃって損害がウン億円出たり
    上に連絡しようとしても休日とか夜とかで連絡取れなかったり
    この企画に便乗した偽官製ハカーがでてきてソーシャルハックされたり、などという結末を思い浮かべてしまいました。

    とりあえずYahoo!BBあたりはデフォルトで実施対象に入ってるんでしょうね?(Y/y)
    • by ta98 (10561) on 2005年06月16日 9時42分 (#752401) ホームページ
      >上の方だけ参加を承知しておいて、下っぱには全然知らされないもんだから
      責任を下のものになすりつけ、怒鳴り散らす中間管理職とか、すべてを
      隠蔽しようと画策する奴とか、上層部に嘘の報告をする奴とか出てきて
      体質が浮き彫りになるってこともあったり。

      #建設業界で昔よく聞いた話だが、官の検査があるときは「この部分を
      検査してください」と施工した会社が指定する。官もひごろたくさん接
      待してもらってるし、いまさら工事のやりなおしとかできんので、黙っ
      て指定場所を検査。合格。今は知らないけどね。似たような自体になる
      のではと思うけど:P
      親コメント
  • やってることはDDos攻撃とえらく変わらない気がするのですが。
    意味のない無作為アクセス集中攻撃も国の機関なら許されるとでも
    思ってるのでしょうか。
    • by SANITY (27416) on 2005年06月16日 10時12分 (#752429) 日記
      抜き打ちで…
      場所によっては結構大変なことになると思うのですがね。
      テストするという点では意味があるのでしょうが
      運営側や利用する側にとってはえらいメイワクですね。

      /* 避難訓練なら事前に知らせない方が現実味はあるかな? */
      親コメント
  • >各社の参加を募り、数週間程度の演習期間内に抜き打ちで、各社のシステムへ侵入したり、アクセスを集中させたりする。
    中継するすべてのプロバイダの許可も必要ではないでしょうか。トラフィックが増加するわけですし。

    >攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かないという。
    侵入というプロセスと分け隔てなく個人情報流出がされるような場合もありそう。
    企業に故意にしくまれて賠償金請求されたりしないように。
  • 侵入されたということより
    事後の対応だったと思うのですが。
  • by akiraani (24305) on 2005年06月16日 11時06分 (#752479) 日記
     要するに侵入テスト [e-words.jp]を国費で予算組んでやってくれるってことでしょ?
     それなりの予算もつくようだし、民業圧迫にならない限り別に否定する要素はないような気がするけど、なんでこんな否定的なコメントが多いんだろう……。

     そりゃまあ、管理はきっちりやってもらわないと困るけど、民間のセキュリティ会社に依頼するのと信頼度は変わんないでしょ。
     個人的には、個人情報保護法違反になった場合のペナルティとして義務化してもいいんじゃないかと思いますが。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...