「官製クラッカー」による抜き打ち侵入演習計画 213
ストーリー by yoosee
突っ込みどころ満載に見えますが... 部門より
突っ込みどころ満載に見えますが... 部門より
Anonymous Coward曰く、"15日の asahi.com の記事によると,カカクコム侵入事件を重く見た総務省が、抜き打ちで通信企業各社のサーバ等システムへ侵入したりアクセスを集中させるという演習を計画しているそうだ。
朝日新聞の表現によると「本物のハッカーになりすまして、通信企業の心臓部であるサーバーなどの設備を狙う」のだそうで、「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」のだそうだ。総務省はこの計画に06年度予算として15億円程度を盛りこむ予定。これによって「社内外への情報提供や業者間の連携」などの「危機管理態勢全般を確認する」というのだが、社外への対応も抜き打ちで試されるのだろうか?"
まずご自慢の (スコア:5, すばらしい洞察)
ヒースキット山口 heath yamaguchi
Re:まずご自慢の (スコア:2, すばらしい洞察)
masashi
Re:まずご自慢の (スコア:1)
「検査前に(結果に必要だから?)接続して……」
ですよ。
# 明らかに毒吐きでしかないけどID
自分で言った事ぐらい自分で守れ (スコア:2)
経済産業省が告示した「ソフトウエア等脆弱性関連情報取扱基準」で、届出の受付機関に指定された IPA から情報セキュリティ早期警戒パートナーシップガイドライン [ipa.go.jp]が出てるけど、その21ページの「付録 発見者が心得ておくべき法的な論点」を見れば、総務省のこの計画は、モロにアウトじゃんか。
「抜き打ち侵入演習だと? これは不正アクセス禁止法違反だ、脆弱性発見の法的な論点に関してもっと心得ろ!」って指導してやれよ、総務省と IPA で。
このタレコミ (スコア:3, 参考になる)
これじゃ、総務省が適当に選んだ企業に無断で検証するみたいじゃないですか。
実際に(#752340)(#752348) のようなコメントもついてるし。参加企業を募ってからだという事は重要ですよ。
Re:このタレコミ (スコア:2, すばらしい洞察)
サーバ管理者は
その数週間は
24時間監視端末とにらめっこですね?
通常業務と同じスタイルでやらなければ
(体制とか力の入れ方とか勤務時間とか)
あまり有効じゃないような気が…
Re:このタレコミ (スコア:1)
あとから「演習でした」と知らされてブチ切れるサーバ管理者が・・・。
Re:このタレコミ (スコア:1)
で、業務に戻った所でバッチの結果を見て、「新しい」スキャニングツールで監視を再開すればいいのではないかと…
リアルタイムでの対応というのはかなり限定されたシチュエーションになると思う
…昔のようにシェルを乗っ取ったクラッカーを封じ込めて追い込むとかそういう真似するなら別ですけど、最近のクラッカーはゾンビ化した第三者のコンピュータからロボットでサーバの脆弱性を突いて乗っ取ろうとしますからね。
Re:このタレコミ (スコア:1, おもしろおかしい)
Re:このタレコミ (スコア:1, おもしろおかしい)
調査するための演習タレコミです。
演習結果 (スコア:1)
#……にならないようにね
抜き打ち検査の手口 (スコア:3, おもしろおかしい)
一応参加企業の登録しなきゃいけないんで、
https://sequrity.soumu.go.jp/.../....php
で管理者ユーザー名とパスワードを登録しておいてください」
Re:抜き打ち検査の手口 (スコア:2, おもしろおかしい)
クラッカー「もしもし、総務省セキュリティー演習プロジェクトの郵政太郎と申しますが、この度は演習に参加いただきましてありがとうございます。」
システム管理者「え、何のことですか?」
ク「あれ、まだ聞いてませんか?
実は、今、セキュリティー演習というものをやっていましてね、趣旨はホームページで確認していただければ…。
で、御社からも参加のご応募を頂いているんですよ。それでですね、その準備段階として~」
って感じで。
Re:抜き打ち検査の手口 (スコア:2, すばらしい洞察)
ライバル「もしもし、総務省セキュリティー演習プロジェクト担当さん?
うちのサイトのアクセス集中テストお願いしたいんですよ。
サイトのアドレスですかぁ?えっと…」
あぁ、「ン」が消えてるんですよ。「ビーフン・カレー」ね。
Re:抜き打ち検査の手口 (スコア:2, すばらしい洞察)
「最大のセキュリティーホールは人間」なわけだから。
ZZX
依頼されても不正アクセス? (スコア:2, 参考になる)
なぜ、やれ特権行使だ! DoS だ!バックドアだ!となるのでしょう。
「業務が止まる危険性があるから、参加しません。」と判断するか、
「第1回、セキュリティ監査 突破!!と宣伝したいから参加とする」かでしょう。
こういうのは 1 民間企業が音頭を取ってやるよりも
国が主体でやる方が良いかと思います。
腰の重い大企業なども箔が付くので、参加するでしょうし、
それに連られて、中小も参加しそうです。
また、システムにも公平なイメージが[なんとなく]あります。
官製のクラッカーの腕前の程は、、、 (スコア:2, おもしろおかしい)
天下りを許さないところには自衛隊特務班を、天下りたっぷりのところにはスク
リプトキディを派遣したりして。
侵入者の立場が明確なのは良い。 (スコア:2, 興味深い)
また、問題発生時の責任分担も判りやすいし、責任の担保能力についても問題は無い。
とりあえず表はね。
後は内容。
実際に試験を請け負う為にはどういう条件があるのか?
変な下請け使えばそれなりに流失被害なんかは起こりえるから、その辺りの保障は?とか。
それでも被害発生時は総務省を訴えれば良いので、マシって言えばマシか。
学生なんかでは振っても鼻血しか出ないだろうし。
実際の試験内容は・・・これはあんまり出さない方が良いのか。
これもどうせ業者の信用でしかないし。
あとは実績を積んでって事かな。
#後は当然、現状の「お役所」に対する信用問題と同等の懸案もあるが、未だどうこう言うレベルでは無かろうかと。
Re:演習の最中は明確でないと思います (スコア:2, 参考になる)
勝手に試験する人間が往々にして情報流出をさせるってのは明らかな現実。
そういう状況で単なる「自称セキュリティ試験者」と「総務省ご用達セキュリティ試験者」のどちらが試験と言う行動に置いて安全側の行動を取るか、なんてのはちょっと考えれば判ります。
実質、免許制&総務省による保険付きだと思えば良いんで。
業者としても継続的に稼ぐにはヤバイ事は出来ない。
それ自体がそれなりの安全装置として働く。
また、トラブル時の担保能力は国が絡む事により圧倒的にある。
故に業者が予期しないミスでシステムの破壊を起こしてしまったとしても、十分な保障を受ける事が出来る可能性は高い。
そもそも金の無い「自称セキュリティ試験者」なんて、そういう時の担保能力は無いんですから。
ナビスコ (スコア:2, おもしろおかしい)
ビスケットではダメですか?
------------
惑星ケイロンまであと何マイル?
これからは・・・ (スコア:1)
迷惑には変わりないような。
Minder
Re:これからは・・・ (スコア:2, 参考になる)
-asahi.comより-
各社の参加を募り、数週間程度の演習期間内に抜き打ちで、各社のシステムへ侵入したり、アクセスを集中させたりする。
ということで、志願したところのみを対象ですので、「抜き打ち」という表現自体ちょっとおかしいですね。
警察だって (スコア:1)
銀行に殴りこんでセキュリティチェックとか、地下鉄で煙幕を噴出させて対応を見るとか。
なんでネットワークだとこういうことを抜き打ちでやってもよいと発想するのでしょうか。
Re:警察だって (スコア:2, すばらしい洞察)
「ネットワークだから、こうゆうコトを抜き打ちでできるよな」
とゆう感覚がありそうな気がします。
Re:警察だって (スコア:2, 参考になる)
参加者を募ってから抜き打ちネットワーク侵入検査。
警察の情報関連部署が、地方自治体中心に盛んに宣伝して回ってる。
といっても、NESSUSを使うぐらいで、手動での検査はあまりしていないみたいだけど。
民間のセキュリティ関連会社がぼやいていたなー。
「地方自治体向けのセキュリティ診断がまったく売れないんですよ」って。
総務省のも民業圧迫にならなければいいけどね。
脊椎反応(´∇`) (スコア:1)
特別講師は office たん。
むらちより/あい/をこめて。
Re:脊椎反応(´∇`) (スコア:1)
#とはいえ官製クラッカーがどのようなことをなさるのかはわかりません。外注するんでないですか、実績のない民間企業に。毒吐きすぎた、すまん。
| 慈愛こそ慈愛
Re:脊椎反応(´∇`) (スコア:3, おもしろおかしい)
それ矯正になってないし。
名物に旨いものなし!
で、 (スコア:1, 興味深い)
あるいは、演習中に運良くroot権限が手に入って、かつ、演習中に手がすべって
/bin/rm -rf /
しちゃった場合とか。
警報 (スコア:2, おもしろおかしい)
「これは演習ではない! 繰り返す。これは演習ではない!!」
Re:で、 (スコア:1, 興味深い)
ポートを作ったり、suidビット立てたshellを作ったりという手口で侵入
するためのバックドアを作成することもあると思います。
それらを消し忘れたりして偶然クラッカーがそれを発見して簡単にroot
取られたりという事故はあるかもね。
国が責任を取るんだろうけど。
Re:で、 (スコア:1)
#あ!その穴を発見するための演習か!
昔読んだ小説で (スコア:1)
#もしかしたら漫画かもしれないけどID
Re:昔読んだ小説で (スコア:2)
ありがちな結末 (スコア:1)
現場の判断で業務が停止しちゃって損害がウン億円出たり
上に連絡しようとしても休日とか夜とかで連絡取れなかったり
この企画に便乗した偽官製ハカーがでてきてソーシャルハックされたり、などという結末を思い浮かべてしまいました。
とりあえずYahoo!BBあたりはデフォルトで実施対象に入ってるんでしょうね?(Y/y)
企業体質が浮き彫りに (スコア:2, 参考になる)
責任を下のものになすりつけ、怒鳴り散らす中間管理職とか、すべてを
隠蔽しようと画策する奴とか、上層部に嘘の報告をする奴とか出てきて
体質が浮き彫りになるってこともあったり。
#建設業界で昔よく聞いた話だが、官の検査があるときは「この部分を
検査してください」と施工した会社が指定する。官もひごろたくさん接
待してもらってるし、いまさら工事のやりなおしとかできんので、黙っ
て指定場所を検査。合格。今は知らないけどね。似たような自体になる
のではと思うけど:P
"アクセスを集中させて"って (スコア:1)
意味のない無作為アクセス集中攻撃も国の機関なら許されるとでも
思ってるのでしょうか。
しかも (スコア:1)
場所によっては結構大変なことになると思うのですがね。
テストするという点では意味があるのでしょうが
運営側や利用する側にとってはえらいメイワクですね。
/* 避難訓練なら事前に知らせない方が現実味はあるかな? */
Re:"アクセスを集中させて"って (スコア:1)
# 理想を言えば、ゾンビを複数の国に置いて(一番予想される韓国と
# 中国にも協力してもらって)集中攻撃することですかね。
中継ルータの負荷と、侵入までについて。 (スコア:1)
中継するすべてのプロバイダの許可も必要ではないでしょうか。トラフィックが増加するわけですし。
>攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かないという。
侵入というプロセスと分け隔てなく個人情報流出がされるような場合もありそう。
企業に故意にしくまれて賠償金請求されたりしないように。
カカクコム侵入事件の問題は (スコア:1)
事後の対応だったと思うのですが。
国費で侵入テスト (スコア:1)
それなりの予算もつくようだし、民業圧迫にならない限り別に否定する要素はないような気がするけど、なんでこんな否定的なコメントが多いんだろう……。
そりゃまあ、管理はきっちりやってもらわないと困るけど、民間のセキュリティ会社に依頼するのと信頼度は変わんないでしょ。
個人的には、個人情報保護法違反になった場合のペナルティとして義務化してもいいんじゃないかと思いますが。
Re:特権? (スコア:1)
それはもはや「正当アクセス」では? :-D
Re:特権? (スコア:1)
# 企業が簡単に同意してくれたらサイバーノーガード戦法
# なんて出てこないような(;´Д`)
Re:演習でも (スコア:2, おもしろおかしい)
Re:演習は (スコア:1)
場外に弾を着弾させないで下さい。
Re:演習は (スコア:1)
別にいいんでないの?
--
「なんとかインチキできんのか?」
Re:リアル業務での抜き打ち検査と違って (スコア:1)
抜き打ちで、世の女性たちの危機意識を高めるためのレイプ演習をおこなったり(^。^)/
演習だからね。
そして、やられたほうが悪者になる罠。
この流れだと。
cat_kei@
そうそう (スコア:1)
あなたのところは参加したいといったんだから、
ちゃんとしてて当然でしょ?やられるほうが悪いんだ
こうなっちゃうんだろうなぁ。
まぁ、申し込みするくらいなら、しっかりしてて当然では
あるけれど、ちょっと御幣があるかな…?
Re:個人なら賛成? (スコア:2, 参考になる)
私は文句ない部類ですよ。
むしろ、セキュリティ監査会社の認定機関(定期的に監査を実施/公開されている問題を発見できなかったところは認定取り消し等)も作ってほしい勢いです
そして実試験は、各社監査会社がやると..
で監査会社から認定マーク位は発行できるようにすれば、少しは放置サーバーが減るんじゃないかなと思ったりします
無論有効期限は「定期的(一月単位程度)に実施される試験にパスし続けている間のみ」と言う事にして
まぁ天下り先が増加しそうですが、メンテされていないサーバーが放置されるよりはましです
メリットが無いと動かないのが企業って物ですから、宣伝効果があるのならちゃんと試験してくれるんじゃないかなと