松竹のWebサーバ、不正アクセスで個人情報流出 136
ストーリー by yoosee
本当に原因はそれですか? 部門より
本当に原因はそれですか? 部門より
freaks曰く、"IT Proの記事より。松竹が同社のWebサーバが外部からの不正アクセスで、アンケートの回答などに含まれる住所氏名など、4064件の個人情報が流出した可能性があると発表した (松竹のプレスリリース[pdf]) 。同Webサイトにはフィッシング詐欺のための偽ページも置かれていたようだ。 記事によると松竹は不正アクセスの原因として
- ファイアウォールを設置していなかった
- Apacheバージョンが2.0.40-21と古くソフトウエアに脆弱性が残っていた
- サーバログの監視が不十分だった
先のPDFファイルを見る限りでは Apacheのバージョンは記載されていないので IT Proの記事のソースは不明だが、実際にApache 2.0.40を使用していたとすれば、リリースの 2002年8月以来 3年以上更新せずに運用していた事になる (-21 が付いているので patch は途中まで当たっているのかもしれない)。一方 NETCRAFTのサイトレポートで検索すると、同サーバはApache 1.3.31で運用している事になっているが、 これも2004年5月のリリースなのでどちらも古い事に変わりがない。
今回の情報漏洩の原因はApacheのバージョンが古いだけでは無いが、皆さんの管理しているWebサーバは大丈夫だろうか。"
素人管理者にはWindowsの方が有利 (スコア:5, すばらしい洞察)
放置されたままのLinuxサーバやApacheってかなり多いと思います。
セキュリティー上問題があると当事者が認識していても、アップデートするためのハードルが高いため、放置プレイされているケースがかなりあるかと…。
そもそも、セキュリティーホールが存在するというアラートが届かないこともありますしね。
先日のphpの穴とかも、能動的にソレ系のニュースを見て回らないと気づきませんし。
Re:素人管理者にはWindowsの方が有利 (スコア:3, すばらしい洞察)
それが嫌だったり,無理ならば,ベンダに構築させ,サポートを結べば良いだろうと.
Windows だからとか,Linux だからとか,OSS だからといった言い訳はウンザリなのです.
------------------------
いつかきちんと仕上げよう
Re:素人管理者にはWindowsの方が有利 (スコア:5, 参考になる)
ただ、今回の場合は、タレコミにもlinkのあるpress releaseで
>> 、松竹株式会社が株式会社日立国際ビジネスに運用業務を委託し開設しているウェブサイト
と書いてあるんで、松竹はそれなりにoutsourceしていたんじゃ無いですかね。
まぁ、内部の人間じゃ無いんで、実際には、松竹は日立の提案を全部却下していたとか、何か悲しい背景があるのかもしれませんが。
Re:素人管理者にはWindowsの方が有利 (スコア:1)
恥を晒しつつ自戒を込めてID
+深夜残業プラス1+
Re:素人管理者にはWindowsの方が有利 (スコア:3, すばらしい洞察)
Windowsの啓蒙活動の勝利 (スコア:3, おもしろおかしい)
UNIX系OS においても主要なものはアップデートの手段は用意されており、
それに任せておけば Windows と同程度には安心といって良いように思います。
しかし決定的に異なるのは、
・MS-Windows といえどセキュリティーホールが次々に発見され続けているということ
・セキュリティーホールを修正するパッチを Microsoft Update で適用できるということ
・セキュリティーホールを突かれる危険性は単なる可能性ではなく現実のものであり、
金銭的な被害も次々に発生しているということ
これらが広く周知徹底されているということです。
先日も Windows のパッチがリリースされたことを一般のテレビや新聞が報道していましたが、
果たして UNIX系OS において、同様の情報が同じくらい容易に入手できる状態にあるでしょうか。
Windows の場合、自宅でテレビをつけながらただ朝食をとるだけで、
自らは何もしなくても情報を入手できたのです。
Microsoft といえど、何もせずにこの体制を手に入れたわけではありません。
爆発的に拡散するワームの可能性と危険性を実証してみせ、
その後も様々な環境を提供することで多種多様な実証ソフトの開発を促し、
適切な管理の必要性をユーザーに意識させ続けるという、
一歩間違えれば自社の信用を失いかねない勝負に挑み、そして見事に勝ち取った成果なのです。
ここ/.では Microsoft のやり方について、何から何まで批判的な見方しかできない人も多いのですが、
結果として先のように、社会システム全体の協力をとりつけることに成功したという点については、
一定の評価を与えるべきではないでしょうか。
Re:Windowsの啓蒙活動の勝利 (スコア:2, すばらしい洞察)
現体制を勝ち取ったというのは皮肉以外の何でもありませんが、
うちの両親ですらテレビを見てパッチ適用を確認しようとする様に、
ここまできたかと感心したのもまた事実です。
元 UNIX「ユーザー」の父は別に linux マシンも持っていますが、
こちらはアップデートのアの字も意識していない様子。
Windows に本質的な危険があっても、それをユーザーに意識してもらえている現状は、
一連の事件から Microsoft が得た、数少ない財産のひとつなのだと思います。
しかしその一方で、Windows であろうとパッチ未適用のマシンがいつまでも放置されていることもまた事実。
これに対し Microsoft は「パッチの自動適用をデフォルト」とする姿勢に出ています。
今はまだ、自動アップデート設定のボタンをしつこく表示しつづけているだけですが、
おそらく次の vista ではデフォルトで全自動アップデートが有効になるだろうと予想しています。
そうなったとき比較の対象は、穴があっても塞げるだけ塞いである Windows と、
塞ぐ蓋があっても穴は開いたままの、その他の OS ということにならないでしょうか。
蓋を被せないユーザーが悪いというのは簡単ですが、
一方で Microsoft への悪口は、パッチさえ出せば止んでいるでしょうか。
OSS 側でも firefox など全自動アップデートの機能を持つソフトは既に存在しています。
今後、広く一般ユーザーへの浸透をもし願うのなら、
OS そのもののレベルでこれらの機能をサポートすることを考えるべき時代が、
それをデフォルトとするべき時代が、すぐそこまで来ているように感じます。
勝手にアップデートされることが迷惑なユーザーは、それを意図的に解除すれば良いのです。
それすらできないようなユーザーは、自動アップデートを切るべきではないのです。
そういい切れるような体制を、今から準備しておく必要もあるのではないか、
ということをたまに妄想しているのですが、皆さんはどのように考えますか?
カカクコムその他の不正侵入は都合良く忘れたのか (スコア:1)
素晴らしい「Windowsの啓蒙活動の勝利」ですな。
> Windows の場合、自宅でテレビをつけながらただ朝食をとるだけで、
> 自らは何もしなくても情報を入手できたのです。
私も MS Blaster の時は、TV 報道で情報を入手しましたけどね。ところで先月のWMFの脆弱性の時はどうでしたか?
> ここ/.では Microsoft のやり方について、何から何まで批判的な見方しかできない人も多いのですが、
まあ、ここ /. では、PC-UNIX 程度は使えるレベルの投稿者が多いから、Windows と比較した上で冷静かつ客観的な優劣の比較をした上での意見が多い。Windows しか使えないレベルの投稿者が大半な他の多くの掲示板とは違う。それでも、ロシア人ソフトウェア開発者一人に出し抜かれている [cnet.com]という現実に目を覆いたくなるとしても、前よりマシになっている事は認めますがね。
Re:素人管理者にはWindowsの方が有利 (スコア:1)
この発想が一番危ない。
0-dayはどうするの?ソフトウェアの対策は?
それなら管理をまるごと外部委託し、責任転嫁し・・・(略
>そもそも、セキュリティーホールが存在するというアラートが届かないこともありますしね。 >先日のphpの穴とかも、能動的にソレ系のニュースを見て回らないと気づきませんし。
・・・この状態を放置されたままって言うのではないでしょか?
サーバーもペットもいっしょ。
お腹が空いたかとか病気かとか、飼主が注意してみてなきゃわかりませんって。
愛情もって育てましょ。
先の人も言われてますが、OSうんぬんの話ではないと思われます。
# って釣られたの?(笑)
ファイアウォール (スコア:4, すばらしい洞察)
Apacheの穴を突かれたとして、ファイアウォールって公開サーバ上のドキュメント持っていかれるのを防ぐのに効果的なの?
Webサーバの80番ポートってanyだと思うけど。
Re:ファイアウォール (スコア:2, 参考になる)
今回の攻撃を防げるかは微妙ですが、まあ気休め程度にはなるかと。
Re:ファイアウォール (スコア:1, 興味深い)
ポートスキャンされたのをファイアウォールが検知
↓
サーバがのっとられる前にshun
とか、いろいろ手立てはあるよね。
心配ならIDS/IPSも入れたほうが良いですね。
Re:ファイアウォール (スコア:3, 参考になる)
webサイトに対する攻撃として、いまどきport scanからはじめるのはscript kiddyでもツールを手に入れることが出来て喜んでいる超初心者くらいでしょう。
少なくとも80/tcpが(もしかしたら443/tcpも)開いていることはわかっているわけですから、とりあえずは普通にアクセスしてみてバナー情報を手に入れてみるでしょう、普通は。
#今回の話ではそれだけでいくらでもHTTP経由で可能な攻撃手法が見つかるわけだし。
> 心配ならIDS/IPSも入れたほうが良いですね。
なので今回の話では、相手がちょっと気の利いた攻撃者であればfirewallやIDSがあっても、情報漏洩は防げません。
#IPSであれば漏洩寸前で遮断できたかも。
##いずれも無いよりは遥かにましなのは事実ですが。
あとIPSだけではweb applicationの脆弱性を突く攻撃を守りきれない可能性もあるので、できればWeb Application Firewall(WAF)を入れておいた方が良いのではないかと思います。
#本当はその前にまともなweb applicationを開発できる人材(もしくはアウトソース先)を見つけてくるべきなのですが。
せめて定期的に侵入検査を実施していれば、こんな事態は避けられたかもしれません。
最大の敗因はこれらの一連のプロセスを管理する人間がいなかったことなのでしょうけどね。
Re:ファイアウォール (スコア:3, すばらしい洞察)
Re:ファイアウォール (スコア:2, 興味深い)
ポートスキャン程度でshutしちゃうと, shutの頻度や対象アドレスが増えすぎて一種のDoS攻撃をくらったような状態になりませんかね? 文字通りのアレルギ反応みたいに.
Red Hat 9 ? (スコア:3, 参考になる)
Red Hat 9 からリリースされた公式な Aapche のバージョンは 2004年4月30日の 2.0.40-21.11 です。
その後みつかった脆弱性に関してはパッチが当たっていないことになります。サポート期間が終了しても使い続けているところは多そうです。
Fedora Legacy [fedoralegacy.org] からコミュニティベースのアップデートパッケージが出ていますが、おそらく当てているところは少ないと思います。
ある意味進歩じゃないかな (スコア:2, すばらしい洞察)
「ログ見てませんでした」と発表されるのは珍しくないかな、と。
この発表を見て「ログって監視すべきものだったのか」と、
驚いている経営者(and 名前だけのIT担当役員)も多いのでは?
Re:ある意味進歩じゃないかな (スコア:2, 興味深い)
ログの記録内容にターミナルソフトに対する攻撃コードが
仕掛けられていて、表示したとたんに…というパターンが
昔あったかも。
Re:ある意味進歩じゃないかな (スコア:2, 参考になる)
"カッコーはコンピュータに卵を産む"か何かに、log改竄で検知出来なかったcrackingを、RS232C cableの間にプリンタを挟んで、発見したという話がありませんでしたっけ?
Re:ある意味進歩じゃないかな (スコア:2, おもしろおかしい)
Re:ある意味進歩じゃないかな (スコア:2, おもしろおかしい)
>トイレにも行けません。
ラインプリンタで常時打ち出しておけばいいじゃないですか。
印刷されたログを蛍光ペンでチェックできるので便利ですよ。
すばらしい。プレスリリースが画像じゃない。 (スコア:2, おもしろおかしい)
どれなんだ? (スコア:2, 興味深い)
PHPのセキュリティホールをつつかれた
PHPによるWebアプリのセキュリティホールをつつかれた
Apacheが動作しているOSのセキュリティホールをつつかれた
どれなんだ?それがはっきりしていないんだよね、この報告。Apacheのセキュリティホールだったら、もうちょっと似たような事件が多発しても良かったと思うのだが。
-- gonta --
"May Macintosh be with you"
管理してなかったということでは? (スコア:1, 興味深い)
apacheがこれでは、他のコンポーネントもアップデート
してない可能性が高いですな。
いまどきファイアウォールなし? (スコア:1, すばらしい洞察)
ハードウェアとしてのファイアウォールなし、という意味だと信じたいが、ソフトウェアも含めなしだと…。
3年前の設置だとしても、さすがに危機意識がなさすぎないか?
WHOISしてみると自社運用のようだが、誰かコンサルしてあげたらどうだろ。
初心者はファイアーウォール必須 (スコア:3, 興味深い)
とか言うエンジニアって「初心者です」と言ってるようなもの。
最近は大手企業でなくてもギガビットクラスの
設計が必要な案件もたまにありますが、
そういう場合どうするのでしょうか?
まさか、NetScreenの最上位機種をいれて見積もりを出すのでしょうか?
しかも無知な業者の提案を鵜呑みにして、導入しても
サイトも実用に耐えられないものになるのがオチです。
Re:初心者はファイアーウォール必須 (スコア:3, 興味深い)
トラフィックの大部分は得てして静的コンテンツであり、それらは、ファイアウォール専用装置の外、ワイヤレートの L4 フィルタリングが出来る L3 スイッチ配下に置く(可能であればコンテンツ部をROM化する)、ファイアウォール装置の配下には アプリケーションサーバなどの動的コンテンツ生成部だけを置くというデザインは、割と普通のはずですが。
ギガビットクラスのトラフィックの全てがファイアウォール装置配下に置かれなければいけないほどのものであれば、僕なら"最上位機種"を入れて見積もりますね・・・。
ファイアウォール無しなんて信じられない派なので ID.
あ、でも、アクセスサーバが持つプールアドレスに対してはファイアウォールは一切無しですね。
エンドユーザには勝手にパケットがフィルタされない、本物の Internet を AS-IS で提供したいです。
# サービスプロバイダの中の人の独り言
# 最近、この意見の人は減少傾向なのよね・・・。
Re:初心者はファイアーウォール必須 (スコア:2, 興味深い)
> # 最近、この意見の人は減少傾向なのよね・・・。
における「この」は
> あ、でも、アクセスサーバが持つプールアドレスに対してはファイアウォールは一切無しですね。
> エンドユーザには勝手にパケットがフィルタされない、本物の Internet を AS-IS で提供したいです
にあたりますか?
そうだとすれば、私自身も同感です。そういうサービスプロバイダを使いたいと思います…が、
世間一般からは受け入れられ難いというか、そうでなく、上流でフィルタしてくれるような
サービスを「価値がある」と思う人もいそうですよね。
要は選べればいいんじゃないかな。
Re:初心者はファイアーウォール必須 (スコア:2, 参考になる)
上で指摘頂いていますが、私の書いた「ファイアウォール」は「パケットフィルタや攻撃検知を簡易に行なえる機能」のイメージです。アプライアンスでもいいし、ソフトウェアでもいいです。
仰ることは、「ギガビットクラスの設計が必要な案件ではファイアウォールは入れるべきではない」ということでしょうか?
ソフトウェア処理(例えばルータのソフトウェア処理パケットフィルタ)のものも含めて?
いずれにせよ、インターネット直結ならハードウェアないしソフトウェア的なファイアウォール機能は必須だと思ってます。
各種attackを、ファイアウォール機能なしで防ぐ運用が可能なら確かに不要ですが、それってかなり厳しいんではないかと。
んで、少しでも脆弱性を守る可能性のある手が現実的にあるのなら、実施すべきではないかと。
かように思う次第であります。
Re:初心者はファイアーウォール必須 (スコア:3, 興味深い)
>「パケットフィルタや攻撃検知を簡易に行なえる機能」の
>イメージです。アプライアンスでもいいし、ソフトウェアでも
>いいです。
全てのサーバ環境に入れてるのが普通といえるくらい安価で容易に使えて、
さらに脆弱性を突く不正アクセスを未然に防げるような便利な
ソリューションって存在するんですか?
少なくとも私は聞いたことありませんね。
Webサーバなんてのは外部からアクセスされるためのものが多いので、
ファイアーウォールでもポートはスルーされていると思います。
ファイアーウォールで効果があるのは、80番ポートに対するSynflood攻撃などを
検知するようなアノマリ型くらいでしょう。
正常アクセスの範囲で行われる攻撃に対してはパターンのシグネチャを
使った検知をしなくてはいけませんが、メンテナンスが大変ですし、
パフォーマンスが問題となるWebサーバにそんなのを導入すると
ボトルネックになって逆効果です。
結果的にDoS攻撃喰らってるのと同じこと。
それよりは脆弱性をきちんと修正しておくというのが現実的な解でしょう。
ファイアーウォールやIDSに頼って脆弱性を放置するなど、愚の骨頂です。
ファイアーウォールの内部にはサーバを置くDMZゾーンとTRUSTゾーンを
別々に分け、TRUSTゾーンへの外部からのアクセスは厳しくしましょう。
逆にDMZゾーンは、インターネットに直結してるつもりでサーバを
置いて管理しましょう。
Re:初心者はファイアーウォール必須 (スコア:2, 参考になる)
>検知するようなアノマリ型くらいでしょう。
攻撃を検知するのはIDSもしくはIPSであって、
ファイアーウォールではありませんよ。
それにシグネチャ型でも製品によってはSynflood攻撃を検知可能なものもあります。
アノマリ型IDS(IPS)は・・・。
チューニングが難しいので私は運用したくはありませんね。
Re:初心者はファイアーウォール必須 (スコア:2, 参考になる)
"ファイアウォール"という単語が一人歩きしてしまっていて ファイアウォール = ○○ とは言い切れないのが現状ではないでしょうか。
私の中ではファイアウォール装置は、 L4 以上のフィルタリング機能を持ち、IDS 機能を有し(重要度によってはIPS機能も)、セキュアな VPN を構築することが出来る機能を持つことが最低の要求事項としていますが。
提案要求書に "ファイアウォールを用意すること" みたいな抽象的なことは書かないですねえ。
Re:いまどきファイアウォールなし? (スコア:2, すばらしい洞察)
必ずしも危険な状態に置かれているとはいえません。
サーバ自体の公開ポートを絞り、的確な設定を行い、
最新のセキュリティフィックスを行っていれば、
ある程度の攻撃は防げます。
今回の件の本質は、上記のような対応を怠っていた
管理体制にあるのではないでしょうか。
Re:いまどきファイアウォールなし? (スコア:2)
開いてないポートにはどうせアクセスできない、バインドしてないIPには反応しない、入られた後にアプリケーション入れられてポート開けられたら、ファイアーウォール以前の問題。
やっぱり、開いてるポートからある意味、塞がなきゃ全然話にならないと思います。
Re:いまどきファイアウォールなし? (スコア:1)
>サーバ自体の公開ポートを絞り
これが、ファイヤーウォールなんじゃないすかね?
専用ソフトとか専用ハードとかじゃなくて、必要なポート以外開けないってのが、ファイヤーウォールだと思ってたんすけど、ちがうんすかね?
Re:いまどきファイアウォールなし? (スコア:1, 興味深い)
Re:いまどきファイアウォールなし? (スコア:1, 参考になる)
ハードウェアやソフトウェアだと思っている人が多いね
ルータのフィルタだってFWだい。
NETCRAFT (スコア:1, 参考になる)
Re:NETCRAFT (スコア:3, 参考になる)
最新の情報(18-Jan-2006)のNetwork Ownerが「Livedoor Co., Ltd.」になっている…
一週間前(11-Jan-2006)にはGMOだけど…
で、PDFには11日に問い合わせが来てたって書かれてるからその後Livedoorのネットワーク帯に持っていった?
で、その前日(10-Jan-2005)の時点でサーバーは
って吐いてるのはどうなんだろ。1日でバージョンダウンしてる?てかシステムの再インストールでもしたのだろうか。
なんか無理矢理ごまかした感があるなぁ…
丸投げ (スコア:3, 参考になる)
2005年10月からサイト運営先を日立国際ビジネス [hbi.co.jp]に変更したって
自社サイトは Apache/1.3.34 のようです
たぶん丸投げして納品検査しなかったと
おそまつさまでした
Re:NETCRAFT (スコア:3, 興味深い)
Apache2.0.xは2005/10から更新ないし
2005/10
サーバー入れ替えとともにApache/2.0.55 PHP4.4.0導入
2006/1/-5
PHP4.4.0 +mysql connect Exploit [secwatch.org]報告
2006/1/-10攻撃される
2006/1/10
改ざんの指摘により現場でOSを入れ替えてApache バージョンダウン
担当者はそれを勘違いしてApacheのバージョンの問題と報告
というシナリオと想定
Re:NETCRAFT (スコア:1)
ホスティングの会社のようですが、DNSだけ借りてるのでしょうか。
Re:NETCRAFT (スコア:2, 参考になる)
NETCRAFTの検索、間違えてしまいました。
今回の件のWebサーバは"松竹映画館ドットコム"の物ですね。
慌ててタレコむと駄目ですね、申し訳ないです。
/* 転んでも泣きません */
素朴な疑問 (スコア:1, 興味深い)
「その後の話」的なものをまったく見かけないのですが…
捜査していない/捜査しても捕まらない/法的にセーフ/逮捕したけど公表されてないorする価値がない、
などの理由があるのでしょうか?
単に僕が見落としてるだけかな?
Re:素朴な疑問 (スコア:1)
2.逮捕したけど公表されてない
だと思う。
確か去年辺りの判決で、明示的に
「公開側が意図していないものを取得するのはだめ」
みたいなのが無かったでしたっけ。
#最近まではとは、この判決がでる前まではと言う意味
http://www.examples.com/cgi-bin/userdata.txt
に重要なファイルがあったとして、cgiでは内部で
参照・更新をしているが、htmlのリンクからは
userdata.txtに張られていない場合で、userdata.txt
の公開の意思が無ければ違法とか何とか。
結局前例が出来ないと、逮捕の為の法的根拠が
無いので動けなかったが、現在はプロバイダ責任法と
上記事例に基づいて、検挙が可能になったかと
思います。(いや勝手に私がそう思っているだけですが勘違いしていたら突っ込みを・・)
ドキュメント類の引き継ぎは… (スコア:1)
・基本設計書
・機能仕様書
・運用説明書
・テスト仕様書とテスト結果報告書
・移行手順書
まさか、手順書そのものを日立が作っていなかったりして…それだったら、大問題ですよ。
Super Souya
Re:ドキュメント類の引き継ぎは… (スコア:2, おもしろおかしい)
私は手順書の作成手順書が作成されていないことが原因ではないかとにらんでいます B-)
Re:1.3.31が古いって? それがどうした? (スコア:3, すばらしい洞察)
うちではWebサーバが2サイトあるが、
片方は1.3.31のまま、もう片方は1.3.34にしてある。
更新の内容を吟味して脆弱性にひっかかるのでアップデートしたというだけのこと。
何でもかんでもアップデートすればよいわけではない。
Apache1.3.xはもうほぼ枯れてるし、古い新しいではなく修正内容を検討ぐらいしよう。
使っていないモジュールに脆弱性が見つかったところでアップデートは不要。
# もっとも、自宅の趣味サーバなら何も考えずにアップデートしても良いとは思うが。
Re:1.3.31が古いって? それがどうした? (スコア:2, 参考になる)
>1.3.31 は安全ですよ。
「Apache 1.3.31 脆弱性」でぐぐるだけで、
すぐに「Apacheに新たな脆弱性、各社がパッチリリース」 [itmedia.co.jp]とか、
「Apache、深刻な脆弱性修正のアップデートリリース」 [itmedia.co.jp]とかの
記事が見つかります。前者は、プロキシーサーバーとして使用されている
場合に限られるようなので、今回の条件ではあまり関係がないかも
知れませんが、とにかく1.3.31が安全だなんてのは大嘘ですよね。
素人がテキトーなことぬかしちゃいかんというのには激しく同意ですが、
この場合素人はあなたということで。
ケツ毛ガンダムの取引 (スコア:1, 参考になる)
。。。安全ではないです