BBCがTV番組内の実験でボットネットを使用、議論を呼ぶ 48
ストーリー by hylom
判断は難しいところ、 部門より
判断は難しいところ、 部門より
英国BBCが、コンピュータ犯罪の脅威を伝えるTV番組の中でボットネットを使用したデモンストレーションを行い、議論を呼んでいる(本家/.、The Register、読売新聞の記事)。
この番組「BBC Click」では、2万2,000台のゾンビPCを支配下に置くボットネットをアンダーグラウンドなサイトで入手。実際にそれを使用して、特定サイトへのDDoS攻撃や数千通のスパム・メール送信実験を行い、放映した(番組サイトの内容紹介/動画)。DDoSの攻撃対象サイトやスパム・メールの送信先アドレスは番組側で用意したものだったが、ゾンビPCの所有者に対しては無断で実験が行われた。また実験後、同番組はゾンビPCの壁紙を変更し、ボット感染を通知するメッセージを掲示している。
こうした行為に対し、英国の法律(Computer Misuse Act)に抵触しているのではとの指摘がなされている。番組側は「PC内の個人情報にはアクセスしておらず、犯罪意思はなかった(ので違法ではない)」と主張しているが、例えばOUT-LAW.COMでは「同法(第1条)は他人のコンピュータ上にあるプログラムやデータへの無断アクセスを禁止しており、ボットネットを利用して(他人のPCから)Eメールを送信する行為はこれに抵触するように思える。犯罪意思があるかどうかは問題ではない」と指摘している。また、たとえ同法に抵触しなかったとしても、モラル面での問題があるとの指摘もある。
「善意のクラッキングは許されるべきかどうか」というのは古くから議論されてきた命題だが、今回はBBCという国営報道機関がそれをやってしまった。番組としてはよく出来ていると思うので、とても惜しいと思う。皆さんのご感想はいかがですか?
突撃!お宅で晩御飯 (スコア:2, おもしろおかしい)
ある日自宅に帰ると壁紙が変えられこんな書置きが・・・
Re: (スコア:0)
とりあえず次からは鍵をかけて外出しよう、という気にはなりますね。
#それとも「しまった!居れば師匠に会えたのに!」かな
Click は潰さないで (スコア:2, 興味深い)
Creative Commons で配布されてる The Computer Chronicles は素晴らしいけど、現在
進行形で2009年になっても、テレビでコッチ系の番組にしっかり予算が付いて公共放送で
流れてるって素敵だよね。放送開始の2004年からのすべての番組が全部オンラインで無償で
非英国民に対しても開放(!) [bbc.co.uk]されてるしね。10年後20年後に見返せば、
涙でスクリーンが見えなくなりそう。ありがとう BBC。
今回も、議論になることをおそらく計算に入れた上で、強引に番組を作って「ふん、何か文句
あるかしら? HAVE YOUR SAY!」的なツンツンな態度を取ってくる恐ろしさが BBC。
法律とかモラルとは置いといて (スコア:1)
>同番組はゾンビPCの壁紙を変更し、ボット感染を通知するメッセージを掲示している。
信用できる公共機関がやってくれるなら定期的にやってほしいかも。
自分のPCがゾンビなら不幸中の幸いかも?
Re:法律とかモラルとは置いといて (スコア:2, すばらしい洞察)
>同番組はゾンビPCの壁紙を変更し、ボット感染を通知するメッセージを掲示している。
信用できる公共機関がやってくれるなら定期的にやってほしいかも。
自分のPCがゾンビなら不幸中の幸いかも?
「警告:
国営監視機関として報告いたします。
あなたのPCは、ボットネットに組み込まれています。
放置されますと、重大な犯罪に利用されたり
保有者が罪に問われる場合があります。
速やかに下記サイトより、対策プログラムを入手して下さい。
http://erasebot.example.org/ [example.org]
また、本監視に掛かった対策費用として
プログラムの入手サイトより、クレジットカードにてお払い頂くか
次の口座に、速やかにお支払い下さい。
」
# 定期的に壁紙を変えたり戻したりで、まるもうけ
商売道具棄損 (スコア:2)
これもモラルとかは措いといて、 ボットネットを金で時間借りしたのに そのボットネットの機能が削れるようなことをしたら、 貸主から恨まれたり報復されたり 賠償請求(もちろん法の下のでなく)されたりしませんかね?
無駄無駄 (スコア:0)
ボットネットを提供したアンダーグラウンドの犯罪者は放置で宜しいか?
定期的に仕入れるようになったら逃げられるか、捨てても惜しくないダミーのボットネットを渡されるだけでしょう。
死者蘇生 (スコア:1)
ゾンビPCを蘇生させていたら非難を受けなかったのだろうか。
#操作できるなら蘇生してやれよ。ほんとに。
偏っていないと宣言する人なんて信用できん
善意? (スコア:1)
「実験の為に」無関係なPCをクラッキングするのは「善意」なのでしょうか。
壁紙を変えることでセキュリティの甘さを警告することができたとしても、本来の目的は別のところにあったわけで。
確信犯としては (スコア:0)
話題になった時点で勝ちだよね
Re: (スコア:0)
クラッカーからセキュリティアナリストへの転職コース。
コレが個人なら合法でも違法でも次の職にありつけるんだけど、法人だとダメかもね・・・。
Re: (スコア:0)
『ACCS不正アクセス禁止法違反事件』だと、カンファレンスで数十人~相手に手口を公開しただけで、有罪判決をくらっているのですが。テレビ放映ならその程度じゃないですよね。
しかも、ボットツールを使ってるんだから、URLを手打ちしたのと比べてもかなり悪どい。
Re:確信犯としては (スコア:1, 参考になる)
ACCSの件は、民事と刑事は分けて考えようよ。
不正アクセスは刑事事件で、カンファレンスで手口を公開した事は問題にしてない。
カンファレンスの方は民事事件で、手口の公開だけでなく、セキュリティの不備を指摘しておきならが、自らもセキュリティ関連のミスから、個人情報を2次流出させるマヌケな行為もしている。
Re: (スコア:0)
河合一穂乙。
Re: (スコア:0)
ACCSの事件は、個人情報ばらしたから有罪になったんだと思ってたよ。。。
不正アクセスだったのか。
http://www.itmedia.co.jp/news/articles/0503/25/news022.html [itmedia.co.jp]
確かに抵触してるといえそう(違う国だけけど)
Re: (スコア:0)
おいおい嘘を撒くなよ。手口を公開したからじゃなくて、実際に不正アクセス行為を実行したからだぞ。
ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:0)
Linux使ってれば、ウィルスにかからないと豪語っていう人たちがいるんですが、実際どうなんでしょうかね?
ウィルス対策ソフトも必要ないって言われるんですよね。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:5, おもしろおかしい)
行間を読むんだ。
Linux(を手足のように使いこなせるGeek)ならば、(市販のウィルス対策ソフトなどに頼らなくても有効な対策を打てるので)ウィルスに感染しない。(君たちのようにカーネルハックすら出来ないタコじゃないから、)ウィルス対策ソフトも必要ない。
もしかしたら「Linuxならばウィルスに感染しない」という流言の元凶は、ハッカーの対人コミュニケーション能力にあるのかもしれない。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1)
> Linux使ってれば、ウィルスにかからないと豪語っていう人たちがいるんですが、実際どうなんでしょうかね?
ウィルスではなかったと思いますが、Linux で踏み台にされていていたケースをいくつか知っています。
脆弱性をついて踏み台にされたような感じなのもいました。ですので、ウィルスに感染しないと言い切る根拠はないと思います。
> ウィルス対策ソフトも必要ないって言われるんですよね。
必要があるかないかと言われたら、必要あると思います。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1)
ウィルス製作がbotネットワークを構築する商売となったという背景を考慮すると、コマンド遠隔操作可能なbotネットワークを構築するのに、Windowsはウィルス、Linuxは遠隔から乗っ取りスクリプトを使う方が容易だからというだけではないでしょうか。
Windowsは、標準ではコマンドによる遠隔操作を仕組みを備えていない(Windows Serverの新しいのだと備えていたか???)ので、コマンド遠隔操作の仕組みを備えたウィルスを送り込むしか手段がありません。
Linuxは、サーバとして多く用いられており、通常はCUIによる遠隔から操作できる仕組みがあるはずで、それを解放させてスクリプトを実行するのが容易です。
そもそもLinux自体に発生したウィルスはラーメンウイルスぐらい(要詳しい方の指摘)なので、ウィルススキャンはサーバとし利用時に保管中のファイルにWindowsのウィルスが存在しないか検知させるのが主な用途になるのではないでしょうか。
Re: (スコア:0)
> 必要があるかないかと言われたら、必要あると思います。
いや、やるべき順序が違うんですよね。
Windows: 窓や入口は開けっぱなし。監視装置で境界線や室内を監視。
UNIX: いらない窓や入口は埋めてしまう。残した入口には鍵をかける。
UNIXでも、やりたい人はワイヤートラップを仕掛けてもいいんですが、デフォルトじゃないです。
意味不明なたとえだとこうなります。
Windows: 風が強い日、スカートはミニのまま、短パンやスパッツ着用。
UNIX: ロングスカートやズボンにする。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1, 興味深い)
> UNIX: いらない窓や入口は埋めてしまう。残した入口には鍵をかける。
典型的な、Windowsの使い方がわかっていないUNIX屋のセリフですね。
昔のUNIXは、インストールするとデフォルトでtelnetdが動いていて、
ファイアウォールも全て素通しする状態で、
管理者が不要なデーモンを止め、ファイアウォールを適切に設定してた。
Windowsで、デフォルトで走っているサービスで不要なものは止め、
ファイアウォールを適切に設定する・・・これ、UNIXと同じでしょ。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1)
UNIXの場合、使用するポートは当初から周知されていましたが、WINDOWSの場合は周知されていませんでした。
2002年頃、W2Kの使用ポート一覧を捜したけど見つけられませんでした。(現在はMSのダウンロードセンタに一覧のexcel表があるけど)
まして、サービス毎の使用ポート一覧なぞ…
( W2Kのリソースキットがにサービス毎の使用ポート一覧が載っていない時点でダメでしょ。)
# 特定アプリを動かすだけだったので、W2K機を別セグメントに置きルータで絞りました。
# この処置のおかげで翌年のスラマー騒動の被害を免れましたので、ある意味、助かったと言えるかも。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
サービスが使用するポートがわからない
なんて話にはならないと思いますが。
netstatしてポートをlistenしているプロセスを列挙して、それをサービスのプロセスの列挙と突き合わせれば、簡単にわかりますよ。
ちなみに、Windowsの多くのサービスは、RPCの上に成りたっていますので、サービスの使用するポートという時点でナンセンスなのです。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1)
それは「正式に文書化されたドキュメントが無いなら自分で調べろ」って事ですか?
そんなあやふやな作業ではトラブルが発生した際に責任とれませんよ。
(MSの正式文書に漏れがあった結果、トラブルが発生した場合ならば免責される可能性が大きいですが、
ウチらが勝手に調べた結果に漏れがあった場合は免責されないでしょう。そんな危ない橋は渡れません。)
>サービスの使用するポートという時点でナンセンスなのです。
つまり、元コメ(#1531994)の以下の文章は、ナンセンス あるいは 間違い、という事ですね。
|Windowsで、デフォルトで走っているサービスで不要なものは止め、
|ファイアウォールを適切に設定する・・・これ、UNIXと同じでしょ。
unixと異なり、ポートを閉じることができない訳ですから、
元々の(#1531981 の)「窓や入口は開けっぱなし」という指摘は合っていた訳だ。
# そうなると、内部に侵入検知の仕掛をいれるか、外部に防壁を設置するしかないわけで……
goto #1531981 ;
notice : I ignore an anonymous contribution.
Re: (スコア:0)
はい、unixの管理者としても失格。
ポートは閉じるものではなく、必要なものだけ開けるものです。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1)
それは大昔の話でしょうが… 最近のシステムを立ち上げたことが無いことが丸わかりですな。
# 標準インストールしたsolarisでさえ余計なネットワークサービスが走っている御時世に何を言っているのやら…
# redhat の企業向けプリインストールに到っては論外。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1)
UNIX系OSをクライアント用途に使用する場合、WINDOWS同様、『境界線と室内を監視』する必要があります。
# UNIXクライアント機を標的とする蟲は数が少ないので監視しても効果は薄いでしょうけど。
notice : I ignore an anonymous contribution.
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:1, おもしろおかしい)
そもそもウィルスにひっかかる経路が無いよ。
Linuxはソースコードからコンパイルされるから、ウィルスが入る余地が無い。
セキュリティに問題があって侵入されたとしても、大抵はそのPCが目的ではないので実害は無い。
踏み台にされるだけだから、まぁ普通に個人用途に使う分にはセキュリティは気にしなくていい。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:2, おもしろおかしい)
そもそもウィルスにひっかかる経路が無いよ。
Windowsはソースコードからコンパイルされるから、ウィルスが入る余地が無い。
セキュリティに問題があって侵入されたとしても、大抵はそのPCが目的ではないので実害は無い。
踏み台にされるだけだから、まぁ普通に個人用途に使う分にはセキュリティは気にしなくていい。
……あれ?
Re: (スコア:0)
俺が遊び半分で作ったプログラムでもソースコードからコンパイルされるから、ウィルスが入る余地など無いよね
Re: (スコア:0)
俺が遊び半分で作ったプログラムでもソースコードからコンパイルされるから、ウィルスが入る余地など無いよね
おや?
コンパイラに仕込まれたトロイの話とか
最近じゃ、昔話なんですかね。
って、自分が本でその話を初めて読んだのが
20年前であることに今気づいて愕然とした。
# なんにせよ、まだ気をつける部分はあるというお話です
# 最近でも無かったっけ?
Re:コンパイラに仕込まれた (スコア:0)
インテルコンパイr・・・ウェッホエッホ
# intelでも速くなる公平なAMDコンパイラはまだか
Re: (スコア:0)
こういう自称上級者が誤った知識を広める事自体がウィルスなんじゃないかと
セキュリティ脅威 = ウィルスではなくなってる昨今はウィルスソフト
いれれば安全って状況ではなくなってるのは確かだけどなぁ
Re: (スコア:0, 興味深い)
『Linuxを使っていれば大丈夫』という人たちは、馬鹿にされ必ず対策を取るように説教されます。
『Macを使っていれば大丈夫』とい人たちは、賞賛され対策を取れという奴らは馬鹿だと迎合されます。
当然のことですが、対策は必要です。楽か面倒かという違いは有るけどね。
Re: (スコア:0)
Windows用ウイルスは関係ないものがほとんどですが、セキュリティアップデートが日々出ているのでその対策は必要ですね。ウイルス対策ソフトってLinux用ウイルスの役に立つんですかね。ルートキット検出したいの?
クラックされる方が多い。日本のユーザ会なんて軒並みやられてる気がする。
Re: (スコア:0)
母数が少なけりゃ感染する実数が少なくて当たり前。
それと初心者ユーザ層の占める割合も影響する。
Re:ゾンビPCのOSの種類ってどうなてるんでしょ? (スコア:2, すばらしい洞察)
使っていることにも気づかない初心者ばかりです。
Re: (スコア:0)
同様に某メーカーのルーター、自動改札機、通信カラオケに電話交換機等で稼動しているTRONも忘れないでね。
まぁ、そういう人たちは携帯電話だって、OSが動いているって事を意識してないんだろうね。
Re: (スコア:0)
ビックカメラで感染した店頭の写真プリント受注機はウイルス対策ソフト入りWindowsでしたね。
日本の対策ソフトは検知率が低いらしいので価値なしです。
逆の視点(おふとぴ) (スコア:0)
"悪意ある"ユーザ: 「誰かハックしてくんないかなー…せっかくのハンドヘルドLinuxマシンなのに」
# 最近のdocomoハイエンドなんかLinuxベースでGtkなのにメニュー開くのに数秒とか
# スマートフォンにするのか携帯のままにするのかどっちかにしてください
Re: (スコア:0)
ソースはすぐにでてこないが、ホモジニアスな環境でないとコンピュータウィルスの拡散に失敗するとのこと。
組み込み機器は、Windows独占ではなく、Linux,Tron, Windows CEなど、ヘテロジニアスな環境なので拡散しにくいいんでしょう。
PCでも、もし、Macのシェアがもっとあれば、ウィルスはMacとWindowsの両方に対応していないと拡散しにくくなるはずです。
Windowsは問題外 (スコア:0)
「俺はLinuxマシンにroot権限でログインして日常作業してるぜ!」なんて豪の者はめったにいませんが
「Windows UAC 無効化」でぐぐればWindowsがどういう使われ方してるか一発でわかるでしょう
筋が悪すぎるOSなんでいまさらどうにもなんないです
最後まで責任もって行動すればいいじゃないですか? (スコア:0)
Re:最後まで責任もって行動すればいいじゃないですか? (スコア:1, すばらしい洞察)
逮捕され取調べを受け、裁判で有罪判決を受け、刑務所に収監され、刑期を終え出所し、社会復帰するところまでをリポートしなければ、報道としては中途半端で無責任でしょうね。
報道機関に無駄な期待しすぎだから。ひとつの案件にどんだけコストかけるつもりだっつーの。もうちょっと現実をみたらどうよ。
# 釣られちゃったかな。
Re: (スコア:0)
Re: (スコア:0)