パスワードを忘れた? アカウント作成
175976 story
セキュリティ

7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? 87

ストーリー by hylom
ソース・オープン 部門より

あるAnonymous Coward 曰く、

2ちゃんねるで話題になっていたが、先日個人情報流出騒動が起きたセブンアンドワイのネットショッピングサイトのサーバで「.svn」や「CVS」ディレクトリが公開状態になっており、そこからソースコード等一式が流出するという事件が発生した模様だ(カジ速による2ちゃんねるの該当スレッドまとめ)。

先日スラッシュドットでも「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲットという話題があったが、まさにその通りの手口。ちなみに、問題となっているショッピングサイトは現在でも通常通り運営を続けている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 企業として (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2009年12月18日 14時40分 (#1690971)

    危機管理能力が欠如し過ぎている感は否めないと思うのは私だけ?
    2度も同じミスが連続してセキュリティも甘々なのにサービスを提供しつづけるのは顧客軽視としか思えない。
    #ミスは仕方ない。だが事後の対応が甘すぎる。
    #この規模のトラブルって普通、サービス落とさない?(メンテ画面とかで

  • 起こるべくして (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2009年12月18日 15時35分 (#1691021)
    .svn →seven
    .cvn →convenience

    つまりこの事件は既に予言されていたのだよ!

    な、なん(ry
  • 次の展開 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2009年12月18日 15時58分 (#1691042)
    「予想に反して、このページが見えているでしょうか?」
    • Re:次の展開 (スコア:3, 興味深い)

      by s02222 (20350) on 2009年12月18日 16時29分 (#1691057)
      流出したソースコードを使って、偽7&Yショッピングサイトを作る→値段設定を「1箱100円」などにする→「おい、7&Yがまたやらかしたぞ!」のスレを立てる→フィッシングウマー

      # もはやドメイン名が不審だろうが、オレオレ証明書だろうが、
      # 「やりかねない」の一言でスルーしてもらえちゃう気がする。
      親コメント
    • by sekia (38775) on 2009年12月18日 19時30分 (#1691125)

      It works! # いや、動いてない

      --
      言ってないことに反論するなよ
      親コメント
  • by sunnydaysundey (32697) on 2009年12月18日 16時56分 (#1691069)

    最近の流れですが

    セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される [kajisoku.net]

    セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 [kajisoku.net]

    今回

    最初の段階で一時停止でもして、根本的にセキュリティチェックをすべきだったかと。

    今回のトピックに紹介されてる話の中のこれ↓にある通り

    28 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/17(木) 16:32:03.49 ID:oCfObREz0
            オープンソース()笑を見てる限り、当初は3~5人で作り上げたものっぽいね。
            あまり大規模プロジェクトじゃなかったから、少ない開発メンバーで頑張ったんだろうね。
            で、この手の話にありがちなのは、一度作ったらなかなか直さないってこと。
            新規に作るときは気合を入れて仕様書とか頑張って作るんだけど、
            いざ完成すると保守が面倒になって(もしくは保守手順が確立されてなくて)、
            問題があってもなかなか直せないままでいるのかもしれん。

            推測だけど、今回不具合直しているのは、他の開発案件をやってるチームなんじゃないか。
            緊急で呼び出されて直してるだけだから、2chで指摘があるときだけ対応している。
            そう考えると全部つじつまがあうんだよな。

    38 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/17(木) 16:40:13.34 ID:pjjthOSA0
            >>28
            俺もそう感じていた
            2ch→監視係→助っ人→2chのループ
            タイミング的に、こんな感じ

    根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。

    • by miishika (12648) on 2009年12月18日 19時05分 (#1691117) 日記
      掲示板(2ch)のメンバーが騒いで事が大きくなることはよくありますが、ここまでダメダメだと全く騒がない(欠陥があっても知らん振り)方が却って深刻な結果を招くのではないですか。タダでデバッグをしてあげるいわれもないので。

      # 近くに書店がないので、7andYを利用せざるを得ないID
      親コメント
    • by firewheel (31280) on 2009年12月19日 1時07分 (#1691233)

      >根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。

      開発メンバーに、まともな技術者が一人もいなかった場合などは、
      「抜本的な対策 = メンバー総入れ替え」になることもあります。

      日本企業が「抜本的な対策」を取るわけ無いよね。

      親コメント
      • by argon (3541) on 2009年12月19日 16時40分 (#1691408) 日記

        抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。

        というリスクもありますよね。
        ノウハウが人に依存している場合にありがちだけど、不具合そのものよりも
        こういう状態をリリース前にストップかけるしくみがなかったという管理の問題では?

        親コメント
        • by firewheel (31280) on 2009年12月21日 3時03分 (#1691945)

          >抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。

          ああ、もちろん言うまでもなく「今までより優秀なメンバーに」入れ替えるんですよ。
          「入れ替えさえすれば今より質が下がっても構わない」という話ではない。

          「入れ替えてみたら質が下がった」と言う場合は、人を見る目のない人事部の責任なので、人事部の
          総入れ替えが待ってます。人事部を入れ替えたら人事部を見る目のない社長の責任なので(ry

          親コメント
  • by Anonymous Coward on 2009年12月18日 19時48分 (#1691131)

    カジ速にある魚拓のURLを見るとタイトルの通りだと分かる。
    URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。
    bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。

  • by Anonymous Coward on 2009年12月18日 20時27分 (#1691152)
    問題の発端は.svnとかのディレクトリ残してた事じゃなくてTomcatのディレクトリトラバーサルの脆弱性じゃないの?
    それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。
    もちろん.svnとかソースのtarとかを公開ディレクトリに置いて外部からアクセス可能になってる場合は問題だけど、
    https://www.example.com:443/bks.svl/%c0%ae%c0%ae/HTML_JS/CVS/Root
    みたいなURLは脆弱性を利用したアクセスであって、公開情報とは言わないと思うよ。
    (実際はどうか知らないけど、そもそも脆弱性を利用しないパターンのアクセスは禁止されてた可能性もあるわけで)

    当然、脆弱性のある(しかも修正が公開されている)フレームワーク使ってるのが一番の問題。
    でも、仮に通常アクセスへの制限が行われていたとすると、上記の脆弱性を利用したアクセスって言うのは、
    いわゆる不正アクセス禁止法に引っかかる可能性が高い(三条2項の二)。
    こう言う簡単なアクセスで攻撃できてしまうパターンって、imgタグか何かで無実の人が攻撃者に
    見せかけられる可能性もあるし、厄介だね。

    今回の場合は、これらのURLを公開情報だと思ってアクセスしちゃった人たちは過失犯で対象外だけど、
    この脆弱性を見つけて、URLを面白がって公開した人なんかはかなりマズいんじゃないかと思う。
    それとも、脆弱性の攻撃方法って「他人の識別符号」じゃないから、不正アクセス禁止法での
    「不正アクセス行為を助長する行為」には含まれてなくて大丈夫だったりするのかな?
  • 社長が (スコア:2, 興味深い)

    by Anonymous Coward on 2009年12月18日 14時50分 (#1690981)

    7&Yの社長?がコストをかけないでどうとかって記事をどこかで見た気がする
    セキュリティ的にアウトでも注文が入って商品が売れればあとはどうでもいいのかな
    ローソンの社長が法人税が高すぎるから低くして消費税を増やせばいいとかなんとか言ってた気がするが、
    どこの会社の社長もてめーが儲かれば他のことはどうでもいい人達なのかな

    ローソンもセブンも使うの遠慮するわ

    • Re:社長が (スコア:4, 興味深い)

      by Anonymous Coward on 2009年12月18日 15時07分 (#1691000)
      これ [itmedia.co.jp]ですかねぇ。

      内製化を進めているのはそのためです。現在インフラの構築からソフトウェアの開発まで、ECサイトを運営するのに必要な工程を20~30人のエンジニアで運営し、約99%のシステムを内製化しています。

      まともな危機管理できない内製だが、外注してもまともな要件定義出せないだろうね。

      親コメント
      • by metta (20740) on 2009年12月18日 16時27分 (#1691056) 日記
        「「2009 逆風に立ち向かう企業」セブンアンドワイ:システムへの飽くなき愛着が成長の原動力」
        という記事のタイトルが、いい味を出していますね。

        立ち向かうどころか、逆風に乗ってどんどん風下に流されていく感が堪らないです。
        引きつった笑いがまた良い。
        安部元首相と中川昭一を足して二で割ったようなルックスも最高!
        親コメント
      • by dagama (34698) on 2009年12月18日 15時19分 (#1691010)

        こういうところが内製化に走るのは
        ブラック労働させる気マンマンだからだろうな
        と邪推

        親コメント
        • Re:社長が (スコア:2, 興味深い)

          by s02222 (20350) on 2009年12月18日 15時35分 (#1691020)
          24時間オンサイト監視業務の人についでに店番をさせることで経費削減。オンラインショッピングサイトにトラブルがあったときにはなぜか営業停止してる謎の店舗が出現・・・は細かすぎるか。

          深夜のバイトは割と暇だと聞くので、amazon方式を分散実装するのはどうかな。客からの注文を、オンラインで「今現在、その組み合わせを在庫に持っていて暇そうな店舗」を検索してリダイレクト。店番中の店員が店内から商品を集めて箱詰め。次の配送トラックに乗せて発送、とか。
          親コメント
          • Re:社長が (スコア:2, 参考になる)

            by narunaru (30931) <reversethis-{pj. ... {ta} {isohakim}> on 2009年12月18日 17時25分 (#1691088)

            今の時代はそれだとターンアラウンドが長すぎるかな。深夜のアルバイトに流すって事は、次の宅急便の配送トラックは翌日の夕方なわけで、注文から3日~4日もかかってしまいますよ。
            後は品質の問題もある。誤配達するとロスが大きいんで、クロスチェックするのが一般的。だけど深夜のコンビニだとクロスチェックは人員的に厳しいでしょう。

            親コメント
    • Re:社長が (スコア:1, 興味深い)

      by Anonymous Coward on 2009年12月18日 14時56分 (#1690986)

      「相続税の最高税率を引き上げろ」と主張する創業者社長はどこかにいないもんですかね…
      「子孫に美田を残さず」を実践する大富豪を応援したい。

      親コメント
      • by Anonymous Coward on 2009年12月18日 17時26分 (#1691089)

        >「相続税の最高税率を引き上げろ」と主張する創業者社長はどこかにいないもんですかね…
        >「子孫に美田を残さず」を実践する大富豪を応援したい。

        故ポール・ニューマンは富裕層向けの減税策をとった当時のブッシュ(Jr.)政権を非難して
        「私のような大金持ちから税金を取ろうとしない政府は間違ってる!」
        と民主党大会で演説、満場の喝采を浴びたそうです。カッコいいぜ、ニューマン。

        *:ポールニューマンはフレンチドレッシングの会社の創業者社長でもありました。

        親コメント
  • by Anonymous Coward on 2009年12月18日 15時09分 (#1691002)

    報道が出ないなあ、管制中なのか?IPAでは取扱中なんだろうか?と「セブン site:ipa.go.jp」で検索してみると、一番最初に出てきたのはこれ [ipa.go.jp]でした。

  • まぁApacheかどうかはわからないけど、
    apache :: ドットから始まるファイル、ディレクトリにアクセス禁止 [Tipsというかメモ] [root-n.com]
    こんな仕組みを使っておければよかったのになぁ。

    --
    屍体メモ [windy.cx]
  • 半年ほど前ですが、突然会員登録と注文のメールが送られてきました
    心当たりないのでメール送ったのですが心当たりないとしらばっくられました
    なんでメアドの確認もせず注文までできるシステム組むかな?

    # ヘッダにおかしな所もなく確かに7&i発のメールだったんですけど
    # wwwtest2.7andy.jp とか変なドメイン使ってました
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...