パスワードを忘れた? アカウント作成
12034208 story
インターネット

上場企業などに対し無断で攻撃を行ったセキュリティ企業、対象からの同意なしでの侵入テスト合法化を主張 70

ストーリー by hylom
セキュリティ企業から営業という名の攻撃を受ける日は来るのか 部門より
あるAnonymous Coward 曰く、

セキュリティ関連企業スプラウトが、自民党本部 IT戦略特命委員会に対し「グレーゾーン解消制度又は企業実証特例制度適用申請の背景と主旨」という提案を行っている(提案資料PDF)。

現在、対象企業などの同意無しにサーバーなどに対して実際に攻撃や侵入を行って調査するペネトレーションテストは不正アクセス禁止法に抵触する可能性がある。これを合法化することで、研究活動やリスクの早期発見を目的とした調査を迅速に進められるとしている。

政府・自民党は今後セキュリティ技術者を増やすことを目指す政策を進めているが、スプラウトによると「研究活動とリスクの早期発見を目的とした企業ネットワーク・サーバーへのペネトレーションテスト」などを合法化することによってこれを推進できるというスタンスのようだ。

なお、スプラウトは過去にセキュリティ調査と称して上場企業100社に対し無断で攻撃を行っていた疑いがあるが、今回の資料を見る限り、違法である可能性を知りながら無断で調査を行っていたと推測される。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by GameKeeper (777) on 2015年04月28日 19時45分 (#2805836)

    「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。

    提案資料PDFを見る限りでは、スプラウトに対してのペネトレーションテストも
    文句言わないよね?

    で、サーバーやネットワークのセキュリティって物理的な攻撃に対して
    脆弱であることが多いと思うんです。
    私は、スプラウトさんのサーバーが物理的に脆弱じゃないか心配で仕方が無いので
    チェックしたいな。 ええもちろん、動機はスプラウトさんが心配だからですよ。

    ドアが十分頑丈かピッキングしてみたり、昼休み時間帯に物理的に進入してみたり。
    お電話等でのソーシャルエンジニアリングも受付が変わるかもしれないので毎日確認しないとね。
    それに対して異論があるなら、許可を得ていない相手企業にセキュリティチェックをかける資格は無いよね。

    • by Anonymous Coward on 2015年04月28日 20時51分 (#2805871)

      >「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。

      本来そうなんだと思うよ。繋いだ人は誰でもどんなアドレスにでも好きなパケットを投げても良いのがインターネット。
      歴史的には、インターネットにコンピュータを繋げる行為なんてのは、なんでも好きなパケットを送って下さい、
      こっちで適当に処理しますから、という意思表示だというところからスタートしてるし。

      そう言いつつ防御が手薄で、不正アクセスによる実害が発生し始めたから、犯罪者を捕らえるために、不正アクセス防止法が出来たけど。

      あくまでそれは、実害を出した奴を吊しやすくするためのものであって、
      「ちょっと待って下さい、勝手に我が社のセキュリティチェックなんてされたら困ります(穴があるかも知れないじゃないか)」とか逃げの手を打つためではない。
      現実世界経由での攻撃はまた別物だけど、「インターネットからどんなパケットが来ても大丈夫」と言うのは
      どんなサーバでも持っていてしかるべき性質なんであって、「検査されたら困る」というのはおかしい。

      どうせ、正義のハッカーがやらなくても、悪のクラッカーが勝手に似たような事をやり倒してるんだろうから、
      勝手な検査が出来ないというのは、不正防止法が悪い奴らを一方的に利している。

      親コメント
      • by Anonymous Coward

        > 「インターネットからどんなパケットが来ても大丈夫」と言うのは
        > どんなサーバでも持っていてしかるべき性質なんであって、「検査されたら困る」というのはおかしい
        むしろ、どんなサーバであっても、過剰に負荷をかけるようなDoSアタックには原理的に脆弱だと思うけど。

        • by Anonymous Coward

          で、免許を持ったペネトレーションテスト業者が、DoSアタックとか仕掛けるの? 原理的に脆弱なのが分かりきってるなら何のため?

          • by Anonymous Coward

            いったいいつ免許制になったの?

      • by Anonymous Coward

        >「インターネットからどんなパケットが来ても大丈夫」と言うのは
        >どんなサーバでも持っていてしかるべき性質

        予算が無限大な妄想世界でしかありえない前提ですね

      • by Anonymous Coward

        そうだよ(便乗)
        テストなら完全合法にしよう。
        そんで「我々のいう事をきかないと、あの手この手(合法)でテスト(笑)しちゃうよ~?」

        いつしか、ネット上を流れるパケットの99%はテスト(笑)用パケットとなるのでした。
        めでたしめでたし。
        めでたいのは俺の頭な。

      • by Anonymous Coward

        法律を守らない者からも完全に守りきれなければならないというのは普通じゃないです。
        これは被害者からすると経済力その他評判等とのトレードオフではありますが
        (逆に言えばトレードオフでしかない)、
        犯罪者が言い訳として使っていいものじゃありません。

        ところで、家の鍵なんかのピッキング性能は分とか秒で測られます。
        法律を無視すればそれに対して好きなようにアタックしてよいのが現実世界です。
        何でも好きなものを突っ込んでください、こっちで適当に処理しますから、
        となっていますよね。
        それを止めているのは法律とそれに基づく実力行使だけですが、
        大抵の人はトレードオフを考えて、そこそこ(正直運任せ)の
        セキュリティを選択しているわけですね。

        自分の専門分野においてだけ、専門馬鹿になっていませんか?
        本物の泥棒がいるんだから、いつでも家庭訪問されるのは許すべきって思います?
        ほとんどは入れますよ。法律が許してくれるなら気軽で良いですね。

    • by Anonymous Coward

      スプラウトはそういうことがやりたくてたまんないんだから、
      その程度で許可してもらえるなら異論どころか諸手挙げて大歓迎だと思うけど

      そもそもセキュリティ企業なんてクラッカーの恰好の標的だろうから、
      日々チェックは怠ってないだろう。
      心配してくれる人がいてもいなくても気にもならないんじゃ。

    • by Anonymous Coward

      「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。

      別ルールの世界、つまり進入が許される世界だと思ってるのなら、ペネトレート試験の目的は何?
      なんか矛盾してますよね。

  • 不正アクセス (スコア:3, すばらしい洞察)

    by nemui4 (20313) on 2015年04月28日 19時10分 (#2805805) 日記

    >現在、対象企業などの同意無しにサーバーなどに対して実際に攻撃や侵入を行って調査するペネトレーションテストは不正アクセス禁止法に抵触する可能性がある。

    それきっちり不正アクセスで違法ちゃうのん。

    もし合法やったら、実害出してバレない限り誰でもあちこち自由にアタックし放題でんがな。
    そしてバレたらセキュリティテストとか調査とか言うのか。

    普通に調査(クロール)をしてたのを訴えられて逮捕されてた人もいなかったっけ。

  • ACCS裁判での有罪判決は、セキュリティ活動を重視する立場からの批判を良く聞きますが、判決文では、セキュリティ活動として妥当なものであっても犯罪になるとは言っていないはずです。
    妥当であれば適法とも言ってはいませんが。

    判決は検察側の主張を支持。元研究員が脆弱性を見つけてから3カ月間、管理者に報告せず放置したことや、「公表するとどうなるかすごく楽しみ」「前触れなく攻撃してみたい」などと発言したことに言及し、「真摯な指摘活動とはいえない」と指弾。「たとえセキュリティ対策を促すためとしても、管理者側に修正の機会を与えないまま発表して模倣犯の出現を促し、個人情報を漏えいした行為は正当視できない。高度情報通信社会の発展を妨げることは明らか」とした。
    「不正アクセス」の司法判断とは――ACCS裁判 - ITmedia ニュース [itmedia.co.jp]、2005年03月28日

    判決の指摘に沿うならば、直ちに管理者に報告し、管理者側に修正の機会を与え、模倣犯が出ないようにし、情報漏洩がなければ(かつ、当然にその他の不適当な点がなければ)、真摯な指摘活動として正当視できる余地がありうるように思います。

  • by Anonymous Coward on 2015年04月28日 19時27分 (#2805822)

    例えば警備会社が、同意無しに首相官邸とか空港とか銀行とかへ侵入テストしたら違法ですよね。
    どういう理屈で情報システムだけ例外になるんでしょ。

    • by Anonymous Coward on 2015年04月28日 19時40分 (#2805830)

      準拠法が異なるものを例えに出しても仕方が無い。

      親コメント
    • by Anonymous Coward

      バッキンガム宮殿は、女王を戴く宮殿の警備のチェックを自主的に行った愛国者が時々侵入に成功してるよね。
      女王の居室まで普通にたどり着いてご対面、そのまま対談なんてやってのけてる。

    • by Anonymous Coward

      車検に通ってない自動車が公道を走っちゃいけないように、
      まともにテストされていないサーバをインターネットに繋ぐのは周りにも危険を及ぼすからダメ、という理屈とか。

      ただ、それだと、サーバをネットに繋ぐ前には、役所が指定する業者なりに持ち込んで検査して貰わないとダメ、
      もちろん、検査後に中身を弄った場合は要・再検査、再検査せずに繋ぐのは違法改造、というような話になってしまう。

      けどまあ、毎日更新されるような代物で、その仕組みでは回らないので、
      改造はいくらでも許可しますが、その代わりに、継続的にテストを続けますが良いですよね? みたいな理屈。

    • by Anonymous Coward

      そういうのを全部含めて検討の余地自体はあるんじゃないかと思います。しかしそれにも公益にかなう部分をうまく抽出できればという前提が付きます。
      まず、検査で発見した問題点を全て、無償あるいは法定の適正金額で引き渡すことが前提ですし、検査が可用性に影響を及ぼしてしまえばそれは許容されるものではないでしょう。
      単なる不正アクセス者の言い訳に使われないように、行政機関などに対する申請を事前に必要としたり、免許・登録制にすることも必要でしょうね。

  • 天下りを受け入れた見返りに、それとなく検査の日程を教えてくれる日本の役所の抜き打ち検査みたいなテストも、それはそれで意味ないだろ。
    • 良かった。これから攻撃すると予告しても碌に防御できないような省庁は無かったんだ。

      親コメント
      • by Anonymous Coward

        検査の日程を教えてもらえる。
        (防げるとは言ってない。)

    • by Anonymous Coward

      運用者にとって既知の脆弱性を調べる検査ならね。
      でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。
      何かとトレードオフの対策しか出来ない脆弱性(DDoSやブルートフォース等)の場合そもそも対策できる類のものではない物量攻撃に近いので、脆弱性検査として実施すべきかと言うと微妙なものも多い。

      運用者にとって未知の脆弱性であれば、隠れて検査なぞされるよりホワイトボックステストや調査結果の通知義務コミコミで明確にやったほうが良い。

      一方的な抜き打ち検査とか調査結果の良からぬ利用法は山程思い付きますがそうで無ければならない理由はほとんど思いつきません 。
      脆弱性検査を義務付けるとかまずそっちから手を付けるべき話。

      • by Anonymous Coward

        > でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。

        いや、スプラウトを擁護するつもりはさらさらないですが、さすがにこれは過大評価では。
        実際に無断ペネトレーションテストを行って「上場企業の5割に脆弱性がある」とスプラウトは主張しているわけですから。
        大抵、そういうのはノーガード戦法をうそぶいているわけではなく、単に無能なだけでしょう。

        ただ、ペネトレーションテストの予告をしたことで実際にセキュリティ意識が向上するのなら、別にそれで構わんように思います。
        カンニング不可な学校のテストじゃないんだから。

  • by Anonymous Coward on 2015年04月28日 21時39分 (#2805889)

    無断でやる意味はないので、不正アクセス禁止法違反で良かろう。
    セキュリティを気にしている会社なら、自分で頼んでチェックしてもらえばいいだけの話なので、同意なくサーバーなどに対して実際に攻撃や侵入を行って調査する必要性はない。無断でやるのは、押し売りの強盗のようなものだ。

    • by Anonymous Coward on 2015年04月28日 22時40分 (#2805928)

      同意してテストをやる場合になら、データのバックアップとか保全ぐらいできるけれど、同意なしのクラッキングだと、データ喪失とかサービス停止もあるから、ただの業務妨害だよな。セキュリティーの押し売り強盗しといて、合法化しろとなんて、どこまでモラル崩壊しているんだ?

      親コメント
    • by Anonymous Coward

      確かに業務妨害だし、押し売りみたいなものだようなあ。非合法のままにするべきだろう。

    • by Anonymous Coward

      でも、今の社会には、それをやらせる圧力が無いじゃない。

      A. クラッカー。ただただ悪い奴
      B. セキュリティの甘いサーバを運営してる奴。利用されてAが出す被害を拡大してしまう
      C. 善良な市民。

      Cに属する自分としては、Aはもちろんの事ながら、Bも吊されて欲しい。

      Bのような輩が仕事を失って静かに退場していくような世の中が理想ではあるけど、
      そのためには、一般のセキュリティ意識が「あの会社、セキュリティがダメだから使うの止めよう」と言うところまで高まらないとダメ。

      でも、それを待っていられないぐらいに切迫した状況になりつつあるので、強引にでも実現する別のプランが必要。

      • by Anonymous Coward
        完全に他人ごとでワラタ
        こうでしょ。

        × C. 善良な市民。
        ○ C. セキュリティの甘いクライアントでインターネットに接続してる善良な市民。利用されてAが出す被害を拡大してしまう。

        当然、Cは吊るされるべきですよね?
        • by Anonymous Coward

          もちのろん。そうやらないとインターネットに平和は訪れない。

      • by Anonymous Coward

        端末をインターネットに接続している時点で、Aから見て、CとBの間には差がない。

  • by Anonymous Coward on 2015年04月28日 22時50分 (#2805930)

    自民党内のIT戦略特命委員会は定期的に有識者ヒアリングを行っているようで、スプラウトの提案は4/9に行われた会合で行われたもの。
    議題は「サイバーセキュリティーを巡る現状と課題について」で、同日ラックの西本氏もプレゼンしている。
    前日の4/8にも同じ議題でアズジェントとFFRIがプレゼンしている。
    資料は自民党 IT戦略特命委員会のアーカイブ [activeictjapan.com]にあるのだが、せめて会合ごとにページ分けてくれんかな…と。

  • by onikuya (17148) on 2015年04月30日 14時00分 (#2806876) 日記

    そういう業種を認可制にしないとダメな気がする

  • by Anonymous Coward on 2015年04月28日 19時27分 (#2805821)

    >違法である可能性を知りながら無断で調査を行っていたと推測される
    これはどう推測したんでしょうかね。 攻撃をした時はその認識はなかったが事後騒がれて知ることになったという話もあり得るのではないでしょうか。
    これが確実に否定される事実がこの資料内にあったんでしょうか?

    • 提案資料PDFの

      現在、このような調査を行う場合、対象企業からの依頼(本人の同意)が無い場合、不正アクセス法に抵触することにより
      調査の範囲が限られる可能性がある状況にある。

      って件からかな。
      まあ、これを騒がれた後に知ったのだとしたら、「(自称)セキュリティ会社が後から騒がれるまで知らなかった」という笑えない話になるんだけど。

      --
      ぽぇんぷしゅう。
      親コメント
  • by Anonymous Coward on 2015年04月28日 21時58分 (#2805905)

    提案資料を見た限りだけど申請内容がザル過ぎて
    ほんとにセキュリティ関連企業なのか?

    • by Anonymous Coward

      勝手にセキュリティホールを調べ、見つけたら「脆弱性の修正をうちに依頼しろ。そうしなければマスコミに発表する」と営業活動、ってパターンなんだろうか。

      それってサイバー総会屋ってことかな?

  • by Anonymous Coward on 2015年04月28日 22時13分 (#2805913)

    sproutは自分で勝手に100社を攻撃したんだ。
    sproutに依頼したところなんてなかったんだ!

  • by Anonymous Coward on 2015年04月29日 0時24分 (#2805971)

    提案資料PDFを読んだ。

    「IT全般に対する幅広く深い理解があり、サイバーセキュリティ領域における経験を積み重ねている。システムやアプリケーションの脆弱なポイントを見極め、新たな攻撃手法を自ら生み出すことができる」と「Webやアプリケーションのセキュリティ診断などをツールなどを用いて実施できるレベル。ITに関する知識と様々な解析ツールのノウハウ、セキュリティの一定分野に強みがある」の間には高い壁が存在しているなんて書かれてるんだが……

    個人的には両者の間にもう一エリアあるだけの話だと思うんだよな、自分もそこにいるつもりだし。
    あとエンジニアでないのをエンジニアと称して、エンジニア人口ピラミッドの下部を水増しするのは止めてくれ。

  • by Anonymous Coward on 2015年04月29日 1時11分 (#2805983)

    「おたくのシステムへの侵入路を発見した。教えて欲しくば契約しろ。」
    が営業活動になるのか。
    言葉使いに気をつけないと脅迫になるな。

    #ええもちろん素人考えです。

    • by Anonymous Coward

      別にそんなの今でも有るじゃないですか。

      ウィルス発見、とか、セキュリティホール発見とか騒ぎ出して
      小金をせしめるフィッシングサイトとか○ウエアの類で。

      それがもっと物理的な営業手法を取ったところで、
      悪徳商法の手口が新たに1つ増えるだけだと思いますが。

      • by Anonymous Coward on 2015年04月29日 12時04分 (#2806176)

        このスプラウトとかいう会社が何を考えているかというと、要するに手当たり次第に会社に攻撃を仕掛けて、
        部分的にでも攻撃が成功したら、一切の詳細は知らせずただ
        「おたくの会社のシステムには脆弱性が存在しますよ。この間攻撃に成功しました。うちと契約しませんか」
        という脅迫まがいの割のいい営業がしたいんでしょう。
        悪徳商法のような根拠のない脅しではなく現実に存在するセキュリティホール等について、
        本人が知らずこの手のトロルもどきの会社のほうだけが知っているという状態を公的に認めることになる(かもね)
        というのがこの法改正要求の問題点だと思います。
        (かもね)と書いたのは、上のほうにもありますが、免許制による管理、
        テスト手順の完全な記録の作成義務と記録の迅速な引渡し義務(これがないと再現できない)、
        守秘義務、対価要求を認めないなどの制度的な設定で問題点を緩和できる余地があるからですが、
        この辺はスプラウトは反対するでしょうね。

        親コメント
  • by Anonymous Coward on 2015年04月29日 10時19分 (#2806107)

    侵入テストをするってことは当然、内部情報にアクセスするってことになるけど、その情報の取り扱いが気になる。

    • 入手した情報を他社に横流ししたら?(有罪ならその根拠は?)
    • 入手した情報でインサイダー取引をしたら?(有罪ならその根拠は?)
    • 入手した情報に明るみに出ていない違法行為の証拠が含まれていたら?(告発する義務は生じる?)
    • by Anonymous Coward

      問題点が多すぎて完全にアウトなんだけど、怖いのは今の自民党なら、気が向けば合法化しちゃいそうなところ。

  • by Anonymous Coward on 2015年04月29日 11時10分 (#2806139)

    検査時期と内容通知する→その時だけ、その方法だけ防御する輩を防げない
    抜き打ちする→タイミング悪いと破壊行為になる

    どうしたもんかね。。
    飽和攻撃以外なら抜き打ちかなあ。
    あとは始めると同時に連絡とか。

    最悪の条件でも堅牢にする費用、人員用意すべきだが現実は。。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...