« 改正電子メール法成立/個人情報保護苦情処理先 | トップページ | 言語別月別SE単価グラフ »

2005.05.23

価格.comの最大のセキュリティホールは『無知の脆弱性』

(2005.5.23文章増補)
http://internet.watch.impress.co.jp/cda/news/2005/05/19/7663.html
続報によるとメール通知機構にも書き換え被害があったそうで。
「携帯メールでiframeトラップなメールを受信しても大丈夫です」って技術的にはそうでしょうが、そんなところまでみすみす書き換えられたクラックぶりがなんとも。
しかも携帯はいいとして、一般メールで安値情報とか通知するメールの場合は、受信者がhtmlメールで読んだり、WEBメールで読むとご丁寧にもhtmlタグを解釈するので危ないし、そうでなくても謎のurlを思わずアクセスしたりするだろうし。
現にメールの内容文をまんま公表しちゃったサイトで危険タグが有効になってしまったとかなんとか。

私も会見記事で真っ先におかしいと感じたのですが、社長さんの「最高レベルのセキュリティだったが破られた」発言、
この世には絶対完璧という文字が無いことを、IT技術者と恋愛破局経験者は知っている。
IIS6にまめにパッチを当ててサイトを書き換えられない努力はしていたろうが、それを最高レベルと言い切る自信がすごい。思い切りクラックされた後に。
最近では…なんかJR西方面でもデジャブが。
2ちゃんねるでは「IIS採用の時点でもう最高セキュリティでない」とのツッコミもありますが。
要はIISサーバを納入した時に、お客様から「いいシステムだからセキュリティは完璧だよね?」と訊かれて
「ええ、最高レベルですので大丈夫です。未来永劫一切事件事故は起きませんよ」と言い切れるか?
私は納入先にそんなこと一度も言ったことありません。
デメリット&リスクも説明してます。嘘つきにはなりたくないですから。

2005/05/16「最高レベルのセキュリティが破られた」
カカクコム、不正アクセス事件を説明
www.itmedia.co.jp/news/articles/0505/16/news077.html

今回最初に異常を検出したのはキヤノンのNODスキャンソフト。未知のウイルス検出機能のお手柄だったようで?大手スキャンはパタン対応するまでスルー。
だいたい、高価な大手ソフトにも未知のウイルスとか悪意のスクリプトを検出する機能はあるはずなのに何やってるの?他のマイナー各社に性能で負けているとは。
パタン至上主義だけじゃない、って大手も言っているはずなのになぁ?
以前にらのべあぷろだで苺ウイルス見つけたが、もう話題になって数日になるのにノートンは検知できずだった。だから検体メールしたんだけど、すると自動返信で配信前の最新パッチをいきなり送ってきた(何メガもあるでかいサイズでびっくり)。一応準備はしてたんだね…。

そこで価格comに戻りますが、
NOD以外で検出ができない、ということを検証して情報を乗せればいいのに。でないと自分の持ってるので対応できるかどうかわからない。ウイルスの可能性はあるのに、という状態に陥る。
ここのサイトにあるように、個人でソフト集めて片っ端から検証すればよかったのに
www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/05.html
(まとめサイト紹介とか各種リンクも充実)
これで少なくとも「検出対応できない」とわかればNODに一時的に乗り換えるとかの決心もできるというもの。
既報では、価格コムの顧客がサイト閲覧してそのNODが反応。それを何度も通報したのに対処してくれなかったそうで。顧客なのでサイト閉鎖させられたら困るので即時閉鎖をしなかったことは強く追及しなかったようですが、閉鎖後の顧客アクセス件数は2割減少だそうで、それくらいで済むなら閉鎖してよさそうでしたね。
警察とかと協力して犯人特定する名目でウイルス仕込むのを泳がせていたって、いくら即座に書き換え修正してたとはいえ、その数日間に一瞬でも変なiframeを食らわされた来訪者もいたろうに。
楽市楽座の賑わう往来でドンパチすれば店と来訪客がとばっちりで怪我する可能性大なので、普通は営業の最中にドンパチせずに、城門閉じるか客を避難させるかするよね。

上記のサイトでも、社長の最高発言を話題にしてますね(笑)。
ネット全般の感想に同意ですが、あんな言い方で聞いた人の反応はどうなるか予想できなかったのだろうか。
例えば、JR西が「最高の安全を心がけていたが福知山線で事故が起きてしまった」なんて言ってしまった場合、
信楽高原鉄道事故から14年目な慰霊祭で碑前でJR西日本会長は何と言うのだろうか。
14年前に「二度とこのような悲劇は絶対起こさない」と約束していなかったのか。
私のような者が横槍入れても仕方ないのですが、今回ものの言い方の話題をするのは、
社長の最高セキュリティ発言は、今回のクラック犯人をもう一度犯行に及ばせる動機に繋がるのではないかと危惧しているからです。
何年か後の忘れ去られた頃にさらに新たな手口でページを書き換えしてやろうと思わせるのではないか。
で、htmlのソースに「最高ですかぁ?」とかメッセージを残す、という。そんな未来。

価格.comは調査中としてサーバの脆弱性情報出してませんが(5/20時点)、
*パッチ当てたIIS6だけど乗っ取られサイトを書き換えられるらしい
*他のサイトも被害拡大中。共通点は「phpBB」のCGIサーバを稼働させていること?
*ご丁寧に、phpBBサイトはpowered-byの文字列をhtmlに埋め込んでいるので、
 クラック犯人は検索エンジンでそれを手掛かりに同類サイトを物色してる?

クライアントは対応はいいとして、サーバ側の対策が不透明ですね。そっちの情報が欲しいです。
職場でもその話題で持ちきりというか各課各担当に注意喚起するにも何と言ったらいいのやら。
IISが原因であり新たなセキュリティホールを突かれたのなら、MSからアナウンスがありそうですが。

さらに、企業のセキュリティの甘さを糾弾するのに有名なセキュリティ情報サイト?
ネットアンドセキュリティ総研株式会社のサイト「SCAN」でも、例の社長発言を糾弾してますね。
https://www.netsecurity.ne.jp/1_2777.html
価格comは以前にもセキュリティ問題を抱えていたそうですね。
そんなんでは、ディフェンスに定評のある池上、じゃなくて価格コムとは言い難い。
キーロガー系ウイルスをばらまいておきながら併設の外為サイトを平常運転させていることにscanも呆れているようです。

今回の事件のとばっちり、というか泣きっ面になんとかかもしれませんが、
価格comのサーバのアンチウイルス製品は、トレンドマイクロだそうで。
サーバ向け製品なんだから、怪しいiframeや外部リダイレクト先のドメイン文字列をNGワードでブロック検出…とかできればよかったのに。

|

« 改正電子メール法成立/個人情報保護苦情処理先 | トップページ | 言語別月別SE単価グラフ »

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3180/4178890

この記事へのトラックバック一覧です: 価格.comの最大のセキュリティホールは『無知の脆弱性』:

» 価格.com不正アクセス続報 [星を見る人]
価格.comのサーバに何者かが不正侵入、 サーバー内のプログラムを書き換えて乗っ取り 価格.comがウイルスばら撒きサイトと化していた件の続報。 価格.com側が11日には既に異常に気づいており 手動で修復してもすぐに...... [続きを読む]

受信: 2005.05.18 14:15

» 価格.com [manabiBlog]
価格.com サイトは閉鎖されて話題になっています。第一報を聞いた時は余り気に留 [続きを読む]

受信: 2005.05.20 15:46

« 改正電子メール法成立/個人情報保護苦情処理先 | トップページ | 言語別月別SE単価グラフ »