2005年07月06日

ガイアの夜明け「サイバー攻撃との闘い 〜IT犯罪から会社を守れ〜」

ガイアの夜明け「サイバー攻撃との闘い 〜IT犯罪から会社を守れ〜」がテレビ大阪で放送されていた。

 テレビ東京 ガイアの夜明け
 http://www.tv-tokyo.co.jp/gaia/backnumber/preview050705.html

内容は、カカクコムの事件。

○原因や対処方法についての内容を期待したが、対応については社員が徹夜でプログラムを直したとかいう話などはあったものの、詳しくはわからなかった。

セキュリティ対策は株式会社ラックに依頼したみたい。
クラックされる前より、かなり安全性は確保されているはず。

今回の教訓をもとに、きちんと対策されるのであれば、高いけど授業料になったといえるかもしれない。

○カカクコムでばら撒かれたウイルスについては、もう少し突っ込んだ話があった。
 (番組ではウイルスというよりスパイウェアというべきと言っていた)
 ウイルスはリネージュUのアカウントを盗むものだったという。
 リネージュUのアイテムは、現実世界で売買の対象になっているので、他人のアカウントを手に入れれば、売り払ってしまうことができるとのこと。
 しかし、ウイルスは古いタイプでおそらく被害はなかったという。
 犯人の狙いは不明だという。
 
たしかに、サイトをのっとって仕込むウイルスとしてはあまり意味がない。
いたずらか、恨みか、カカクコムの株価操作あたりが狙いだろうか?

○そこから、番組はスパイウェア一般の話になっていく。
 メールに添付したファイルをクリックしただけで、情報が筒抜けになるデモ。
 アークンの人がやっていた。

こういうデモはめったにみられないので、なかなか興味深かった。

○盗まれた情報をもとにした詐欺の話
 ヤフーのネットオークション詐欺
 アカウントを盗んで、他人になりすまして出品。お金を振り込ませるという。
 対策としては、登録されているメールアドレスと、送ってきたメールアドレスが
 違ってる場合は注意とか、名前と口座名義人が一致しているかを確認するなどと言っていた。

なるほど、これじゃ今までの取引が信用できる人だからって安心できないわけだ。
メールアドレスの送信者は偽装できるから、それだけで信用するのはまずいけど、詐欺師のボロを見分けるポイントではある。

----------------------------
私のカカクコム事件に対する感想:

大切なのは、今回を教訓にしてセキュリティを強化すること。

疑問なのは、5月11日にクラックを発見してから5月14日の閉鎖までに3日かかったこと。
ウイルスを除去できていたのかどうかわからないが、サイトの訪問者を危険にさらしていたことは言い訳できないよな。
この点に関する議論が少ないような気がするのだが。

最高のセキュリティだと発言して、あとで訂正するはめになった対応はまずかった。
対応の難しさを感じる。

あと、カカクコムが、あそこまでクラックされた原因を隠す理由がわからない。
別に公開義務があるわけじゃないけど、他社にとっても参考になると思うのだが。
隠すことでよけいに叩かれた感じがする。

 ITmedia 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
 http://www.itmedia.co.jp/news/articles/0505/25/news086.html 

 IT Pro カカクコムは情報をきちんと公開すべきだ
 http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050525/161530/

 カカクコムがサイト再開、依然残る多くの疑問
 http://www.atmarkit.co.jp/news/200505/26/kakaku.html

 「過失はない」としながらも不正アクセスの詳細の言及は避ける〜カカクコム
 http://internet.watch.impress.co.jp/cda/news/2005/05/25/7754.html

 佐々木俊尚の「ITジャーナル」 波紋を広げるカカクコム問題
 http://blog.goo.ne.jp/hwj-sasaki/e/9a15ede9f142fd281e16ce5a01a5241d

 カカクコム続報 実はサイバーノーガード戦法? 最大の問題は無知の脆弱性
 https://www.netsecurity.ne.jp/1_2777.html

公開意味なしの意見も。個別の対応対応より、セキュアなサイトをつくれということか。
岡田さんは、サイトの閉鎖の遅れも問題と指摘されている。
 特定サイトのセキュリティ被害の詳細情報は必要か
 http://japan.cnet.com/column/pers/story/0,2000050150,20084011,00.htm
 

評価できる点もある。発表した経過をきちんと残していること。
たいていの会社はお詫びの発表などをしばらくすると削除してしまうが、不信感を増大させかねないので、このように残しておくべきかと。

【重要なお知らせ】状況のご報告(履歴)
http://www.kakaku.com/info/200505/rireki.html

カカクコムのウイルス関連情報
http://www.kakaku.com/info/200505/antivirus.html

復旧スケジュールのご案内
http://www.kakaku.com/info/200505/schedule.htm



結局クラックの原因はSQLインジェクションだったのだろうか?
朝日だけが報道しているのだが、本当かどうかは確認しようがない。

 asahi.com データベースを攻撃、外部から支配 カカクコムHP事件
 http://www.asahi.com/digital/internet/TKY200505230341.html

私は不勉強でこの記事を読むまで、SQLインジェクションという言葉を知らなかった。

 HOTFIX report SQLインジェクション(SQL injection)
 http://www.hotfix.jp/archives/word/2004/word04-15.html

 IPA ISEC SQL組み立て時の引数チェック
 http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html

 PHP SQLインジェクション
 http://php.liukang.com/manual/ja/security.database.sql-injection.php

 愛の死体安置所 SQLインジェクションFAQ
 http://lovemorgue.org/modules.php?name=Content&pa=showpage&pid=72

 IBM セキュアなプログラマー: 安全にコンポーネントを呼ぶ
 http://www-6.ibm.com/jp/developerworks/linux/050311/j_l-calls.html

入力値のチェックをしていないと、データベースを好きなようにいじられてしまう。
対策は、不正な入力値をとりのぞいたりエスケープすること、SQLのパラメータをシングルクォートでくくることもしておくなど。
ということらしい。3年ほど前にそんなことを勉強したおぼえが・・・。

ほとんどのWebサイトで脆弱性を抱えているという話もある。
カカクコムは他人事じゃないってこと。

 ITmedia 言葉は知られていても危険性までは認識されていない「SQLインジェクション」
 http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html
ラックの調査では「ほとんどすべてのWebサイト」が、また三井物産セキュアディレクション(MBSD)の調査によれば94%ものサイトが、Webアプリケーションのセキュリティに関して何らかの問題を抱えているという。
住商エレクトロニクスのセキュリティコンサルタントである笠原謙氏は、6月3日に行われた情報セキュリティセミナーの中で、「調査対象の60%以上にSQLインジェクションの脆弱性があるという数字があるが、私自身の感触ではもっと多いかもしれない」

Webサイトの管理者は、セキュリティ・チェックしとかないと痛い目にあいそう。
posted by 端っこなひと at 05:12| Comment(0) | TrackBack(1) | 情報セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/4867570

この記事へのトラックバック

MMORPGリネージュ2 ログイン障害発生
Excerpt: [重要] サーバー障害について 下記内容でサーバー障害がございました。 ○対象と時間    s172サーバー  2006年12月11日午前1時??午後11時頃   ○内容  ..
Weblog: 猫城blog
Tracked: 2006-12-18 00:33