パスワードを忘れた? アカウント作成
326211 story
セキュリティ

巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に 308

ストーリー by hylom
こんな人がいることを初めて知りました 部門より

あるAnonymous Coward 曰く、

「巫女SE」として一部の/.Jユーザーの間で になったn_ayase氏(氏のTwitter)が、派遣先で試験を行ったシステムに深刻な脆弱性を発見、独断でシステムを停止させてあわや警察沙汰になるところだったそうだ。

詳細はTogetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」Togetter - 「巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話」にてまとめられているが、n_ayase氏がとあるシステムの調査を依頼されてペネトレーションテストを行ったところ、コードが断片的にしかないうえにパスワードやクレジット情報が平文でDBに保存されており、漏洩の可能性も考えられる危険な状況だったらしい。このシステムは実際に稼働していた状態だったため本人の独断でサービスを停止した結果、威力業務妨害として警察が呼ばれるという状況になったそうだ。

しかし、n_ayase氏がTwitterにつぶやいていた一部始終を派遣先の社長がたまたま見ていたらしく、その社長が状況を把握して理解を示したことで状況は収束、結局警察沙汰にはならず、n_ayase氏が続けてシステムの調査やセキュリティ対策を行うということになったそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • むしろ、 (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2011年05月16日 16時50分 (#1953164)

    職務の内容を気軽にtwitterに書いてしまう本人と派遣元に引く。

    • Re:むしろ、 (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2011年05月16日 17時10分 (#1953186)

      私も同業(?)のセキュリティ調査関連の仕事をしていますが、
      システム停止以前に業務内容をtwitterに流すなんて信じがたい行為です。

      これは停止しないとまずくないか!?というような脆弱性、バグも多数目にしますが
      止めるどころか関係者以外に語ることすらできないものなんですが。

      親コメント
    • by Anonymous Coward on 2011年05月16日 17時21分 (#1953198)
      まず、サーバーを連絡もせず独断で停止するのはおかしい。
      当初は「調査」のみを依頼されていたわけで、「修正」などの依頼を受けたのは事件後である。
      権限のある人に連絡してから停止するのが常識では。
      勝手に停止すれば業務妨害になるのはあたりまえだと思うのですが・・・・。

      案件が無事終わってからならともかく、現在進行中の業務の企業の脆弱性をtwitterに書くのはどうかと思う。
      匿名とはいえ特定されかねない情報が含まれているので、それこそ守秘義務違反に問われかねないような・・・。
      親コメント
      • by elderwand (34630) on 2011年05月16日 17時51分 (#1953225) 日記

        あくまでもこのケースに限ってですが、

         誤:サーバーを連絡もせず独断で停止するのはおかしい。
         正:サーバーを連絡もせず独断で停止するのはおもしろおかしい。

        ま、一般論としては皆様の御説のとおり。/.J に話題提供の n_ayase 嬢に乾杯!

        親コメント
      • > まず、サーバーを連絡もせず独断で停止するのはおかしい。
        > 当初は「調査」のみを依頼されていたわけで、「修正」などの依頼を受けたのは事件後である。
        > 権限のある人に連絡してから停止するのが常識では。
        > 勝手に停止すれば業務妨害になるのはあたりまえだと思うのですが・・・・。

        契約的に正しいかどうかというてんではこの内容は正しいが
        その契約に記されている手順が妥当であるかどうかという点に
        おいては違うと思う。

        福島第一原発で事故を起こした原子炉の同型機がアメリカで
        稼動している。福島第一原発ではベントを行うには政府の許可や
        経営者判断が必要だったようだがアメリカでは違う。

        炉内圧力が一定の閾値を越えた場合、現場判断で行うように
        なっている。

        本当に情報漏洩をおそれるならば上に挙げた例と同様に
        経営者に報告する前に現場判断でシステムを停止できる
        ようにすべきだ。

        親コメント
    • Re:むしろ、 (スコア:3, すばらしい洞察)

      by hoihoi-p (5571) on 2011年05月16日 17時43分 (#1953216) 日記

      twitterに書いた時点で、守秘義務違反。おまけに、なんの報告も無しにサーバを止めるなんて。
      理解できない。

      --
      hoihoi-p  得意淡然、失意泰然。
      親コメント
    • Re:むしろ、 (スコア:2, すばらしい洞察)

      by clay (41656) on 2011年05月17日 10時42分 (#1953662) 日記

      >職務の内容を気軽にtwitterに書いてしまう本人と派遣元に引く。

      内容以前に仕事中にtwitterしていて良いのか?

      #こんな時間に/.に書き込むオレが言う

      親コメント
  • 警察沙汰は回避したが (スコア:5, おもしろおかしい)

    by nenaaki (37609) on 2011年05月16日 17時07分 (#1953182)
    スラッシュドット沙汰になっている。
  • まあ実際のところ (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2011年05月16日 17時36分 (#1953211)

    本人の実在はさておき、どこの会社の何てシステムが止まった、とか、そういうのが表沙汰になってない以上、
    「このTwitはフィクションです」であってもおかしくはない、とおもう。

     テスト業務に理解のある社長とか、テスターをかばう営業とか、そんなのはフィクションです!フィクションに決まってます!(ぉぃ

  • by Anonymous Coward on 2011年05月16日 19時38分 (#1953334)
    なんか、先に上司に報告すべきとか、システム止める前にセキュリティーホール公表するなとか、内容読めばわかる間違いの批判がめちゃくちゃ多い・・・ ソース嫁ソース。
  • by masakun (31656) on 2011年05月14日 14時11分 (#1952144) 日記

    巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。

    http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]

    「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。

    http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]

    客先はもともとITとは関係ない会社で、その専務も部長に「なんかセキュリティやばいらしい」と言われて「アンチウィルスいれとるから大丈夫だろ」ぐらいの認識だったそうです

    元凶は専務さんでしたか。それにしても社長さんがどじっ娘に理解ある方でよかったですね(違)

    --
    モデレータは基本役立たずなの気にしてないよ
    • by Anonymous Coward on 2011年05月16日 17時15分 (#1953190)
      普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には
      対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
      といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。

      情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
      ところとか、もうアホかと。

      ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
      知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
      それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

      社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?

      刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
      嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
      のではないだろうか。

      私には専務が正しくて社長は早まったとしか見えない。
      この巫女、今後も図に乗るかもよ。
      少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
      親コメント
      • by Anonymous Coward on 2011年05月16日 17時27分 (#1953204)

        社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?

        刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
        嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
        のではないだろうか。

        時期的に社長の脳裏にあったのは、ソニーなんでは?
        セキュリティに対しては対応を間違ってはイケない、と。
        しかもTwitterで呟くの知ってるんだから叩くと更なる被害をもたらしそう、だと。

        私には専務が正しくて社長は早まったとしか見えない。
        この巫女、今後も図に乗るかもよ。

        専務も社長も正しいと思うよ。
        ムチと飴で、この後社長から「こういうことは二度としないように」と言えばいいんだよ。
        もちろん、次からはこの会社に発注しないでしょう。
        経緯を知った別の会社も避けるでしょうね。
        しばらくすればTwitterに業務内容を呟くことが何を意味するか勉強ができるはずなので
        巫女にとってもいい事かと。

        親コメント
        • by Anonymous Coward on 2011年05月16日 18時44分 (#1953276)

          しばらくすればTwitterに業務内容を呟くことが何を意味するか

          この批判が結構多いみたいだけどさ、糞ソース見つけた!とか会社のシステムが脆弱性だらけで泣きたい!とか、その程度のことが業務内容の漏洩に該当するってどんだけ低レベルよ。
          (会社が特定できてしまうとか、見る人が見ればわかるビジネスロジックだとかならともかく。)

          そんなことを漏洩だと騒ぎ立てる前に、何が漏れては不味い情報なのか?どこをガードしなければならないのか?をちゃんと考えて線引きすべきだろ?
          これは個人情報、これは業務知識なので守らなくてはいけない。これは業界の一般話、とかさ。

          # Twitterだと、過去の発言と照らし合わせて特定できるのでは?という考えはあるだろうが、とりあえず今回の発言だけを見てレス。

          後、今回の話は確かに会社員としては問題がある行為だとは思うけど、「会社が生肉を雑に扱っているのを見つけてしまいました」というのと同じような事象として考えると、個人としては正しいと思う。
          会社員としては、上司に報告して対策してくれなかったらお手上げ、が正しいだろうけど、それって人として正しいことなのかと。
          この判断は、それはそれで立派なものだと考えますよ。

          # ただし、人として正しかろうが会社として正しくないので干される・・・という判断は否定できないが(--;
          # まあそれでも見過ごせなかったのでしょうね。

          親コメント
          • ジェットコースターの非破壊検査を受託してクラック見つけて「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に、「判断は俺のペイのうちには入ってないから無視。友人にはあの遊園地は行かないように勧めるけど」ってのは、社会人としては問題なくても人でなしでしょう。
            んなもん、神代の時代から民草を導く神の仲介者である巫女さんが無視できるわけなかろう。
            データベースの中にクレジットカード情報と一緒に平文で書かれている名前は、タダのデータじゃなくて、その向こうに実在する人なわけだし。

            「あっぱれ!でも契約は契約だから罪に問われても仕方がないか。悪法も法だし」って感じられる人が少ないなら、内部告発が少ない社会なのもやむを得ないかなあと思う。
             # 社会人として正しければ他人が(会社ではない)被害を受けようが問題無いってのは、かなり訓練されてきてるよ。
             # まあ、アレをありのままを呟いているはずだというナイーブな人が多いのみると、2chの有名なセリフは真理だね:-P

            親コメント
      • 自分ならどうするか (スコア:4, すばらしい洞察)

        by neko.kotatsu.mikan (28931) on 2011年05月16日 19時03分 (#1953299)

        >普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には
        >対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
        >といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。

        そのとおりですね。
        でも今回はそのままサービス開始してしまうとその「脆弱性への対応」は
        できてなかったと思われるので、まず前提が違います。

        >情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
        >ところとか、もうアホかと。

        本件のサービス停止により「漏洩が防がれた」とされている情報は、
        tweetにあった「業務概要」のことではなく、
        当該業務を発注した会社のサービスを受ける「顧客の個人情報」ですから
        ひとまとめに評価しないほうが分かりやすいかと思います。

        >ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
        >知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
        >それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

        これもそのとおり。ただ、今回話題になっているのは
        サービス停止が必要、かつそれが指令系統上不可能だったら?
        ということのように思えます。

        >社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
        >刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
        >嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
        >のではないだろうか。

        全く違うと思います。
        そもそも、当該の会社の名前はtweetされていないのですから、
        仮に刑事告発したことで批判が集中しようが、
        誹謗中傷されようが痛くも痒くもないはず。

        それより、顧客の情報が漏洩してしまう方が恐ろしいと思うのです。

        >私には専務が正しくて社長は早まったとしか見えない。
        >この巫女、今後も図に乗るかもよ。
        >少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。

        それも理解はできるのでが、
        顧客の個人情報よりも自分の職務権限や業務手順を優先する発言にもとれてしまいます。
        「少なくとも自分が顧客なら、親コメのACさんが発注元の会社のサービスは受けたくない」と
        思う人も多いのではないでしょうか。

        会社経営者として、自分に逆らわない社員・請負はもちろん必要ですが、
        非常時には「会社の利益のために今何をすべきか」考えて
        臨機応変に行動してくれる人がありがたい。

        畢竟「同じ状況下で自分ならどうするか」が問われているわけですよね…。

        停止したことによる損害と、そのままサービスインしてしまった時の損害を比較して、
        件の社長さんは「自分ならサービス停止する」と思ったのだと思いますよ。

        親コメント
      • by 127.0.0.1 (33105) on 2011年05月16日 18時21分 (#1953254) 日記
        > ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
        > 知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
        > それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

        それをやった上で、
        >「来月頭の定例会議でサービス停止させて修正するかどうか決める」と言われて
        ということになったようなので、まぁ、そういう脆弱なシステムを作る会社は
        対応もそれなりに駄目駄目だということですね。
        親コメント
    • # どこにぶらさげるか迷ったのですがここへ

      つい最近サービスインしたサービスなんだろうと勝手に思っていたので
      この件は「褒められた行為ではないが心意気は評価はできる」と思ってたのですが
      去年の11月頃から稼働してるサービス [twitter.com]というのなら話は別。

      ・もう半年も動いてるサービスなら今更1日2日急いでもあんまり意味はない(漏洩してるとしたらとっくに漏洩しているハズ)
      ・専務の「来月の会議で検討する」は漏洩を軽く見たのではなく今更焦っても一緒だと考えたからではないか
      ・社長と個人的に相談して済むレベルの話ではないと考えたからこその「会議で検討」だったのではないか

      というわけで「現場に大迷惑をかけてまで緊急停止する意味はなかった」というのが今の評価です。

      #ソースコードのあまりのひどさにSAN値削られてまともな判断が出来なくなっていたというあたりは同情するw

      親コメント
  • by reo (4042) on 2011年05月16日 17時33分 (#1953207) 日記

    一人のつぶやきによる事象の描写しかないように思えるのですが、Togetter でまとめられている周辺の人々やはてブでコメント残している人の中の少なくない人々がその事象の実存を確信できているのか、僕にはよく分かりません。
    ある人が「おっと巨大隕石が地球に衝突するぜ」「俺の念動力で回避させたんだぜ」「地球は救われたんだぜ」とつぶやいたら、周囲の人々が「すげえ、地球が救われた」みたいな話になっているように感じられるのですが。例えばその人が世界的に定評のあるサイコキネシスの持ち主で幾度となく地球を救っていたら、ああなるほど、と信じられるのですけれども、n_ayase さんってそういう立ち位置を確立されている人なんでしょうか。

    --
    Hiroki (REO) Kashiwazaki
  • 2晩考えたんですよ。

    ビジネス的には、問題報告した事に対して、何時対処するか等の判断がしかるべきところが決定しているのであればその判断ミスに、報告者が付き合う必要ないわけです(報告自体に不備がなければ)。

    ぶっちゃけ。 今回の件が「是」なんて思われちゃ困るんですよ。
    まだまだ放置されているセキュリティのセの時も無かったような時代の。脆弱なウェブシステムの調査してもらった途端に、担当者の解決方法がシステムダウンという選択なんつーコンセンサスは、まぁ得られないでしょう。

    だけどまあ。エンジニアとして、どこまで出来るんだろうって、考えたんです。
    どこまでやって、それでもダメなら諦められるラインは、どこなんだろうかって。

    一応直訴できるような環境を、現場毎に、セコセコ作ってきた私ですが
    まあ……メンドクセー体制の会社さんというのもあるわけです。
    なので会社対会社の話も迅速に出来るように、
    自社の事務方やら上司やらと今以上に仲良くなっておこうと決めました。

    でもたぶん。諦めた後で問題になったら……。やっぱり嫌な気分になると思うんだ。
    でもその時は、その時考える。今考えても空転するから。

    [急募] クールでタフなビジネス精神。

    --
    ==========================================
    投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
  • 未だにSQL Injection (スコア:3, すばらしい洞察)

    by manmos (29892) on 2011年05月16日 18時33分 (#1953262) 日記

    うーん、わたしゃ、10年以上OCI/ODBC/Postgres(はここ最近)のプログラム書いてるけど、Prepare->Bind->Executeでしか書かないのが普通だと思うんだが。
    てか、sampleにそれしか載ってない。

    何をどうして、SQL Injectionされるようなコードがかけるのか?謎だ。

  • まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。
    もちろんリスクなり何なりを説明して納得して同意してもらえればいいにしても、今回のように緊急性を理解してもらえずに警察呼ばれて下手したら逮捕、システムは他の人間に再起動させられてセキュリティホールそのままという筋もありえなくはなかったわけで。警察に「これこれこういうリスクがありきわめて危険な状態だったのでシステムを落とした」と説明したところで、こういう場合で緊急避難が通じるかどうかと。

    まあそれより何より、今回は「ついったを監視するだけの簡単な取締役です」が偶然巫女テスターさん(17) [srad.jp]を救ったってのが。

  • kwsk (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2011年05月16日 16時51分 (#1953167)

    > 詳細はTogetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」や
    > Togetter - 「巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話」にてまとめられているが

    単なる寄せ集めでぜんぜんまとめる作業が行われていないものを「まとめ」と称するのはやめてほしい。

  • by Anonymous Coward on 2011年05月16日 17時31分 (#1953206)

    自分がサーバー止める権限があるかどうか考えなかったのかね。
    知識はあっても知恵がないパターンですか。

  • T/O

    --
    =-=-= The Inelegance(無粋な人) =-=-=
  • by Anonymous Coward on 2011年05月17日 16時56分 (#1953896)

    今回、本当に問題にしなければならないのは、
    スラドに記名ユーザとして書き込んでいると、スラド外での私的で主観的な書き込みを事前の連絡もなく晒される
    という前例を作ってしまった事では無いかと。
    しかも
    ・たれ込み者のモラル
    ・掲載者のモラル
     というバリアを通過した上、
    ・殺到する無責任で的外れな批判に対応する手間を取らせる
    掲載によって発生する相手方(しかも個人で私人!)への負担に責任を負わない [twitter.com]と曰う
     など、ぶっちゃけ2chと同レベル(バリアがあることを思えばそれ以下)になっちゃてます。

     これでもう、スラドにユーザ登録して記名で書き込みしようなんて考える人はいなくなるでしょう。

     登録ユーザだから、スラド内で有名だから許される的な、歪んだ身内意識がなせる業なのでしょうか。スラド内での偏狭な認識を別の場所にまで持ち込んでちいちいぱっぱするのはやめてもらいたいものです。

  • by Anonymous Coward on 2011年05月16日 17時25分 (#1953203)

    「なれる!SE」の第二巻のクライマックスがまさにこの対応(予告なしの本番系ダウン)でした。
    まあ、あっちはバックアップ系が正常で、切り替えに失敗していたのを強制的に切り替えた処置ですけど。

    #IT業界なのに女性就業率が高いのが不思議なラノベ。
    ##巫女SEが5巻で登場するのを期待してAC。

  • by Anonymous Coward on 2011年05月16日 17時51分 (#1953223)

    リアルタイムに公開(Twitter)しちゃうと、言い訳優しい嘘を見繕う暇がないですよね。
    ペネトレーションテストしてたなら、「haltできるかどうかテストしました」とかなんとか。

    テスト項目は当然用意していたとは思いますので、テスト項目外のテストをすることが可とされるかどうかという問題もありますが。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...