パスワードを忘れた? アカウント作成
333723 story
セキュリティ

RSA の技術情報漏洩、SecurID 交換へ 35

ストーリー by reo
影響範囲と深刻度がでかすぎる 部門より

774THz 曰く、

今年 3 月に RSA はクラッキングを受けてシステムに侵入されたのだが (本家 /. 記事) 、この際に盗まれた技術情報が実際に使用されたことが判明したため、世界で累計 4000 万台出荷されている SecurID ハードウェア・トークン交換という事態になるようだ (THE WALL STREET JOURNAL の記事日本経済新聞の記事Help Net Security の記事本家 /. 記事より) 。

実際に使用された事例というのが先日 /.J の記事にもなったロッキード・マーティン社への攻撃。本家 /. 記事では攻撃直後に既に RSA への侵入との関連が報じられていた。業界的には PSN の一件以上のショッキングな事件ではないだろうか ? 日本でも金融、証券関係などのシステムにも用いられていたはずなので、どこまで影響が及ぶのか気になるところである。

RSA はこの件に関して原則無償の SecureID 交換、あるいは認証手続きの強化で対処するとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年06月08日 10時55分 (#1966670)

    EMC から訂正が出ています。
    http://japan.rsa.com/node.aspx?id=3874 [rsa.com]

    1. 「端末4000万台交換へ」 → 全数交換するということではありません。
    2. 「交換は原則無償だが、一部費用の負担を求める場合もある」 → 費用については一切言及しておりません。
    3. 「米セキュリティ対策大手RSAセキュリティは」 → 正式名称は RSA, The Security Division of EMC です。

    # 何をソースにして記事を書いたんでしょうか…(社名についてはたぶん ja.wikipedia.org)

    • 日経の「端末4000万台交換へ」はさすがに怪しいと思って、元のタレ込み文には入れてなかったのですが‥‥
      さすがに全顧客に対して共通のトークン生成アルゴリズムは使ってないでしょうね
      #会社名は確認忘れてました
      親コメント
      • by Anonymous Coward on 2011年06月08日 12時13分 (#1966746)

        WSJ の記事ではコビエロ氏へのインタビューをソースにしているようですが,
        こちらは「ほぼすべてのトークンの交換を申し出る」となっていますね。
        (口を滑らせたという部分もあるのかも。)
        「申し出るけど全部交換しないといけないわけじゃないよ,でも全部交換する
        くらいの対応はしたいと思ってるよ」という機微をうがつことが大事なんでしょうね。

        社名については,WSJ でも「米EMCの子会社 RSAセキュリティ」としていますが,
        EMC の名前が出ているので許容範囲なのかな。
        通称としては自身でも使っているので「RSA」で問題ないと思いますが,RSA
        アルゴリズムと混同されやすいので,記者が気を利かせたつもりだったのでしょう。

        親コメント
      • by Anonymous Coward
        全顧客に対して「共通のトークン生成アルゴリズム」を使っていますよ。

        だから大問題なんじゃ無いですか。
    • by Anonymous Coward
      そしてウィキペディアが日経新聞を「出典」として変な社名を正当化するんですね。なんというソースロンダリング
      • RSAセキュリティはEMCに買収される前の名前であって、古いだけで別に変な名前というわけではないですね。
        ただ単にウィキペディア(ja)の記事が更新されていないだけで、日経の記事を元にして正当化するなんて事も無いでしょう。
        通称ならばともかく、新聞記事を正式な名称の出典として使う事は通常はないですし、
        新聞記事を間違った社名の正当化に使う人がでても変な人として扱われるだけでしょう。

        親コメント
  • by Anonymous Coward on 2011年06月08日 10時24分 (#1966645)
    私の持っている限りでは、ジャパンネット銀行のトークンがRSAですね。
    まだHPにはなにもアナウンスは無いようですが。
  • オレオレ、RSAなんだけど (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2011年06月08日 10時25分 (#1966647)

    SecurIDがハクられちゃってさぁ、交換するから携帯電話を持って最寄りのATMまで…。
    え、本物のRSAなのかって? バカだなあ。そんなのSecurIDを確認すれば一目瞭然じゃないか。

  • by Anonymous Coward on 2011年06月08日 10時16分 (#1966641)

    選択肢のうちの後者に以下のがあります

    > 認証手続きの強化で対処する

    これって具体的にやれることって何かあるんでしょうか?
    OTPやられたってことは,なにかしらシード・ID情報が
    漏れてしまったと考えるのが妥当なんですよね?
    その場合はOTP以外を採用・追加する以外に
    出来ることってなにもない気がするんですが.

    ナニが漏れたのか公式には明らかでない状態のようなので
    まあなんともいえないのかもしれませんが

    • by Anonymous Coward
      他社のシステムを併用する、あるいは乗り換える。
  • by Anonymous Coward on 2011年06月08日 10時38分 (#1966657)

    それにしては技術情報漏洩とか変だなと思ったら
    スマートモバイル向けワンタイム・パスワードソリューションとかやっている、
    RSAセキュリティっていう会社なんだ。
    http://japan.rsa.com/node.aspx?id=1003 [rsa.com]
    そんな重要な会社がどうやって、システムに侵入されたんだろうか。

    • by doda (31157) on 2011年06月08日 11時04分 (#1966677) 日記

      挙げられているリンク先にも書かれていますが、RSAはEMCに買収されて、EMCの一部門になっています。
      そしてRSAのネットワークもEMCのネットワークに繋がったのだけれど、EMC側のセキュリティが甘くてそちらから侵入されたという事らしいです。

      親コメント
    • by nim (10479) on 2011年06月08日 17時45分 (#1966976)

      RAS暗号を開発したR(Ron Rivest)さんとS(Adi Shamir)さんとA(Leonard Adleman)
      さんが設立した会社ですね。意味は同じです。

      親コメント
    • by Anonymous Coward on 2011年06月08日 20時30分 (#1967050)
      RSAともあろう企業がお粗末ですわ。
      RSAがどのように攻撃されたかを説明 [blogspot.com]

      不用意に添付ファイルを開いちゃったんだって...
      親コメント
      • by Anonymous Coward

        一番の感想は、

        ま た A d o b e か ! !

        # AppleはもうすこしAdobeと殴り合いをして欲しかった・・・。
        # Apple沈んでも痛くはないし、Adobeは沈んだほうが世の為になるし。

      • by Anonymous Coward

        ソニーだってあの体たらくですから。
        「我が社のセキュリティは万全です(キリッ」→直後にまた侵入→最初に戻る
        繰り返しはコントの基本とはいえさすがにそろそろ飽きてきた

  • by Anonymous Coward on 2011年06月08日 12時12分 (#1966744)
    漏れたのはわかっていたのに実害が出るまで何もしないんだと、
    セキュリティの意味が無いように思うんだが・・・
  • by Anonymous Coward on 2011年06月08日 13時53分 (#1966826)

    WSJ [wsj.com]の方の記事のトークンを見て「101hLOL」と入力してはいけません。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...