パスワードを忘れた? アカウント作成
11745466 story
セキュリティ

FACTA、今度は政府機関にサイバー攻撃を仕掛ける 50

ストーリー by hylom
調査と称すれば何をやっても良いわけではないのですが 部門より
insiderman 曰く、

先日、「とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた?」という話があったが、この「ハッキング調査」を行ったFACTAが、今度は政府機関に対しても同様に「調査」ということでサイバー攻撃を行ったそうだ(FACTA ONLINE)。

一部からは「調査が過激すぎる」との声も聞こえたが、被害が深刻化するサイバーリスクに目を向けさせるためには、これくらいの「劇薬」は必要だろう。

とFACTA側は主張しているが、/.J過去記事でも議論になっているとおり、調査目的であろうが相手の同意なしにサイバー攻撃を仕掛けるだけでも犯罪行為と認識される可能性がある。また、相手側に事前の準備がない場合、攻撃で実際に何らかの被害が発生する可能性もある。今回は相手が政府機関ということで、告発されてもおかしくはない気もするが……。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年11月29日 2時10分 (#2719396)
    前回の企業に対する「調査」で、うちの会社のシステムに「脆弱性がある」とされました。
    しかし、確かに脆弱性を持つバージョンのソフトを使ってはいましたが、ソフトの開発元が提示した回避策を講じていたため、脆弱性は存在していなかったはずです。
    (いろいろあってソフト自体をバージョンアップできていなかったのはこちらの落ち度ですが)
    本当に攻撃していればそれがわかったのではないかと思いますし、IPS等のログにもそれらしい形跡は残っていませんでした。
    つまり、少なくともうちに対する「調査」はバージョン情報の確認程度だったのではないかと推測しています。
    しかし逆にその程度の「調査」で「脆弱性があるシステムを放置している」と勝手に報道するFACTAと「調査」を請け負った某社には腹立たしい限りです。
    そして前回で注目を浴びて味を占めたので今回、さらにターゲットを拡大したのでしょう。
    本当に「攻撃」したのであれば不正アクセスで、適当な「調査」で事実確認もいい加減なまま好き勝手に書いているのなら名誉毀損か偽計業務妨害あたりでしょっ引かれてほしいと思います。

    #さすがにACで
  • by Anonymous Coward on 2014年11月28日 19時00分 (#2719231)

    セキュリティ対策をちゃんとやっていて、監視も管理もきちんとやっているサイト側から考えると、こういう勝手なセキュリティ診断はとても迷惑です。
    きちんとやっているところほど、攻撃があったら破られてはいなくても調査や防御を実施したり、万が一被害が発生してはいないかシステムのチェックを行います。
    程度にもよりますけどね。

    だから、無駄な業務を増やしてしまう結果になるので、FACTAみたいに身勝手な自己満足のために、勝手に攻撃を加えないでほしい。
    もはや業務妨害。

    • by Anonymous Coward on 2014年11月28日 22時38分 (#2719330)

      対策を的確に計画・実施している企業であればあるほど、攻撃が来ても問題ない運用体制になっているんじゃないの?
      攻撃はいつ来るか分からないわけで、いざ来た時に四苦八苦し業務レベルが低下するようでは対策が十分とは言えない気がする。

      # 実際にはコスト云々のしがらみで困難だとは思うけど。。。

      親コメント
      • by Anonymous Coward on 2014年11月29日 6時09分 (#2719406)
        >問題ない運用体制になっているんじゃないの?

        そうじゃない。
        侵入した(しようとした)痕跡があれば、本当に被害があったかなかったかを精査するでしょ。

        被害や実害が発生しているかどうかはあくまでも結果でしかなくて、攻撃の痕跡があるだけでも業務が増えるんですよ。
        攻撃が増えれば、少なくとも情報セキュリティを担っている部署では業務負荷は増えます。
        その繰り返しでセキュリティを強化維持してるんだから。
        親コメント
        • by Anonymous Coward

          その精査や事後対応も、生じるであろう非定常の運用業務として含めているか否か、
          効率化等の改善を図っているか否かっしょ。どこまで対策をしているかって。

          • by Anonymous Coward

            そこまで加味されていても、こういう攻撃を受けたら被害になるから辞めてくれ、って話でしょう。
            理のないクレーマーと一緒。

        • by Anonymous Coward

          その様子だと本当に問題がなかったとしても攻撃があっただけで毎回始末書書かされてるな
          ご愁傷様としか言いようがない
          いくら頑張っても会社からまるで信頼されていない仕事ってつらいよね

      • > 対策を的確に計画・実施している企業であればあるほど、攻撃が来ても問題ない運用体制になっているんじゃ ないの?
        > 攻撃はいつ来るか分からないわけで、いざ来た時に四苦八苦し業務レベルが低下するようでは対策が十分とは 言えない気がする。

        他の業務もやっていて、攻撃を受けたらそっちにてが回らないというなら、確かに十分な対策とは言えないと思います。

        でも、例えばその攻撃によってセキュリティ事案対処のリソースが6割拘束されて、残りの余裕が4割になったとき、
        「他業務に影響がないから問題ない」とは言いません。
        同時に複数の事態に対処する余裕をとるためにリソースを積み増すかの検討を含めてエスカレーションすることになるかと

        親コメント
    • by Anonymous Coward

      >攻撃があったら
      あまりWebについては詳しくないのですが、それってログ等で攻撃を見つけるものなんですかね?
      もしFACTAの報告で攻撃があったか判断するだけなら、その批判は筋違いな気もしますが。
      (悪意のない攻撃をしたという報告に対応するのは、悪意のない通常アクセスをしたという報告対応するようなもの)

      しかし、劇薬すぎる気は確かにする。

      • by Anonymous Coward

        世の中には攻撃を検知する機械があってだな、、、

      • by Anonymous Coward

        詳しくないと自認しながら勝手な仮定を正しいと信じるあなたの神経が信じられない

      • by Anonymous Coward

        仰るとおりログ等で攻撃を自動的に見つけるので、それが悪意があるとかわかりませんし、分かる必要もありません。

  • by Anonymous Coward on 2014年11月28日 19時20分 (#2719252)

    ずいぶん前に一番過激なセキュリティ論としてそれどうなのと話題になったけど、そろそろ「反撃するセキュリティシステム」を実装してもいいかもしらんね。
    攻撃しかけてきたら身元情報を引き出すべく攻撃し返すとか。不正なリモートリクエストに対するレスポンスにとんでもない爆弾で返すとか。

    • by Anonymous Coward on 2014年11月28日 19時38分 (#2719262)

      詳しくはないけど、攻撃する側は身分を詐称してくるからテンプレ自動反撃なんかしたらかえって
      それを利用されて加害者に仕立てられるってきいたよ。大丈夫?

      親コメント
      • by Anonymous Coward

        詳しくはないけど、大丈夫。

  • by Anonymous Coward on 2014年11月28日 19時42分 (#2719266)

    by フィリップ・マーロウ

    この場合、FACTAはサイバー脆弱性の「調査」をされても文句は言わないんですよね?

    • by Anonymous Coward on 2014年11月28日 20時40分 (#2719288)

      不正アクセスにならない範囲でちょっと叩いてみた。

      $ w3m -dump_head http://facta.co.jp/ [facta.co.jp]
      HTTP/1.1 200 OK
      Date: Fri, 28 Nov 2014 11:36:02 GMT
      Server: Apache
      X-Powered-By: PHP/5.1.6
      Connection: close
      Content-Type: text/html; charset=none

      うーん、PHP 5.1.6。RHEL5かな?
      ちゃんと最新RPMに入れかえてるならいいんだけど。
      AddDefaultCharset none というクソ設定はやめましょう。

      $ dig facta.co.jp ns +short
      leo.qnote.co.jp.
      libra.facta.co.jp.
      pisces.qnote.co.jp.
      virgo.qnote.co.jp.
      $ dig @virgo.qnote.co.jp ch txt version.bind +short
      "9.7.0-P1"

      bind9.7 は脆弱性の塊ですね。
      とっくの昔にディスコンになってて、
      穴が見つかってももはやアナウンスすらされません
      https://kb.isc.org/article/AA-00913/0/BIND-9-Security-Vulnerability-Ma... [isc.org]

      $ dig facta.co.jp mx +short
      10 mail.facta.co.jp.
      $ telnet mail.facta.co.jp smtp
      Trying 49.212.20.132...
      Connected to mail.facta.co.jp.
      Escape character is '^]'.
      220 leo.qnote.co.jp ESMTP
      ehlo hoge
      250-leo.qnote.co.jp
      250-STARTTLS
      250-PIPELINING
      250-8BITMIME
      250-SIZE 10000000
      250 AUTH LOGIN PLAIN CRAM-MD5
      quit
      221 leo.qnote.co.jp
      Connection closed by foreign host.

      メールサーバはTLSに対応してるようですね。
      この応答はqmail+TLSパッチに見えますがちょっと自身なし。

      $ openssl s_client -connect mail.facta.co.jp:25 -starttls smtp
      ...
      verify error:num=18:self signed certificate
      ...
      verify error:num=10:certificate has expired
      notAfter=Mar 13 13:46:45 2012 GMT

      期限切れの自己署名証明書…。

      親コメント
    • by Anonymous Coward

      ゼロの台詞だと考えていた.恥ずかしい.

    • by Anonymous Coward

      関連リンクの「無料メールサービスへ不正侵入した朝日・共同新聞記者、不起訴処分に」の例から
      類推すると、マスコミの取材の一環として行われた犯罪は、
      「軽度」と判断されれば警察が黙認してくれるそうです。

      #あとは軽度と判断してもらえるように、山吹色のお菓子をデスネ(ry

      • by Anonymous Coward

        まさにこれが問題で、刑事告発なり不起訴不当なりをしておくべき案件だったかと。

        • by Anonymous Coward

          憲法が蔑ろにされてる国で建前気にしても時間の無駄たよ。

      • 企業がアクセス→なにもなし
        個人がアクセス→逮捕

        身分だなあ。さすが中世。

  • by Anonymous Coward on 2014年11月28日 18時44分 (#2719221)

    犯行を認めてるんだから

  • by Anonymous Coward on 2014年11月28日 18時57分 (#2719230)

    >相手の同意なしにサイバー攻撃を仕掛ける
    相手の同意のあるサイバー攻撃の方が、少ない気がするけど。
    (依頼したアタックテストは別として)

    • by Anonymous Coward on 2014年11月28日 19時38分 (#2719261)

      岡崎市立中央図書館 「了解を取らずアクセスしたことが問題」
      こうですか?分かりません!

      #一方でTwitterは、「バルスは好きなように楽しんで下さい」みたいなメッセージががが。

      親コメント
      • by Anonymous Coward

        いまからアクセスしますよーって電話してから使えばよかったのですかね?

  • by Anonymous Coward on 2014年11月28日 19時11分 (#2719240)

    日本人は平和ボケだからアレだけど。
    脆弱なとこがあるから付け込まれるんですよね。
    だったら穴塞げば?と昔は言われたでしょ?

    • by Anonymous Coward

      利用者にとっちゃ便利な存在だな
      点検して回ってくれるんだし
      公言してるFACTAを警察は泳がしてればいいし
      いつでも足切れるしな

  • by Anonymous Coward on 2014年11月28日 19時14分 (#2719242)

    Office事件を知らな人が増えた今となっては、サイバーリスクに目を向けさせるためには、「劇薬」は必要かもわからんね。
    警察は岡崎図書館事件ではなく、こういう案件にこそ本気になるべき。

    • by Anonymous Coward

      「劇薬」なんてかっこよさげな言葉を使うから、こうやって乗せられる人も出てくる。

      • by Anonymous Coward
        じゃあ、「危険薬(ドラッグ)」で
      • by Anonymous Coward

        親コメの文意わかってるんかな?

        • by Anonymous Coward

          確かに。
          「FACTAがバカな調査をやった」という劇薬だよな。

    • by Anonymous Coward

      >Office事件を知らな人が増えた今となっては、サイバーリスクに目を向けさせるためには、「劇薬」は必要かもわからんね。
      そうですね。
      知らなかった、では済まされないことがあるということをわからせるために、
      FACTA編集部の代表に実刑を与えるべきかと思います。

      スマイリーキクチ中傷、グロウビート中傷の例のように、知らなかった、正義だと思っていた、では済まないのだということを知らしめるべきかと思います。

  • by Anonymous Coward on 2014年11月28日 19時43分 (#2719267)

    鍵がかかっているか片っ端から確認して回る行為もまた問題

    • 家よりもお金が入った金庫のほうがしっくりきます。
      今回の場合に当てはめると、鍵がかかっていない金庫が多いという警鐘を鳴らす意図でハンドルを回し、中のお金は取らず、実際に警鐘を鳴らしました。
      お金を盗んでいないという事実は、他人の財産の保護という点では違法ではないのでしょう。
      でも、どんな意図があるにせよ、他人の金庫のハンドルを回す行為は、金庫に入れておけば(防御装置を設置していれば)安全だという社会的な期待(=電気通信の秩序)を侵害していると言われてもしかたがないことだと思います。

      実際のところはどんな攻撃をしたかによって、不正アクセス禁止法で規定している犯罪類型に合致するかどうかが決まるのですけれども、きっとそれは不正アクセス禁止法の趣旨からは認められない行為だろうなと推測しています。
      ていうかそんなバカな真似はやめろ。

      親コメント
      • by Anonymous Coward

        人の敷地内に入ったり覗いたりしても犯罪が成立しますが?

    • by Anonymous Coward on 2014年11月29日 2時00分 (#2719393)

      といっても、ポートスキャンや 脆弱性スキャン(ex. ShellShock スキャン)なんて
      サイト動かしてれば山のように来るから、IPS入れてても黙って弾いてアノマリ扱いにならない。
      個人的には ShellShock のスキャンでも、echo vulnerable するだけなら違法とも職業倫理に反するとも言えない。
      SQL injection も、認証が不要な範囲で試すことは出来るでしょうし。

      個人的に許されない範囲は法律的に明らかな違法である
      許可・認証が必要な領域に、それらを飛ばして入ったりする行為ですかね・・・。
      また、第3者がShellShock 脆弱性があると確認するために echo vulnerable するのと、
      cat /etc/passwd するのでは、後者には悪意があると判断します。

      世の中には、たとえば ssh をスキャンして同じ鍵が使われている!っていう論文
      https://www.usenix.org/conference/usenixsecurity12/technical-sessions/... [usenix.org]
      が あるけど、これも脆弱性の確認行為ではある。
      個人的にはこの程度のことをサイバー攻撃だ許すな、など騒ぐ時間があれば、
      もっと対策に力を入れてほしい。

      まぁ、FACTA記事がどの程度の攻撃をしているかわからんので、この文章も的外れかも知れないけど。

      親コメント
  • by Anonymous Coward on 2014年11月29日 0時05分 (#2719360)

    政府相手だからセーフ

  • by Anonymous Coward on 2014年11月29日 0時28分 (#2719372)

    朝日新聞や共同通信のクラッキングを不起訴にしたから、今回のFACTAの様な連中が沸いて出る。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...