パスワードを忘れた? アカウント作成
15363657 story
犯罪

取引先会社のサーバーに公開鍵を勝手に設定、不正アクセスし13時間サイトを閲覧不能に 108

ストーリー by nagazou
全国初 部門より
取引先企業のウェブサイトを閲覧不能にした疑いで男が逮捕された。容疑者は2020年3月8日、運営用サーバーに不正アクセスを行い、13時間にわたって閲覧不能にしたと報じられている。このとき男は端末側に秘密鍵、サーバー側に公開鍵を勝手に設定、外部から不正アクセスを行い閲覧不能にしたとしている。公開鍵認証の不正利用による逮捕者は全国初とされる。男と被害に遭った企業の間では、業務内容をめぐってトラブルがあった模様。なお本人は容疑に対して「思い出せません」と否認しているとのこと(毎日新聞FNNプライムオンライン)。

この件に関しては別の視点の報道も行われている。読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。なお、この男は6と7月にも同社のサーバーに不正アクセスしたとして逮捕されていたしている(読売新聞)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • スラドでは初コメで #4081028 のようにきちんと理解している人が居て安堵。

    読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。

    この意味を理解できない人達(Twitterのプロフでは技術系が多かったが)が新聞記者がおかしなことを書いているとして叩いていたが、実は記事は間違っていない。

    『男の端末では「IPv6」が使用されていた』という記事の表現も適格で大変素晴らしい。端末ではIPv6を使っていても、IPv4 over IPv6 IPoE方式でIPv4アドレスに変換されているので、会社側のサーバーからするとIPv4で接続されているかのように見える。

    IPv4 over IPv6の方式は色々あるのだけど、だいたい1つのグローバルIPv4アドレスを250人ぐらいで使うことが多い。
    家庭用ルーターのようなポートをランダムにしたNAPTだと負荷が高いので、契約者ごとにポート番号を250個ぐらい固定で割り当てる方式が多い。

    で、v6プラスなんかはそのグローバルIPv4アドレスが実質的に完全固定(固定を保証はしていなくても実質固定)解約まで変動しない。
    なので、サーバ側でポート番号のログをとっていれば、数年後であっても(回線を解約していなければ)特定が可能な可能性がある。

    一方、サーバ側がポート番号のログをとっていない場合、その時間帯にどういう接続があったかのログが無ければ特定できず、ISP側でのそのログの保管期間はそこまで長くない。

    本件だと、SSHサーバだと思うが、ほとんどのディストリの標準設定において、ポート番号のログはきちんととる仕様になっているので、ポート番号が記録されないというのは珍しい。
    ポート番号は不要だと思ってわざわざ設定変更してログキングしないようにしたか、古いバージョンのSSHDを使い続けている恐れがある。

    普通は
    auth.log:Jan 21 17:55:15 [ホスト名] sshd[26757]: Accepted publickey for [ユーザー名] from [IPアドレス] port 52228 ssh2:...
    みたいに記録される。

    一方、HTTPDやWebアプリケーションの対応は相当遅れている。
    Apache とかのHTTPサーバの生ログもデフォルトではポート番号記録していないし、Webアプリケーションのログに至っては、記録しているプログラムは極めてまれ。
    有名な掲示板CGI/phpなんかもIPアドレスしかとってないのが普通だし、スラドもポート番号まで記録しているのかな?

    ユーザのプライバシーを保ちたいならば今のところポート番号のログをとらなきゃ駄目というコンセンサスはない(とらなかったらプロバイダ責任制限法の免責が受けられないという判例はない)のでとらないというのも有り。逆に犯罪者を特定しやすくするために、ポート番号のログを取るという選択肢もありだと思う。
    しかし、何も考えずに「ポート番号のログはとらない」のがデフォルトだからとデフォルトの設定で使い続けるのではなく、HTTPD や Webアプリケーション(掲示板やメールフォームなど)で、ポートログをとることを検討しても良いと思う。

    • 何かが叩かれてると逆張りしたくなるのは病気ですよ、あなた

      記事は『IPアドレスの「規格違い」障壁』と書いてるけど、まずこれがおかしい
      そもそもサーバ側に記録されてるIPv4アドレスから男のIPv6アドレスを割り出す必要はない
      v4アドレスとポート番号とタイムスタンプから、その時間に条件に合う契約者を捜索するだけ
      だから『男の端末では「IPv6」が使用されていた』というのは全く必要ない情報

      必要だとすれば『共有v4アドレスが使われていた』という情報、これが重要
      共有v4アドレスだとポート番号が分からなければ契約者を一意に特定できない
      ところがそれが記事には書いてないからますますおかしいというわけ

      親コメント
    • by Anonymous Coward

      なんとなく、男の端末はデュアルスタックで、4to6to4だと思うのだが。
      そもそも、携帯電話とかCATVとかで、CGNな構成は多いのでかなり前からポート番号は採っておくべきなんだよね。

      • by Anonymous Coward

        デュアルスタックを「4to6to4」と表現するのはちょっと聞いたことないが
        それなら「6to6」か「4to4」の2通りなので報道とは一致しないことになる

        • by Anonymous Coward

          端末は良くてデュアルスタックで、通信の発端はIPv4だと思う。
          経路的にはIPv4-IPv6-IPv4をタイプが面倒で4to6to4と書いたのが誤りだった。すまぬ。

          • by Anonymous Coward

            う、うん? 真ん中のIPv6は何の機器を差してるのかニャ…?

            • by Anonymous Coward

              端末がPCか、ルータかで話が変わりそう。
              機器でなく経路。
              ブロードバンドルータとv6プラス間はIPv6だよね。

              • by Anonymous Coward

                仮にブロードバンドルータならRAやDHCPv6で端末にv6アドレス割り振るから
                (←端末)IPv6-IPv6-IPv4(サーバ→)になるはずで認識合わないよなぁと

  • by Anonymous Coward on 2021年07月30日 18時58分 (#4081028)

    後でログからプロバイダに開示請求できるようにIPアドレスとセットでソースポートも記録しておきましょうね~

    • by Anonymous Coward on 2021年07月30日 21時36分 (#4081158)

      Logging Recommendations for Internet-Facing Servers
      https://datatracker.ietf.org/doc/html/rfc6302 [ietf.org]

      Abstract

            In the wake of IPv4 exhaustion and deployment of IP address sharing
            techniques, this document recommends that Internet-facing servers log
            port number and accurate timestamps in addition to the incoming IP
            address.

      抄訳

      IPv4が枯渇しIPアドレス共有技術が展開された現在、この文書ではインターネットに面したサーバが着信IPアドレスに加えて、ポート番号と正確なタイムスタンプをログに記録することを推奨します。

      古事記(RFC)にもそう書かれている。

      親コメント
      • by Anonymous Coward

        これはこれは!
        2011年の古文書がまだ読める形で現存していたとは驚いたものじゃ

        だれか #4081158 にプラスモデしてやっとくれ

    • by Anonymous Coward

      opensslのバージョンが結構昔のヤツだったのかね。
      ポートがログに出てこないって。

  • by Anonymous Coward on 2021年07月30日 21時16分 (#4081147)

    個人事業主が請け負う小さな案件だと、

    1. 何らかのサーバに接続してやる業務を請け負う
    2. 任された業務完了後、すぐ直せるがほっておくと致命的な問題が生じる可能性がある欠陥があったことに気が付く
     (脆弱性とかバグとかその他)
    3. こういう時は先方に連絡すべきなんだけど、休日挟んでいるときとかだと連絡つかなったりするしまぁいいかとこっそりSSHで繋いで直す(特に脆弱性だとその間に攻撃される可能性もあるし)

    なんていうのは良くあることだったりするんですね。多くの場合、正攻法で連絡するより平和に解決するのです。

    でも、よく考えると 3. の時に何かミスってシステム止めちゃったら今回のような騒ぎになるかもしれないですな。

    本人は容疑に対して「思い出せません」と否認については、警察が思い出せないような細かなこと聞いただけかもしれないし。

  • by Anonymous Coward on 2021年07月30日 19時09分 (#4081038)

    会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。

    意味不明と思ったけど、transixとかv6プラスの事か?
    だとしたら、中々斬新な表現方法だな。
    間に別の会社が有った為に手続きが増えて面倒だった位だと思うのだが。

    • by Anonymous Coward

      IPv4 からだとモザイクかかって見えるんだよ。

  • by Anonymous Coward on 2021年07月30日 19時12分 (#4081041)

    そりゃ逮捕も当然だな

  • by Anonymous Coward on 2021年07月30日 19時13分 (#4081042)

    技術的なバックグラウンドを持たない新聞屋の記者に書かせると支離滅裂な記事になるという典型例。
    特定の新聞屋だけ狂ってるならそこを購読しなければいい話だが、毎日も読売もとなると手に負えない。
    記者のバイアスが掛かっていない生の警察発表情報をくれよ。あとはこっちで内容を噛み砕くから。
    なんで行政府にはそれができて、警察にはそれができないんだよ……。

    • by Anonymous Coward

      警察には秘匿したい捜査情報もあるはずだから、生の警察情報でも大して変わらない予感

      • by Anonymous Coward

        隠すのならまだいいんだよな。別の言葉に置き換えちゃうからわけがわからなくなる。

        • by Anonymous Coward on 2021年07月30日 19時31分 (#4081060)

          隠すのならまだいいんだよな。別の言葉に置き換えちゃうからわけがわからなくなる。

          こんなかんじでしょうか

          取引先に公開鍵を云々カンヌンその特定にIPアドレスを云々カンヌン

          ↓      自慰行為を取引先で公開→猥褻物陳列罪で逮捕
          ↓      ↑
          1Pを取引先で公開

          親コメント
    • by Anonymous Coward

      毎日新聞の記事書いた記者は安全なはずの公開鍵認証の欠陥が露呈した!って認識をしてそうな予感がする。

    • by Anonymous Coward

      と思うだろ?

      警察は色んな事情で最低限しか記者会見で発表しないんだよ。捜査機関なんで当たり前っちゃ当たり前だが。
      そこで、個人的なパイプや取材力を持つ記者がうまく聞き出すわけ。もちろん、ここはオフレコとか、ここはちょっとだけよとか、そういう微妙なところも信頼関係あって聞き出せる。

      それを部外者は何も知らないから、記者は無能だから、情報全部くれよ、みたいな頓珍漢な意見持っちゃう。

      世の中結構複雑なのよ。そこんとこちゃんと理解して。

      • by Anonymous Coward

        記者が無能なのは変わらない

        • by Anonymous Coward

          逆。有能だからこうなった。

          #4081057を百回ぐらい読むべし。

          • by Anonymous Coward

            本質的にIPv6関係ないのにIPv6ガーと書いちゃった無能記者ということは分かった

      • by Anonymous Coward

        そういう慣習を知らないわけじゃないけど、そもそも捜査情報のお漏らしとかダメでしょ。悪しき慣習を理由に変な用語しなくていいよ。

        • by Anonymous Coward

          s/用語/擁護/

        • by Anonymous Coward

          捜査機関はお漏らししないと仕事してないと思われちゃうから

          • by Anonymous Coward

            張り込み中にトイレ行くわけにいかないもんね

      • by Anonymous Coward

        オフレコを記事にするなよ。

      • by Anonymous Coward

        それは警察が最低限の情報すら出さない言い訳にならないから

    • by Anonymous Coward

      これで会社で「あなたは公開鍵を使ってますか」みたいなアンケート来るんやろな・・・
      はぁー

      >公開鍵認証の不正利用
      この書き方もどうなのよ。まるで公開鍵認証に不備があるかのような言い方。
      普通に「バックドアを設置した」でいいのに。

      • マスコミの記事を叩いてマウント取って、それより自分が上だと信じたいんだろうけど、
        マスコミの記事の方が正しく、お前さんの方が間違い。

        >公開鍵認証の不正利用
        この書き方もどうなのよ。まるで公開鍵認証に不備があるかのような言い方。
        普通に「バックドアを設置した」でいいのに。

        取引先企業のサーバに自己の秘密鍵に対応した公開鍵を登録したのは正当な行為でしょ。業務で使うために登録したんだから。
        「バックドアを設置した」はおかしい。公開鍵の登録自体が違法行為であるかのような印象を与える。

        その設置した公開鍵に対する「公開鍵認証」は、業務上必要な場合に限って許されるものだが、その範囲を超えて行ったから不正利用。

        つまり、記事の通りなのだよ。

        • by Anonymous Coward

          取引先企業のサーバに自己の秘密鍵に対応した公開鍵を登録したのは正当な行為でしょ。業務で使うために登録したんだから。

          そういう記事にない情報を捏造して無理擁護しなくていいから。

          > サーバー側に公開鍵を勝手に設定

          って書いてあるからね。

    • by Anonymous Coward

      手口を推測できない人に生の情報渡してなにか良いことある?

      • by Anonymous Coward

        手口を推測できない人の話を持ち出して何が言いたいの?

    • by Anonymous Coward

      逮捕した段階で社会的制裁が発生するよう色々記者にリークする手口 by警察

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...