パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は?」記事へのコメント

  • 現時点でも未だにウイルスの内容と感染者に対するさくらインターネットからの
    フォローや、ウイルスチェックのための特設ページや告知がないのは
    それらは各サーバー管理者がやるべきことであり、
    さくらインターネットは責任を負わないという風に見えるのですが
    規約や法律的に考えてどうなのでしょうか。
    クラッキングされたであろう該当サーバーや管理責任者も非公開なので、
    事業者間での損害賠償請求を推奨しているわけでもないようですし。
    • by Anonymous Coward on 2008年06月05日 19時10分 (#1357283)
      まず、さくらインターネットの専用サーバには、さくらインターネットの
      技術者がログインするためのアカウントがあります。
      そのアカウントには、root権限を持つものがあります。

      ARP Spoofingされるような乗っ取られようだと、第一被害サーバは
      root権限まで取られている可能性が高いです。
      すると、cryptされたさくらインターネットの管理用アカウントの
      パスワードが見れます。
      それをあとは解読した上で、他のサーバへアクセスすればroot権限を
      取れまくりという話ですね。

      さくらインターネットが、各サーバ一台一台の管理パスワードを
      変えていれば良いのですが。

      そういうリスクがあることを含めて、どのような手口で進入されたか、
      どこまで侵入されたのかを顧客に詳細を伝える必要があると思います。
      場合によっては全顧客のサーバで、さくらインターネットの管理用
      アカウントのパスワードをクリアするなどの処置が必要でしょう。

      親コメント
      • by Anonymous Coward
        えっと、それはつまり、ボクが専用サーバを一台借りてパスワード解析
        をすれば、他のユーザの専用サーバが何台でも使い放題って事ですね。
        • by Anonymous Coward
          はい、そうなります。
          ただし、さくらが同じパスワードを使いまわししていたらの場合です。
          あと、バレたらお縄になりますのでそれなりの覚悟は必要です。

犯人はmoriwaka -- Anonymous Coward

処理中...