アカウント名:
パスワード:
環境省だけの問題じゃなく、そもそも分かっているだけで同時期に国内少なくとも285サイトが同時に同様の感染をしている事例なので、こっち採用するくらいならタレコミ『「Darkleech Apache Module」に感染した日本のサイトにIEでアクセスするとマルウェア感染サイトに飛ばされる』 [srad.jp]を採用した方がよかったんじゃないかと思う。タイトルに「環境省」とか入ってなくてキャッチーじゃないとか言うなら(いつも通り)採用時に変えればいいだけだし。
生むそれは思った。技術的にもよりいいしね。
でも私は編集者じゃないんだ
環境省は週末からお知らせを出しているというのに、0day.jp のリストに載っている285件のほとんどのサイトは今週に入ってようやく止まったようだ。
ゆかしメディア [image.skr.jp]
現在メンテナンス中です。ご迷惑をおかけしますが、ご理解・ご協力のほどよろしくお願い申し上げます。
中津川市公式ウェブサイト [nakatsugawa.gifu.jp]
3月15日~3月18日の間、市公式ホームページを緊急メンテナンスのために一時的に停止しました。現在は再開し、通常どおりご利用いただけます。再開までの経緯 3月15日 市公式ホームページサーバが外部から書き換えられた可能性があると情報提供を受けた。 利用者の安全性を最優先にするため、市公式ホームページの公開を停止。 3月15日~3月18日 サーバのすべてのデータなどをウィルススキャンするなど調査を実施。 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。 更なる安全を確保するための対策を実施し、サーバを再構築して再開。
3月15日~3月18日の間、市公式ホームページを緊急メンテナンスのために一時的に停止しました。現在は再開し、通常どおりご利用いただけます。
再開までの経緯 3月15日 市公式ホームページサーバが外部から書き換えられた可能性があると情報提供を受けた。 利用者の安全性を最優先にするため、市公式ホームページの公開を停止。 3月15日~3月18日 サーバのすべてのデータなどをウィルススキャンするなど調査を実施。 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。 更なる安全を確保するための対策を実施し、サーバを再構築して再開。
あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
なお# 2346017 [srad.jp]で「この件IEだけ感染するようなので、またIEが叩かれてしまいそうだなぁ。」と書いてあるけど、Internet Explorer はトリガーになっているだけで、ブラウザ自体に罪はない。
> あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、怪しい400件から確定285件を絞り込んだものなので、リストには誤りがないと仮定するけど
> 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。> 更なる安全を確保するための対策を実施し、サーバを再構築して再開。
感染の対象モジュールが分からない程度の技術者が再構築しても、また感染するだけじゃないですかね?「確認されなかった」と言うからには、感染経路の特定もできていないだろうし。
> 0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、
()の中も読まないと日本語としておかしい文章を書くくらいなら最初から()抜きで書いて欲しい。
#って思っている人って少ないのだろうか。最近よくこういう書き方を見かける。
感染されてないのに、どうやって感染経路を特定しろって言うの?
「感染を確認していない(できない)」と「感染していない」の違いさえわからない馬鹿に理解できるよう説明することは不可能です。
なんの根拠もなく、ただリストアップされてるからって言うだけで、「感染している」と決めつけてるヤツの方がよっぽど馬鹿だね(笑)自らリストアップされてるサイトが全て感染してるって証明してから大口叩け
自分が馬鹿って自覚が無いヤツに聞いても無駄なのはわかってるから答えるなよ(笑)おまえ、第三者なのになんで「感染してる」って決めつけてるの?その根拠は?「リストに上がってるから」か?(笑)
中津川市は感染していたことがほぼ確定だそうですが。他の連中も推して知るべし、だな。
外部からの挙動で分かるものだったのに、それを認めることすらできないとか、良い迷惑なので公開サーバの運用に関わらないでくださいね^^
>中津川市は感染していたことがほぼ確定だそうですがこれってどこのソース?
> これってどこのソース?
https://twitter.com/h_okumura/status/313930866650918912 [twitter.com]
0dayの人のtwitter見れ。奥村さんと、市のサイト管理しているベンダー(?)の3者でやりとりしてるから。
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-k... [blogspot.jp]
他の人がコメントしてるけど、上のURLに詳細が書いてあるから読むとよいかと。
https://twitter.com/unixfreaxjp [twitter.com]
また『自身のホストで発見できない』と言っている人とのやりとりを見るに、「そもそもホスト名のリストアップを間違えた」みたいなポカミスでもない限り、『発見できた』の方を信用するのが妥当と考えます。
そのURLのサイトは見ました。
>【感染状況の説明】>その285件のサイトにアクセスしたら、どんな転送動きになるのか説明します↓>例えば一覧にある「www.systemmetrix.jp」ドメインですね、ウェブサイトをInternet Explorerでアクセスしたら、下記のキャップチャーデータとなります↓(以下略)アクセスしたパソコン側の動きは詳しいですが、サーバをどうやって400件以上もリストアップして285件が感染していると確認したのかなぁ?
リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。
むしろ、各サーバの担当者がどうやって感染していないことを確認したかでしょう。virus checkしましたではダメなことくらいはわかってて書いてるんですよね?
感染されていたことは確認できるとしても、恥を忍んでお聞きしますが、「感染されていない」ことをどうやって証明(信用してもらえば)したらいいのですか?
UA等の条件はあるにせよ、外部から普通にHTTPリクエスト/レスポンスの挙動のみで確認できるんだから、400件程度の調査なんか簡単でしょ。
それに0day.jp側の確認方法は公開されていて、中津川市側の調査方法は公開されていないので、中津川市側を信用する根拠はないですね。
まず、1. 国内にWebサイトなんて山ほどあるのに、どうやってまず400件をリストアップしたのか?公共団体や学校、中小企業、アダルトサイト〜個人の趣味のページ(?)まであるのに、これ、ランダムに抽出して400件のうち285件感染していたとしたら、大問題ですよ?
2.中津川市は不正なApacheのモジュールは発見できなかったと言っているので、それで十分では?わざわざざハッカーに手の内を見せるようなことは誰もしないでしょう?
悪魔の証明に近い(範囲が有限なので不可能ではない)。バックアップ環境と比較して一致を確認するのが最短だけど、バックアップがなかったら難しいね。バックアップも昨日一昨日とか、既に感染してる可能性のあるのとじゃだめだから最初の構築時のがあるといい。環境が仮想PC上で、in service時の環境が保存されてて、Web serviceしか動いてないってのが現実的な最適解だと思う。
>リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。この人はあっさり信用したみたいだけど、何を調査して、どうやって確認したかわからないし、これで信用しろって言われても無理。
自宅鯖を運営してる方だったですか?
昔作って公開してたことはありました。社内向けなら今でも作ることはあります。外向けのサーバを作って公開するなんて、怖くてもうわたしには無理です。ソノスジの人が構築したサーバを借りて使うほうが、リスク移転できて安心です。
> ランダムに抽出して400件のうち285件感染していたとしたら
違います。怪しいのが400件以上、うち確定が285件と発表されています。おそらく、調査対象の全数はもっと多くでしょう。
> 「感染されていない」ことをどうやって証明(信用してもらえば)したらいいのですか?
一般的には開発・運用ベンダー以外の第三者を交えて調査してもらい、結果を発表という形じゃないですかね。下の例みたいに。
http://www.vector.co.jp/special/spinfo/ [vector.co.jp]
結果「マルウェアは確認できませんでした」でもいいですが、調査方法・内容を公表したくないなら、調査会社の社名で信用してもらうしかないですよ。
それは、実際に、「お客様情報を保持するサーバに対しても不正アクセスしたと思われる痕跡があった」からでしょう?なんの瑕疵もないのにただ一方的にリストに名前をあげられて、なぜそこまでやらなくちゃならない?
じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
> なんの瑕疵もないのにただ一方的にリストに名前をあげられて、なぜそこまでやらなくちゃならない?
中津川市はログ調査から「感染していたこと」がほぼ確定したそうですよ。マルウェアばらまいといて瑕疵がないとか、ずいぶんとずぶとい神経ですねぇ。
いまでは「知っていて放置」すれば、法にすら問われかねないのに。
> じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?> 星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
答え出てるじゃないですか。星の数ほどのWebサイトに正規のリクエスト投げて、怪しい挙動が400件以上見つかり、追加調査でマルウェアDLまで誘導されて確定したのが285件てことでしょ。
調査対象のホストなんて、そんなの検索エンジンから適当にピックアップでもいいし、不思議でもなんでもありませんよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
環境省だけの問題じゃない (スコア:5, 参考になる)
環境省だけの問題じゃなく、そもそも分かっているだけで同時期に国内少なくとも285サイトが同時に同様の感染をしている事例なので、こっち採用するくらいならタレコミ『「Darkleech Apache Module」に感染した日本のサイトにIEでアクセスするとマルウェア感染サイトに飛ばされる』 [srad.jp]を採用した方がよかったんじゃないかと思う。タイトルに「環境省」とか入ってなくてキャッチーじゃないとか言うなら(いつも通り)採用時に変えればいいだけだし。
Re: (スコア:0)
生むそれは思った。技術的にもよりいいしね。
でも私は編集者じゃないんだ
もしかして 0day.jp のリストは誤りを含んでいたか。 (スコア:1)
環境省は週末からお知らせを出しているというのに、0day.jp のリストに載っている285件のほとんどのサイトは今週に入ってようやく止まったようだ。
ゆかしメディア [image.skr.jp]
中津川市公式ウェブサイト [nakatsugawa.gifu.jp]
あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
なお# 2346017 [srad.jp]で「この件IEだけ感染するようなので、またIEが叩かれてしまいそうだなぁ。」と書いてあるけど、Internet Explorer はトリガーになっているだけで、ブラウザ自体に罪はない。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
> あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、
怪しい400件から確定285件を絞り込んだものなので、リストには
誤りがないと仮定するけど
> 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。
> 更なる安全を確保するための対策を実施し、サーバを再構築して再開。
感染の対象モジュールが分からない程度の技術者が再構築しても、
また感染するだけじゃないですかね?
「確認されなかった」と言うからには、感染経路の特定もできていないだろうし。
Re: (スコア:0)
> 0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、
()の中も読まないと日本語としておかしい文章を書くくらいなら
最初から()抜きで書いて欲しい。
#って思っている人って少ないのだろうか。最近よくこういう書き方を見かける。
Re: (スコア:0)
感染されてないのに、どうやって感染経路を特定しろって言うの?
Re: (スコア:0)
「感染を確認していない(できない)」と「感染していない」の違いさえわからない馬鹿に理解できるよう説明することは不可能です。
Re: (スコア:0)
なんの根拠もなく、ただリストアップされてるからって言うだけで、「感染している」と決めつけてるヤツの方がよっぽど馬鹿だね(笑)
自らリストアップされてるサイトが全て感染してるって証明してから大口叩け
Re: (スコア:0)
自分が馬鹿って自覚が無いヤツに聞いても無駄なのはわかってるから答えるなよ(笑)
おまえ、第三者なのになんで「感染してる」って決めつけてるの?
その根拠は?
「リストに上がってるから」か?(笑)
Re: (スコア:0)
中津川市は感染していたことがほぼ確定だそうですが。
他の連中も推して知るべし、だな。
外部からの挙動で分かるものだったのに、それを認めることすらできないとか、
良い迷惑なので公開サーバの運用に関わらないでくださいね^^
Re: (スコア:0)
>中津川市は感染していたことがほぼ確定だそうですが
これってどこのソース?
Re: (スコア:0)
> これってどこのソース?
https://twitter.com/h_okumura/status/313930866650918912 [twitter.com]
0dayの人のtwitter見れ。
奥村さんと、市のサイト管理しているベンダー(?)の3者でやりとりしてるから。
Re: (スコア:0)
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-k... [blogspot.jp]
他の人がコメントしてるけど、上のURLに詳細が書いてあるから読むとよいかと。
https://twitter.com/unixfreaxjp [twitter.com]
また『自身のホストで発見できない』と言っている人とのやりとりを見るに、
「そもそもホスト名のリストアップを間違えた」みたいなポカミスでもない限り、
『発見できた』の方を信用するのが妥当と考えます。
Re: (スコア:0)
そのURLのサイトは見ました。
>【感染状況の説明】
>その285件のサイトにアクセスしたら、どんな転送動きになるのか説明します↓
>例えば一覧にある「www.systemmetrix.jp」ドメインですね、ウェブサイトをInternet Explorerでアクセスしたら、下記のキャップチャーデータとなります↓
(以下略)
アクセスしたパソコン側の動きは詳しいですが、サーバをどうやって400件以上もリストアップして285件が感染していると確認したのかなぁ?
リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。
Re: (スコア:0)
むしろ、各サーバの担当者がどうやって感染していないことを確認したかでしょう。
virus checkしましたではダメなことくらいはわかってて書いてるんですよね?
Re: (スコア:0)
感染されていたことは確認できるとしても、
恥を忍んでお聞きしますが、
「感染されていない」ことをどうやって証明(信用してもらえば)したらいいのですか?
Re: (スコア:0)
UA等の条件はあるにせよ、外部から普通にHTTPリクエスト/レスポンスの挙動
のみで確認できるんだから、400件程度の調査なんか簡単でしょ。
それに0day.jp側の確認方法は公開されていて、中津川市側の調査方法は公開
されていないので、中津川市側を信用する根拠はないですね。
Re: (スコア:0)
まず、
1. 国内にWebサイトなんて山ほどあるのに、どうやってまず400件をリストアップしたのか?
公共団体や学校、中小企業、アダルトサイト〜個人の趣味のページ(?)まであるのに、
これ、ランダムに抽出して400件のうち285件感染していたとしたら、大問題ですよ?
2.中津川市は不正なApacheのモジュールは発見できなかったと言っているので、それで十分では?
わざわざざハッカーに手の内を見せるようなことは誰もしないでしょう?
Re: (スコア:0)
悪魔の証明に近い(範囲が有限なので不可能ではない)。
バックアップ環境と比較して一致を確認するのが最短だけど、バックアップがなかったら難しいね。
バックアップも昨日一昨日とか、既に感染してる可能性のあるのとじゃだめだから最初の構築時のがあるといい。
環境が仮想PC上で、in service時の環境が保存されてて、Web serviceしか動いてないってのが現実的な最適解だと思う。
>リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。
この人はあっさり信用したみたいだけど、何を調査して、どうやって確認したかわからないし、
これで信用しろって言われても無理。
Re: (スコア:0)
自宅鯖を運営してる方だったですか?
Re: (スコア:0)
昔作って公開してたことはありました。社内向けなら今でも作ることはあります。
外向けのサーバを作って公開するなんて、怖くてもうわたしには無理です。
ソノスジの人が構築したサーバを借りて使うほうが、リスク移転できて安心です。
Re: (スコア:0)
> ランダムに抽出して400件のうち285件感染していたとしたら
違います。
怪しいのが400件以上、うち確定が285件と発表されています。
おそらく、調査対象の全数はもっと多くでしょう。
Re: (スコア:0)
> 「感染されていない」ことをどうやって証明(信用してもらえば)したらいいのですか?
一般的には開発・運用ベンダー以外の第三者を交えて調査してもらい、
結果を発表という形じゃないですかね。
下の例みたいに。
http://www.vector.co.jp/special/spinfo/ [vector.co.jp]
結果「マルウェアは確認できませんでした」でもいいですが、調査方法・内容を
公表したくないなら、調査会社の社名で信用してもらうしかないですよ。
Re: (スコア:0)
それは、実際に、
「お客様情報を保持するサーバに対しても不正アクセスしたと思われる痕跡があった」
からでしょう?
なんの瑕疵もないのにただ一方的にリストに名前をあげられて、なぜそこまでやらなくちゃならない?
Re: (スコア:0)
じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?
星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
Re: (スコア:0)
> なんの瑕疵もないのにただ一方的にリストに名前をあげられて、なぜそこまでやらなくちゃならない?
中津川市はログ調査から「感染していたこと」がほぼ確定したそうですよ。
マルウェアばらまいといて瑕疵がないとか、ずいぶんとずぶとい神経ですねぇ。
いまでは「知っていて放置」すれば、法にすら問われかねないのに。
Re: (スコア:0)
> じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?
> 星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
答え出てるじゃないですか。
星の数ほどのWebサイトに正規のリクエスト投げて、怪しい挙動が400件以上見つかり、
追加調査でマルウェアDLまで誘導されて確定したのが285件てことでしょ。
調査対象のホストなんて、そんなの検索エンジンから適当にピックアップでもいいし、
不思議でもなんでもありませんよ。