アカウント名:
パスワード:
環境省だけの問題じゃなく、そもそも分かっているだけで同時期に国内少なくとも285サイトが同時に同様の感染をしている事例なので、こっち採用するくらいならタレコミ『「Darkleech Apache Module」に感染した日本のサイトにIEでアクセスするとマルウェア感染サイトに飛ばされる』 [srad.jp]を採用した方がよかったんじゃないかと思う。タイトルに「環境省」とか入ってなくてキャッチーじゃないとか言うなら(いつも通り)採用時に変えればいいだけだし。
生むそれは思った。技術的にもよりいいしね。
でも私は編集者じゃないんだ
環境省は週末からお知らせを出しているというのに、0day.jp のリストに載っている285件のほとんどのサイトは今週に入ってようやく止まったようだ。
ゆかしメディア [image.skr.jp]
現在メンテナンス中です。ご迷惑をおかけしますが、ご理解・ご協力のほどよろしくお願い申し上げます。
中津川市公式ウェブサイト [nakatsugawa.gifu.jp]
3月15日~3月18日の間、市公式ホームページを緊急メンテナンスのために一時的に停止しました。現在は再開し、通常どおりご利用いただけます。再開までの経緯 3月15日 市公式ホームページサーバが外部から書き換えられた可能性があると情報提供を受けた。 利用者の安全性を最優先にするため、市公式ホームページの公開を停止。 3月15日~3月18日 サーバのすべてのデータなどを
3月15日~3月18日の間、市公式ホームページを緊急メンテナンスのために一時的に停止しました。現在は再開し、通常どおりご利用いただけます。
再開までの経緯 3月15日 市公式ホームページサーバが外部から書き換えられた可能性があると情報提供を受けた。 利用者の安全性を最優先にするため、市公式ホームページの公開を停止。 3月15日~3月18日 サーバのすべてのデータなどを
> あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、怪しい400件から確定285件を絞り込んだものなので、リストには誤りがないと仮定するけど
> 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。> 更なる安全を確保するための対策を実施し、サーバを再構築して再開。
感染の対象モジュールが分からない程度の技術者が再構築しても、また感染するだけじゃないですかね?「確認されなかった」と言うからには、感染経路の特定もできていないだろうし。
なぜ、>リストには誤りがないと仮定できるんですか?>0day.jpの確認方法は妥当この根拠は?
>感染の対象モジュールが分からない程度の技術者が再構築しても、また感染するだけじゃないですかね?これ、名誉毀損ものですよ
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-k... [blogspot.jp]
他の人がコメントしてるけど、上のURLに詳細が書いてあるから読むとよいかと。
https://twitter.com/unixfreaxjp [twitter.com]
また『自身のホストで発見できない』と言っている人とのやりとりを見るに、「そもそもホスト名のリストアップを間違えた」みたいなポカミスでもない限り、『発見できた』の方を信用するのが妥当と考えます。
そのURLのサイトは見ました。
>【感染状況の説明】>その285件のサイトにアクセスしたら、どんな転送動きになるのか説明します↓>例えば一覧にある「www.systemmetrix.jp」ドメインですね、ウェブサイトをInternet Explorerでアクセスしたら、下記のキャップチャーデータとなります↓(以下略)アクセスしたパソコン側の動きは詳しいですが、サーバをどうやって400件以上もリストアップして285件が感染していると確認したのかなぁ?
リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。
UA等の条件はあるにせよ、外部から普通にHTTPリクエスト/レスポンスの挙動のみで確認できるんだから、400件程度の調査なんか簡単でしょ。
それに0day.jp側の確認方法は公開されていて、中津川市側の調査方法は公開されていないので、中津川市側を信用する根拠はないですね。
まず、1. 国内にWebサイトなんて山ほどあるのに、どうやってまず400件をリストアップしたのか?公共団体や学校、中小企業、アダルトサイト〜個人の趣味のページ(?)まであるのに、これ、ランダムに抽出して400件のうち285件感染していたとしたら、大問題ですよ?
2.中津川市は不正なApacheのモジュールは発見できなかったと言っているので、それで十分では?わざわざざハッカーに手の内を見せるようなことは誰もしないでしょう?
> ランダムに抽出して400件のうち285件感染していたとしたら
違います。怪しいのが400件以上、うち確定が285件と発表されています。おそらく、調査対象の全数はもっと多くでしょう。
じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
> じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?> 星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
答え出てるじゃないですか。星の数ほどのWebサイトに正規のリクエスト投げて、怪しい挙動が400件以上見つかり、追加調査でマルウェアDLまで誘導されて確定したのが285件てことでしょ。
調査対象のホストなんて、そんなの検索エンジンから適当にピックアップでもいいし、不思議でもなんでもありませんよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
環境省だけの問題じゃない (スコア:5, 参考になる)
環境省だけの問題じゃなく、そもそも分かっているだけで同時期に国内少なくとも285サイトが同時に同様の感染をしている事例なので、こっち採用するくらいならタレコミ『「Darkleech Apache Module」に感染した日本のサイトにIEでアクセスするとマルウェア感染サイトに飛ばされる』 [srad.jp]を採用した方がよかったんじゃないかと思う。タイトルに「環境省」とか入ってなくてキャッチーじゃないとか言うなら(いつも通り)採用時に変えればいいだけだし。
Re: (スコア:0)
生むそれは思った。技術的にもよりいいしね。
でも私は編集者じゃないんだ
もしかして 0day.jp のリストは誤りを含んでいたか。 (スコア:1)
環境省は週末からお知らせを出しているというのに、0day.jp のリストに載っている285件のほとんどのサイトは今週に入ってようやく止まったようだ。
ゆかしメディア [image.skr.jp]
中津川市公式ウェブサイト [nakatsugawa.gifu.jp]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
> あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、
怪しい400件から確定285件を絞り込んだものなので、リストには
誤りがないと仮定するけど
> 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。
> 更なる安全を確保するための対策を実施し、サーバを再構築して再開。
感染の対象モジュールが分からない程度の技術者が再構築しても、
また感染するだけじゃないですかね?
「確認されなかった」と言うからには、感染経路の特定もできていないだろうし。
Re: (スコア:-1)
なぜ、
>リストには誤りがないと仮定
できるんですか?
>0day.jpの確認方法は妥当
この根拠は?
>感染の対象モジュールが分からない程度の技術者が再構築しても、
また感染するだけじゃないですかね?
これ、名誉毀損ものですよ
Re: (スコア:0)
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-k... [blogspot.jp]
他の人がコメントしてるけど、上のURLに詳細が書いてあるから読むとよいかと。
https://twitter.com/unixfreaxjp [twitter.com]
また『自身のホストで発見できない』と言っている人とのやりとりを見るに、
「そもそもホスト名のリストアップを間違えた」みたいなポカミスでもない限り、
『発見できた』の方を信用するのが妥当と考えます。
Re: (スコア:0)
そのURLのサイトは見ました。
>【感染状況の説明】
>その285件のサイトにアクセスしたら、どんな転送動きになるのか説明します↓
>例えば一覧にある「www.systemmetrix.jp」ドメインですね、ウェブサイトをInternet Explorerでアクセスしたら、下記のキャップチャーデータとなります↓
(以下略)
アクセスしたパソコン側の動きは詳しいですが、サーバをどうやって400件以上もリストアップして285件が感染していると確認したのかなぁ?
リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。
Re: (スコア:0)
UA等の条件はあるにせよ、外部から普通にHTTPリクエスト/レスポンスの挙動
のみで確認できるんだから、400件程度の調査なんか簡単でしょ。
それに0day.jp側の確認方法は公開されていて、中津川市側の調査方法は公開
されていないので、中津川市側を信用する根拠はないですね。
Re: (スコア:0)
まず、
1. 国内にWebサイトなんて山ほどあるのに、どうやってまず400件をリストアップしたのか?
公共団体や学校、中小企業、アダルトサイト〜個人の趣味のページ(?)まであるのに、
これ、ランダムに抽出して400件のうち285件感染していたとしたら、大問題ですよ?
2.中津川市は不正なApacheのモジュールは発見できなかったと言っているので、それで十分では?
わざわざざハッカーに手の内を見せるようなことは誰もしないでしょう?
Re:もしかして 0day.jp のリストは誤りを含んでいたか。 (スコア:0)
> ランダムに抽出して400件のうち285件感染していたとしたら
違います。
怪しいのが400件以上、うち確定が285件と発表されています。
おそらく、調査対象の全数はもっと多くでしょう。
Re: (スコア:0)
じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?
星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
Re: (スコア:0)
> じゃぁ、どうやってその怪しい400件(以上)をリストアップしたの?
> 星の数(慣用句だから突っ込まないこと)ほどWebサイトなんてあるのに
答え出てるじゃないですか。
星の数ほどのWebサイトに正規のリクエスト投げて、怪しい挙動が400件以上見つかり、
追加調査でマルウェアDLまで誘導されて確定したのが285件てことでしょ。
調査対象のホストなんて、そんなの検索エンジンから適当にピックアップでもいいし、
不思議でもなんでもありませんよ。