パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に」記事へのコメント

  • 巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。

    http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]

    「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。

    http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]

    客先は

    --
    モデレータは基本役立たずなの気にしてないよ
    • by Anonymous Coward on 2011年05月16日 17時15分 (#1953190)
      普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には
      対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
      といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。

      情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
      ところとか、もうアホかと。

      ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
      知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
      それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

      社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?

      刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
      嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
      のではないだろうか。

      私には専務が正しくて社長は早まったとしか見えない。
      この巫女、今後も図に乗るかもよ。
      少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
      親コメント
      • by Anonymous Coward on 2011年05月16日 17時27分 (#1953204)

        社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?

        刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
        嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
        のではないだろうか。

        時期的に社長の脳裏にあったのは、ソニーなんでは?
        セキュリティに対しては対応を間違ってはイケない、と。
        しかもTwitterで呟くの知ってるんだから叩くと更なる被害をもたらしそう、だと。

        私には専務が正しくて社長は早まったとしか見えない。
        この巫女、今後も図に乗るかもよ。

        専務も社長も正しいと思うよ。
        ムチと飴で、この後社長から「こういうことは二度としないように」と言えばいいんだよ。
        もちろん、次からはこの会社に発注しないでしょう。
        経緯を知った別の会社も避けるでしょうね。
        しばらくすればTwitterに業務内容を呟くことが何を意味するか勉強ができるはずなので
        巫女にとってもいい事かと。

        親コメント
        • by Anonymous Coward on 2011年05月16日 18時44分 (#1953276)

          しばらくすればTwitterに業務内容を呟くことが何を意味するか

          この批判が結構多いみたいだけどさ、糞ソース見つけた!とか会社のシステムが脆弱性だらけで泣きたい!とか、その程度のことが業務内容の漏洩に該当するってどんだけ低レベルよ。
          (会社が特定できてしまうとか、見る人が見ればわかるビジネスロジックだとかならともかく。)

          そんなことを漏洩だと騒ぎ立てる前に、何が漏れては不味い情報なのか?どこをガードしなければならないのか?をちゃんと考えて線引きすべきだろ?
          これは個人情報、これは業務知識なので守らなくてはいけない。これは業界の一般話、とかさ。

          # Twitterだと、過去の発言と照らし合わせて特定できるのでは?という考えはあるだろうが、とりあえず今回の発言だけを見てレス。

          後、今回の話は確かに会社員としては問題がある行為だとは思うけど、「会社が生肉を雑に扱っているのを見つけてしまいました」というのと同じような事象として考えると、個人としては正しいと思う。
          会社員としては、上司に報告して対策してくれなかったらお手上げ、が正しいだろうけど、それって人として正しいことなのかと。
          この判断は、それはそれで立派なものだと考えますよ。

          # ただし、人として正しかろうが会社として正しくないので干される・・・という判断は否定できないが(--;
          # まあそれでも見過ごせなかったのでしょうね。

          親コメント
          • ジェットコースターの非破壊検査を受託してクラック見つけて「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に、「判断は俺のペイのうちには入ってないから無視。友人にはあの遊園地は行かないように勧めるけど」ってのは、社会人としては問題なくても人でなしでしょう。
            んなもん、神代の時代から民草を導く神の仲介者である巫女さんが無視できるわけなかろう。
            データベースの中にクレジットカード情報と一緒に平文で書かれている名前は、タダのデータじゃなくて、その向こうに実在する人なわけだし。

            「あっぱれ!でも契約は契約だから罪に問われても仕方がないか。悪法も法だし」って感じられる人が少ないなら、内部告発が少ない社会なのもやむを得ないかなあと思う。
             # 社会人として正しければ他人が(会社ではない)被害を受けようが問題無いってのは、かなり訓練されてきてるよ。
             # まあ、アレをありのままを呟いているはずだというナイーブな人が多いのみると、2chの有名なセリフは真理だね:-P

            親コメント
            • 自分の保身のために、記録に残る形で、しかるべき人に報告する。すげー嫌がられるけどね。
              あーあー聞きたくない聞きたくない、そんな報告書は受け取りたくない~って言われるから、いかに相手が拒否できない方法で報告するかは、各人のスキルだな。
              上ってのは下に責任を押し付けられないと分かると、自らの保身のために動きが良くなるんですよ。
              一番大切なのは、決して勝手に外部に話を漏らさないこと。外圧がかかれば動くだろう、なんてのは下手な考えですよ。

              こういうのって上司は教えてくれないのか? 普通は勝手に何かやるのではなく、相談して許可を得るだろ? その過程で指導してもらえるじゃん。
              親コメント
            • 大丈夫、クラックがあるからと言って、直ちに事故る訳ではない

              --
              TomOne
              親コメント
            • > て「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に

              本当に言われたならそうだけど、実際のところ疑わしいと思いませんか?正直自分のことを17歳や巫女と称してその時点で疑わしいのにtweetだけは真正とでも?

              親コメント
            • by Anonymous Coward

              人間誰しも間違えるもんですよ。
              今回の件が、もし銀行だったら止めたか、病院だったら止めたか、原発だったら止めたか、といったらきっと止めなかったでしょう。
              そこには判断があったはず。
              同じようにその会社の人だって判断するんですよ。
              当然判断が一致しないこともあるでしょう。
              その時どっちを優先するのか、どっちが正しいのかって必ずしも(今回のように)自明ではないですよね。
              だからこそステークホルダーなんて人たちがいて、責任を取る役の人がいて、フローがあったりするんではないでしょうか。
              俺が正しいといえる世界って案外狭いものなのではないかと思うのですがいかがでしょう。

            • by Anonymous Coward
              二分思考といいますか、事の軽重を理解していない人の典型ですね、あなた。
            • by Anonymous Coward
              内部告発は自分ではどうしようもないときに他人の手を借りるための手段で、どうしようもないときに実力行使に及ぶのはどうかと。
              • by Anonymous Coward

                どうしようもないときに実力行使に及ぶのがどうかと思う社会だから、
                実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな

                さらに行使しようとした人は私刑にさらされる

              • by Anonymous Coward
                これって形式的には威力業務妨害だよね。で、どうしようもないってのがホントなら緊急避難で違法性が棄却される。どうしようもないってのが勘違いなら緊急避難にはならないけど、錯誤によるものだから過失による威力業務妨害ってことになって、威力業務妨害罪は過失犯の規定はない。つことは、この社会はどうしようもないときの実力行使はそれなりに認めているんじゃないかなぁ。
              • 実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな

                裁判所は相談しに行くところではありません。相談するなら弁護士。また、ルールに反した実力行使をしても良いか、相談しに行ったら、「するな」と言うでしょう。法治国家なんだから、法を逸脱してはいけませんよ。

                基本的に、実力行使というのは自己中心的なんですよ。正当防衛のような一部の例外を除き、面倒臭くても、ルールに則った手続きを取ってください。

                法律的には、セキュリティホールを残すことは犯罪じゃないのに対し、承認を得ないでサーバを止めるのは威力業務妨害で犯罪なんです。現状においては、セキュリティホールが見つかっても何もしないというのは企業倫理の問題でしかありません。

                ACCS不正アクセス事件のようなことも考えると、セキュリティホールに対する何らかの法整備は必要でしょう。法を逸脱することに寛容になるのではなくて。

                親コメント
            • by Anonymous Coward
              だからといって運転中のジェットコースターを爆破しちゃいかんでしょう。
              ってレベルのたとえ話だね。
              • by Anonymous Coward

                おいおい、今回の事件をどう解釈すれば「運転中のジェットコースターを爆破」って喩えが出て来るんだよ
                「動力室の発電をぶっ千切った」あたりでしょ?

            • by Anonymous Coward
              こんなコメントに素晴らしい洞察なんてつけるの
              どんだけアホなんだ。
              普通、名前なんてのは平文でデータベースに入ってる
              もんだし、ツイッターの公開アカウントでばらすのと
              近しい友人に注意するのは全然違うだろ。
              • by Anonymous Coward

                > 普通、名前なんてのは平文でデータベースに入ってる

                それは,あなたの知っている狭い世界の「普通」でしょ。

          • by Anonymous Coward
            2chの祭りの個人特定や周辺の晒しっぷりからすれば、本人が会社名を言わずとも、バレる危険性はあると思います。
            • by Anonymous Coward

              >2chの祭りの個人特定や周辺の晒しっぷりからすれば
              舞台というか警察の対象がこっちに移るだけでは?

              ※いい加減警察も重い腰あげろよ。

          • by Anonymous Coward

            線引き云々の前に
            そういう些細なことも洩らさないのがまともな企業だと思うよ。
            この程度やあんなことと勝手な尺度を持ってこられても困ってしまう。

        • by Anonymous Coward on 2011年05月16日 18時03分 (#1953234)

          >専務も社長も正しいと思うよ。
          これに同感。
          職権が違うから判断は異なるのはこの場合仕方ない。

          中小のオーナー社長ってのは大会社と違って自己責任さえ認識すれば社の判断をほぼ何でもできる。
          そこが雇われの専務とは違う。

          親コメント
      • 自分ならどうするか (スコア:4, すばらしい洞察)

        by neko.kotatsu.mikan (28931) on 2011年05月16日 19時03分 (#1953299)

        >普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には
        >対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
        >といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。

        そのとおりですね。
        でも今回はそのままサービス開始してしまうとその「脆弱性への対応」は
        できてなかったと思われるので、まず前提が違います。

        >情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
        >ところとか、もうアホかと。

        本件のサービス停止により「漏洩が防がれた」とされている情報は、
        tweetにあった「業務概要」のことではなく、
        当該業務を発注した会社のサービスを受ける「顧客の個人情報」ですから
        ひとまとめに評価しないほうが分かりやすいかと思います。

        >ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
        >知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
        >それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

        これもそのとおり。ただ、今回話題になっているのは
        サービス停止が必要、かつそれが指令系統上不可能だったら?
        ということのように思えます。

        >社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
        >刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
        >嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
        >のではないだろうか。

        全く違うと思います。
        そもそも、当該の会社の名前はtweetされていないのですから、
        仮に刑事告発したことで批判が集中しようが、
        誹謗中傷されようが痛くも痒くもないはず。

        それより、顧客の情報が漏洩してしまう方が恐ろしいと思うのです。

        >私には専務が正しくて社長は早まったとしか見えない。
        >この巫女、今後も図に乗るかもよ。
        >少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。

        それも理解はできるのでが、
        顧客の個人情報よりも自分の職務権限や業務手順を優先する発言にもとれてしまいます。
        「少なくとも自分が顧客なら、親コメのACさんが発注元の会社のサービスは受けたくない」と
        思う人も多いのではないでしょうか。

        会社経営者として、自分に逆らわない社員・請負はもちろん必要ですが、
        非常時には「会社の利益のために今何をすべきか」考えて
        臨機応変に行動してくれる人がありがたい。

        畢竟「同じ状況下で自分ならどうするか」が問われているわけですよね…。

        停止したことによる損害と、そのままサービスインしてしまった時の損害を比較して、
        件の社長さんは「自分ならサービス停止する」と思ったのだと思いますよ。

        親コメント
        • by Anonymous Coward
          個人情報を漏洩させるリスクと業務をとめるリスク、どちらを選択するかは業務を委託された会社の判断にはならないと思います。そのような契約をしているなら専務は警察なんて呼ばないでしょうし。私は「現状説明をした後に」止めるべきだったかと。
          • by Anonymous Coward

            説明しても「来月の会議で検討する」って状態だったそうですが
            # 相手にわからせるまでが説明だ! いや正論なんですが,なかなかねぇ.

        • by Anonymous Coward
          > 全く違うと思います。
          > そもそも、当該の会社の名前はtweetされていないのですから、
          > 仮に刑事告発したことで批判が集中しようが、
          > 誹謗中傷されようが痛くも痒くもないはず。

          それは考えが甘いと思う。
          もし逮捕に至れば、あっという間に当該の会社が特定され、ネットで晒される可能性がありますよ。
          • by Anonymous Coward

            何処のサイトまでとは書きませんが、もう個人特定されてるようです。

            この人、今後仕事していけるのかなぁ。
            こんなの雇うようじゃ、雇う会社自体アレゲっぽいし。

            • by Anonymous Coward
              社長というフォロワーがリアルでもフォロワーになるんでは?
      • by 127.0.0.1 (33105) on 2011年05月16日 18時21分 (#1953254) 日記
        > ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
        > 知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
        > それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

        それをやった上で、
        >「来月頭の定例会議でサービス停止させて修正するかどうか決める」と言われて
        ということになったようなので、まぁ、そういう脆弱なシステムを作る会社は
        対応もそれなりに駄目駄目だということですね。
        親コメント
      • by Anonymous Coward on 2011年05月16日 18時08分 (#1953238)

        >少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。

        残念ながら、今件は発注先が発注元の株主で、「あそこやばいぜ」とタレこみがあった上で「調べさせろ」となったようなので。

        同じ立場なら貴方が発注元でもこの巫女を使ってる会社に絶対に発注することになるでしょう。

        親コメント
        • by Anonymous Coward

          >残念ながら、今件は発注先が発注元の株主で、「あそこやばいぜ」とタレこみがあった上で「調べさせろ」となったようなので。
          なにそのルパンみたいな手口

        • by Anonymous Coward

          今件は発注先が発注元の株主で

          それが本当なら、発注元に報告してラチがあかなかった時点で、株主である発注先の人(つまり、巫女を使っている会社の上司)に報告すればよかったのでは。

        • by Anonymous Coward

          あーなるほど。そういう権力関係があるから社長も許さざるを得なくなったんですね。
          専務が警察を呼んだのはかなり度胸の要る英断だったんだなあ

      • どういう風に業務を受注したのか(請け負ったのか)わからないけど、
        脆弱性の発見は想定内なんだから、契約時にその場合の対応って決めてるものでは
        ないかと思うのですが、どーなんでしょ。

        刑事事件に発展した場合には当然巫女も反撃するだろうし、顧客にしてみれば
        個人情報を晒していたことの賠償請求とかもありうるわけで、
        巫女の行為は会社の損害を最小限に抑えたともいえるけど、
        脆弱性を発見しただけで、今まさにクラックなりハックなりされてる状況でもないのに
        勝手にサーバを停止する行為は会社に損害を与えたともいえる。
        双方の打ち合わせ不足っていうかそういうレベルの話では。

        #なんにしても安全にシステムを停止させるのは難しいやねgesaku

        親コメント
      • 基本的には同意なのですが、流れとしては微妙に異なる気がするので。その点を把握した上で同じ意見であれば、多分考え方に根本的な違いがあるのでしょうけれども。

        普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には
        対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
        といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。

        まず致命的なさまざまな問題の発見があり、それを担当上長へ報告したものの「アンチウィルスソフトが入っているから大丈夫だろう」という程度の認識で「来月の定例会議でサービスを停止して修正するか、そのまま稼働させ続けるかを判断する」(稼働中のサービスは止めずにサービスを提供し続ける) という判断が下されました。
        しかし、それではパスワードやクレジットカード番号 (暗号化されずに平文で保存されているのを確認済み) が容易に外部から取得可能 (攻撃可能な経路を確認済み) であるため、顧客情報を保護するためにも強制的に停止した、という流れがあります。

        あと、一応その判断を下した上長と専務は同一人物であるかどうかはわかりません。(TL からは判断できません)

        なお、作りとしては、一例としてログインフォームで ID とパスワードを入力したら DB 上に「入力された ID と同一のレコードが存在する」「入力されたパスワードと同一のレコードが存在する」(同じレコードである必要はない) とログイン処理が成功するような意味不明な作りとかだったりしますので、いろんな意味でツッコミどころ満載のようです。
        一から作り直し確定とか泣けすぎですね。

        ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
        知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
        それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。

        強制シャットダウンを行ったのはその後の話ですし、その上で理解が浅い上司の下でその判断を覆す権限を持っていない状態でのせめてもの抵抗として行われたことですよ。
        なお、その上司はその後「よく分かってないなら自分で判断せずに上に判断を仰げ」という指示を受けたようです。

        選択可能なオプションとしては「さらにその上の人に掛け合う」と「強制的にシャットダウンする」辺りになるかと思いますが、組織的にはどちらが正しいと言えるのでしょう。さらに派遣という立場ではどうでしょうね。
        その辺りは契約などもあるでしょうから容易に判断しかねますが、n_ayase 氏の言っていた「ベストではないにしろベターではあると信じている」という点についてはそれなりに同意できます。

        親コメント
        • by Anonymous Coward

          元コメントのACとは別ACです。

          その辺りは契約などもあるでしょうから容易に判断しかねますが、n_ayase 氏の言っていた「ベストではないにしろベターではあると信じている」という点についてはそれなりに同意できます。

          今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth

          • 今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth さんの感覚でそれでもOKだった場合、それはそれで一貫しているので特に議論もなく終わりになります。

            部外者ということは、稼働中の社外にもサービスを提供しているグループウェア等を利用している担当チームが異なる情シス部門や運用の社員という立場、という感じでしょうか。(報告することができ、かつ上長が無視という判断が行える + システムを落とすことができる、という辺りで)
            その場合では状況次第の点も大きいですが、今回の問題のように「直接顧客に金銭的な被害が発生しうる」「他人の個人情報を容易に取得できる」「非利用者であっても容易に攻撃が可能」「そもそも機能の実装がまともではない」といったようなコンボが決まっている状況であれば、サービスを提供し続けることで深刻な問題が発生しかねない可能性があるのでシャットダウンするという選択肢もあり得るとは思いますね。

            もちろん最終手段ではあるため、その他可能な手段を模索した上で他に手段がない場合だけだと思います。

            サーバー側で保持している情報が /.jp よりさらに軽いレベル (そもそもユーザー登録がないような掲示板システム等) であったら、落とすほどの事はないだろうという事になりますし、単純にサービスを続行する事でのメリットとデメリットのバランスによる差でしょう。

            仮に、Stealthさんの感覚で、部外者が落とすのはダメ、なのであれば、今回のケースと判断が変わる理由は何だろう、というのが論点になります。契約の有無、と言っても、落としていいという契約はないようですし。私が思いつく理由では、ある意味組織内部の人だということで、事情をある程度知りえるだろうという観点から、落とすという判断の正しさを信用する、ということぐらいですが、本当に内部事情を知った上で判断したのか、という点については疑問があります。

            サービスの提供を中断させる操作が可能であるということは、完全な部外者とはなりえないのが確定しないでしょうか。ですから「部外者が落とすのはダメ」と単純に想定することはできません。
            このため、少なくとも外部の人よりは内部事情を知っている可能性は期待できるかと思います。
            # さすがに完全な部外者がデーターセンターなどに押しかけて物理的に「シャットダウン」するのは色々無理があるでしょうし。

            「本当に内部事情を知った上で判断したのか」という部分については、とりあえず「本当の部外者であるここでコメントしている人たち」からは、tweet から想像する程度の事しかできないかと思います。
            また、「どこまで内部事情を知っていたら判断に必要な十分である」と認識できるかは、これもまた個々人の感覚によると思いますので、十分に知り得ていたかどうかについてはコメントを控えておきたいと思います。

            今回の件では、おそらく上長のリスクに対する認識不足 (Web アプリが「想定通り」おかしな動作をしたところで、アンチウィルスソフトが入っているから防げるだろうという程度の認識) が最大の癌だとは思いますが、この点を認識していたのであれば、理解できるよう説明する努力が不足していた可能性は否定できないと思います。落としてから分かったのであればしょうがないところですが。

            親コメント
            • by Anonymous Coward

              サービスの提供を中断させる操作が可能であるということは、完全な部外者とはなりえないのが確定しないでしょうか。

              通常のシャットダウンが行われたという認識ですか。

              前のコメントであげたケースでは、完全に無関係な部外者がセキュリティホールをついて落とすような操作をイメージしてました。通常のシャットダウンが行われたと考えるかどうかが評価の違いにつながっている可能性はありそうです。

              今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムを

              • by Anonymous Coward on 2011年05月17日 22時15分 (#1954069)
                > 容認することはできない
                なんで?
                # 落ちるまでがペネトレーションテストです。
                親コメント
              • 今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムをシャットダウンしただけでは、リブートされてしまえば同じですから、容易に再開されないようシステムを意図的に壊すのは、本人の目的からすれば合理的な行動です。

                後のコメントで「jsp を退避後シャットダウンした」とのことで、物理的な破壊とか妙な攻撃などではなく、再度起動してもサービスがそのまま継続して提供される訳ではない (が、復旧自体は分かっていれば容易っぽい) という感じでしたよ。

                これを完全な部外者が行っていたとしたら、なんらかの脆弱性を突いてファイル操作等を行った上でシャットダウン「させた」となるでしょうが、テストを依頼されている状況でソースコードや DB までアクセス等が行える権限を持つアカウントが割り当てられており、OS の正常なシャットダウンを行える権限は持っていませんでした、と見るのはやや無理筋に思えます。

                ペネトレーションテストをするために、サーバーにログインできる必要はありません。まして、root権限を最初から与えていたら、侵入できたのかどうかの確認にならないでしょう。テストで重大なセキュリティホールを発見したので、それをついてサーバーを壊しましたと言っているように読めるのです。それが明示されているわけではないですが、そう見えるものを容認することはできないというのは、ご理解いただけるでしょうか。

                えぇ、そういう解釈は確かに可能です。
                しかし私の場合は、自社が提供しているサービスにおいてそのような致命的なセキュリティーホールがあるにも関わらず「来月の定例会議でどのようにするかを決める」と判断するような「アンチウィルスソフトが入ってるし大丈夫でしょ」などという上長により管理されている現場で、そのように厳密なアカウント管理を行っているとはとても考えられません。
                その辺りからも「とりあえず必要なら使ってくれ」と root (または operator) 権限のパスワードまで教えていた可能性をまったく否定しません。

                ついでに言うと、ペネトレーションテスト「しか」依頼されていないかどうかは知りませんので、「だからゲスト権限以外持っていなかったはずだ」と判断するのは早計に思えます。

                親コメント
              • by Anonymous Coward on 2011年05月17日 23時05分 (#1954098)

                # 落ちるまでがペネトレーションテストです。

                そのようなテストを実際にサービスを運用しているサーバーで実行するのは不合理ですね。システムをコピーして隔離されたテスト系を作り、そこで実行するのが合理的です。そして、今回のtwitter での発言をみると、「本番系サーバーをシャットダウン」と、わざわざ本番系サーバーと断っているわけです。テスト系でセキュリティホールを見つけたら、そこで得た知識を使って本番系のサーバーも落としに行くのがあなたの考えるペネトレーションテストなんでしょうか?

                親コメント
              • by Anonymous Coward
                うむうむ。合理的なテストとその結果にもとづいた対策ができる環境なら、彼女も不合理な行動に出る必要はなかっただろうね。
              • by Anonymous Coward

                不合理な行動だったことを認めるわけですね。もし、ペネトレーションテストで落としたのであれば、それは不合理な行動にはなりません。したがって、#1954069 の AC の言う、落としたのはペネトレーションテストの一環という主張は嘘ということになります。テストが完了し、脆弱性を報告したのに対処が遅いから切れて(おそらくは不正アクセスで)本番系のサーバーを落としたということが再確認できました。

              • > そのときも、「サービス提供者に問題があるから不合理な行動に出る必要があった」「脆弱なシステムが止まってめでたしめでたし」と言うのですか?
                そんな実際に採った行動より馬鹿馬鹿しい部分しか増えてない例えに、いったい何の価値があるの?

                逆に聞くけど「クレジット番号が容易に抜けるサーバを1ヶ月は放置します、と上に言われたから、言われたとおり従います。」
                って話だったら、あなたは「めでたしめでたし」って言うんだ?実にすばらしい職業倫理をお持ちのようで。

                親コメント
              • 言及済みの結果論しかないんだ?
                問題を認識し、依頼(発注)をしている人間に現場の人間は連絡を取る手段が用意されていない、なんていう状況はごく普通ですよ。

                今回のも社長が偶々ツイートをみてたから連絡があって、事後初顔合わせで、「今後は」直接連絡するように言われた、というツイートがあったのでそれまでは連絡先を知らなかったと推測するのは妥当でしょう。
                連絡をつけれるかもわからない、連絡がつけば問題なく止めれるかも分からない相手と連絡をとれば良かったなんてのは結果を見たから言える理想論ですよ。

                親コメント
              • 「ペネトレーションテストを指示した人」が、一般的に社長とは限らないのだから、一般的に社長に連絡することになるわけがありません。仮に、自分が今やっているペネトレーションテストを指示した人は社長だということを、あらかじめ知らされていたのであれば、社長に連絡することは別に不思議なことではありません。

                今更の確認だけど、Togetterは読んでるよね?社長に限定する必要は勿論ないけど、あなただったら誰に連絡とって問題を解決させるつもりなの?すみやかに確認可能な権限者には確認を取っているんですよ?
                「誰」かは分からないけど、世界のどこかに解決できる人が居るのは絶対だから、がんばって連絡手段を考えてたら必ずいつかは連絡が取れて大団円を迎えられます、なんてのは映画並みのご都合主義です。

                その仮定の下で、サーバーを強引に止めたらどうなると思っているのでしょうか。止めた人は警察行きで、どういうセキュリティホールがあったのかわからないし、オーナーも詳細な事情はつかめないため、サーバーを復活させてそのままサービス再開でしょう。それに比べれば、遅くても会議で対策が話し合われるほうがよっぽどましですね

                該当モジュールを退避し、単純に起動するだけでは読み込まれないようにしているため、少なくとも情報系エンジニアを連れてこないとサービスの再開は出来ません。
                巫女SEが拘留され、代わりに連行された情報系エンジニアが余程無能で従順でない限りは、そのまま再開させることはないでしょう。
                ソースコードレベルのセキュリティホールなので、サービスを再開させずに検証可能ですし。

                まず、「腐るほどある」ことから、今回テスト環境がなかったことが証明されるわけではありません。

                さらに、そこでいうテスト環境のうち、「運用中にそのテストを行うことによってユーザーに大迷惑をかける可能性がある」というようなものがどれだけあると言うのでしょうか。onetime_id 氏は、「テスト環境」とだけ書いて、ユーザーに迷惑をかける可能性があるという条件を落としています。ユーザーに迷惑をかける可能性がないテストなら、わざわざ金をかけてテスト環境を構築する必要が低くなるので、技術者側からも環境を用意しろと強く要求できないのはあたりまえです。ついでに書いときますが、ペネトレーションテストをやるなら、公開前に実行するのが大部分なので、その場合はテスト系を作る必要はありません(まだユーザーがいない)。

                仮に、ユーザーに迷惑をかける可能性があるテストをサービス運用中にやっている企業がある、それを知っているというなら、それは非常に重要な情報なので公開するべきですね。出せないというなら、そんなのは最初から嘘なのか、技術者倫理がどうたらと言いつつ、実際にはロクデナシ企業のビジネス優先のロクデナシ野郎なのか、どちらかだということです。

                ようは「本番系でペネテやるのが論外」って話だけど、そんなの巫女SEの責任じゃないし(話を持ってこられた時点で、既にその状況だったんだから)巫女SEの立場だけに立って言えば「サーバを止める」と「一ヶ月放置」のどっちの悪を選択するかしかなかったの状況は変わってない。

                あと巫女SEが虚偽を述べていると言いたげな書き方でもあるけど、それならいっそ「あのエピソード自体が虚偽」としてしまう方が妥当。
                自分が非難するのに都合が悪いところだけを虚偽だと言うのは、それはもう「非難をするのだけが目的」にしか見えない。

                ちなみに、SQLインジェクションが騒がれたころ、監査室的部署から「既にサービスインしているものにも速やかにセキュリティテストを行うこと」ってお達しがきましたよ。
                実働部隊の偉い人たちは相当頭を悩ませて、私の知っている範囲ではだましすかし色々理由を作ってテストそのものを行いませんでしたが。
                既にサービスインしている顧客に「監査室がやれっていうので、今からテスト環境の機器購入費を出すか、しばらくサービス止めさせてください」なんていえる訳ないし、言っても許可取れるわけないからね。

                これは実働部隊と監査室の権限がほぼ同等だから通せてるけど、オーナーから求められました、とあっては相当困難でしょう。
                そんななかで「既に赤字案件なのに(開発状況のツイートを見るに妥当な推測でしょう)テスト環境機器の費用なんて出せないし、本番機で直接やって問題が発生しなければ一番安くあがるよね」と判断するプロマネは、居ても不思議じゃないですよ。
                もちろん、そのプロマネの職業倫理が正しいとは思わないけど、セキュリティのためならどんな赤字も許してくれるほど企業も甘くないからね。

                何度も言うけど、そもそもそこの判断がどんなに間違っていようと、現場SEを責めるのは根本的にずれてるし。

                セキュリティを考えずに作ったサーバーなら、あっという間にroot権限でシェルを起動されてるでしょ。

                もともとそうだろうな、と思っていたけど、確信しました。あなたIT業界の人じゃないですね。
                root権限を奪取できるセキュリティホールはOSやミドルウェアといったインフラ系の不備で発生する可能性が高く(逆にこのレベルがしっかりしていればアプリ側がどんな下手を打っても防げる可能性もある)SQLインジェクションはインフラに関係なく、アプリの作りの悪さに起因するので、まったく別個に発生しますよ。
                インフラの構築とアプリの開発が別の会社って事もよくある事だし、インフラ担当とアプリ担当でセキュリティ意識が全然違うってのも極普通です。
                一般的に言って、アプリ開発者の方がセキュリティ意識は低いし。意識しかけるときりがないし、本格的にセキュリティ維持体制を構築すると開発費(人件費)に跳ねやすいのもアプリだから。

                親コメント
              • 再度

                今更の確認だけど、Togetterは読んでるよね?社長に限定する必要は勿論ないけど、あなただったら誰に連絡とって問題を解決させるつもりなの?すみやかに確認可能な権限者には確認を取っているんですよ?

                これの答えがない限り、全然代替案を示したことになってないので、「越権シャットダウン」と「お上の言うとおりに放置」しかやっぱり選択肢ないですよ?
                「その馬鹿な二者択一に疑問を覚えないのですか?」と聞いてきたあなたは当然他の合理的な選択肢を示せるんですよね?
                「疑問を覚えたけど、答えは持ってない」ですか?だったら相手も「疑問は覚えたけど、他に選択肢を見つけられなかったから、その二者択一で聞いているのだろう」という位は思い至るべきだよね?

                まぁ実際にその状況になるかというと、ここまでひどい案件を持ってくるほどにはうちの営業も鬼畜じゃないふうだし、万が一持ってこられても請けずに流せる程度には今は立場も弱くないと思っているので、その状況にならない自信はそれなりにありますが。

                .

                実運用中のシステムでペネトレーションテストをやれと言われて従うのが普通と主張している人

                そんな人、居たっけ?
                「従うのが普通」と「従わざる得ない状況が発生しうる」が別物である事くらいは常識的に分かることだけど。

                以降も集合論的に同じ突込みを入れたいものばっかなんだけど、全部長々と返信書くと論拠全無視で結論にだけずれた返信しか返ってこないので割愛。

                親コメント
              • まともな論者が二者択一を提示した場合は、「その馬鹿な二者択一に疑問を覚えないのですか?」と言われたときに、「他に合理的な選択肢はない、なぜなら……だからだ」と説明するものです。

                そうそうに説明してますが? [srad.jp]

                ペネテで落とせば問題なかった、がエンジニアジョークである事位は理解してるよね?
                社長に直談判すればよかったんだ、は結果論だよ?自分の営業に相談すればよかったも同様。

                ちなみに、私だったら「本番系でペネテを行うなんて仕事を請けたのが間違い」とか答えるけどね。
                非常に合理的である自負はあるが、当然それ以上にナンセンスである自覚もある。

                「論拠全無視で結論にだけずれた返信しか返ってこない」事が再度証明されただけですね。

                親コメント
              • 馬鹿げすぎているから、最初のターム以降読まないつもりだったんだけど、このレベルで理解してなかったのか、、、

                また、「ペネトレーションテストを指示した人を見つけて報告する」は一般的に合理的な選択肢だということをあなたは否定できていません。あなたが言っていることは、「もしかしたら、そうできなかったかもしれない」ということだけです。「そうできなかったことの証明」が存在するのであれば、二者択一が成立するかもしれませんが、証明はないのですから、「馬鹿な二者択一」と言われるのは自然な結果というものです。(というか、実在すら怪しい人物の周囲の状況に関して証明ができるわけがない)

                取引先の社長と直連絡取れるのが一般的ではありえないと答えた筈ですが?
                専務が出張ってきている状況なのだから、同等かそれ以上の役職者と連絡取れなきゃ話にならない訳で、よりお手軽な相手と連絡取れれば解決しうる、なんて想定が何度も言うように、お花畑の理想論。

                そもそも「巫女SEの状況を言い当てろ」と言っている訳ではなく、あなただったらどういう状況を想定し、どのような解決プロセスを提示できるか、と聞いてるだけです。
                はっきり言うけど、ドラマのような奇跡的に都合の良い状況を想定するか、常識的に考えてなさげなプロセスしか思いつかないんでしょ?
                だから頑なに話しそらして答えることを避け続けてるんだよね。
                無自覚だったら、性根から歪んでるんだろうね。多分。

                その「普通」がどういう文脈で出てきているか確認してはいかがですか。まず、あなたがサービスを再開させるエンジニアを「無能で従順」と書いたわけです。しかし、「無能で従順」ではない「普通」のエンジニアが、「実運用中のシステムでペネトレーションテストをやれ」と言われて従うわけですね。じゃ、「普通」のエンジニアがサービスを再開しろという命令に従うことはないとなぜ言えるのかと指摘されているわけです。

                本来なら、サービスを再開させろといわれて命令に従った現場SEがいたとしても、「従わざるを得ない」からやったという評価になるはずで、「無能で従順」などと現場SEが罵倒されるようなことは起きないわけです。ところが、あなたの場合はサービスを無理やり停止するのを「正しい」と主張してしまっているので、それをやらない現場SEを非難することになるわけです。自分で現場SEが非難される土台をせっせと作っておいて、何が「現場SEを責めるのは根本的にずれてる」ですか。

                『サービスを無理やり停止するのを「正しい」と主張』などしたことはありません。
                「正しい」ことであることと、「せざる得ない状況である」ことの区別くらい付くよね?
                巫女本人も、「どちらの悪を選択するか、という話です」と言っているとおり、その行為を正しいなどとは主張していません。

                じゃ、「普通」のエンジニアがサービスを再開しろという命令に従うことはないとなぜ言えるのかと指摘されているわけです。

                「実運用中のシステムでペネトレーションテストをやれ」と言われたエンジニアと、「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアでは抱えているコンテキストが全然違うからです。

                っていうかこんなレベルから説明要るんですか?かなり根本的な部分で問題を理解して無いとしか、、、

                後者のエンジニアがシステムを起動しないのはエンジニアの職権範囲で出来ることです。
                なので越権行為も無く、セキュリティを維持できる選択肢があるという時点で、前者とは根本的にコンテキストが異なります。
                システムに他人が変更を加えている以上、それなりの調査を行わないと起動できる状況に復旧できない訳で、無能でなければセキュリティ状況に問題があることに気づけるでしょう。(もっと無能であれば、復旧手順自体が調べきれない可能性もありますが)
                その状況で営業なりに「今日中には起動できるって言っちゃったんだよ~」とか言われて従うのも「無能で従順」でしょう。

                実在するかどうかも怪しい人物を擁護するために、あなたが犠牲にしているものに、気付くべきですね。セキュリティ問題が起きた時に、経営側ではなく、サービスを停止させなかった現場SEが無能で従順と罵倒され責任を負わされる世界を、あなたは希望しているというなら、それでもいいのかもしれませんが。

                そもそも発注元や営業の問題で、現場SEの責任じゃねぇよっていうのは私が言い続けたたことで、現場SEの責任だといい続けたのはあなたの方でしょうが。
                旗色悪いことに気づいたからって、しれっと将棋板ひっくり返すイカサマみたいな事してんじゃねーよ。

                っていうか、何「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアと「越権シャットダウンを行わなかった」エンジニアを混ぜてんの?想定される人物は全然別人だよね?こんな事も区別付かなくなるくらい破綻してきた?

                親コメント
      • by Anonymous Coward

        この会社、脆弱性があったことやTwitterで内部事情の漏洩があったことを発表しないんだろうなぁ

身近な人の偉大さは半減する -- あるアレゲ人

処理中...