KasperskyのサイトにSQLインジェクション攻撃仕掛けられる 18
ストーリー by mtakahas
言い分が真っ向からぶつかってます 部門より
言い分が真っ向からぶつかってます 部門より
あるAnonymous Coward 曰く、
Kaspersky LabのUSサイトにSQLインジェクション攻撃が仕掛けられ、データ一部漏洩しているようだ(本家/.より)。公開されたスクリーンショットやテーブル名から推測すると、ユーザーやバグ、またリセラーアカウントに関するデータが漏洩している模様。ハッカーは「機密情報はネット上に公開しない」としているが、使われたURLの大部分はスクリーンショットから読み取ることができ、修正されなければ同様の手口で攻撃を仕掛けられるのは時間の問題ではないかとのこと。
なお、現時点ではカスペルスキーからこの件に関する発表はなされていない模様。
このタレコミのあった後、Kaspersky Lab側もプレスリリースを公表しました。ただし同社は、usa.kaspersky.comの脆弱性を突いた攻撃があったことは認めたものの、それは失敗に終わり、機密情報へのアクセスはできなかったし、本社サイト(www.kaspersky.com)にも影響はなかったと説明。攻撃者側の主張は間違っていると述べています。果たしてことの真相は?
こんなこともあろうかと偽物にすり替えておいたのだよ! (スコア:2, おもしろおかしい)
ただし同社は、usa.kaspersky.comの脆弱性を突いた攻撃があったことは認めたものの、それは失敗に終わり、機密情報へのアクセスはできなかったし、本社サイト(www.kaspersky.com)にも影響はなかったと説明。攻撃者側の主張は間違っていると述べています。
つまり攻撃側がなにを公開してもKasperskyの機密情報じゃない、ということだな。
安心して公開できますね(笑)
Re: (スコア:0)
参考までに。 (スコア:2, 参考になる)
カスペルスキー研究所の解析者日記と称するブログで、今回の騒動の詳細が以下のページで述べられていますね。
What really happened to usa.kaspersky.com/support
http://www.viruslist.com/en/weblog?weblogid=208187633 [viruslist.com]
上記のページを読んで、思ったこと。
After conducting the attack, the attackers decided to show off their ‘great code of ethics’ by sending
Kaspersky an email - on a Saturday to several public email boxes. They gave us exactly 1 hour to
respond. And posted on their blog without having received a response.
つまり、アタッカー達は、戦績を誇示しながら、一時間で回答せよと、いわば一種の脅迫をしてます。
カスペルスキー側も慎重に調査しなければいけないのだから、一時間っていうのは酷だと思いました。
で、アタッカー達は回答を貰えなかったので、発表したということらしいです。
No data modification queries UPDATE,INSERT,DELETE... were logged.
今回のことで、実被害はないようですね。
最終的に、解析者日記は、以下のように結論してます。
1.幸い、ダメージよりも、我々が興味の対象になる程、有名であることを、彼等は証明してくれた。
2.どこでも、いつでも、ウェブ開発の第一の優先事項は、セキュアでなければならないこと。
3.プロセスとコードを、チェックにチェックして、更に再チェックせよ。
Re:参考までに。 (スコア:1, おもしろおかしい)
>今回のことで、実被害はないようですね。
SELECTされるのも危険じゃんとか思ったら、
>After collecting field names the attackers made a few attempts to extract the data from tables.
>Those queries failed because the attackers specified the wrong database.
えー!なにやってるのよ!
Re:参考までに。(自己訂正) (スコア:1)
もう一度、記事をよく読んだら、誤読した部分がありました。
>1.幸い、ダメージよりも、我々が興味の対象になる程、有名であることを、彼等は証明してくれた。
ではありません。
原文は、
なので、
「幸いにも、ハッカー達が、ダメージを引起すことよりも、有名になることに興味を持っていたことが
分かった。」ですね。
ここに、自己訂正させていただくとともに、深くお詫び申し上げます。
名誉を貶める目的 (スコア:1, すばらしい洞察)
成功であれ失敗であれ、この食い違いの発生が目的な気がする。
まったく攻撃せず、ただ「○○のサイトから情報を盗み出すことに成功した、横流ししたりはしない」と発表してみよう。当然サイト側は調査するハメになる。
結果「何も起きていなかった」で終わるのがなんならログに残る程度の攻撃はしてみよう。そうすれば「攻撃はあった」という結果はでる。
そこに残るのは何か、「○○のサイトは脆弱であるか、今後も同様の攻撃にさらされ続ける」という風評のみ。
攻撃成功か失敗か、どちらが正しいか?当事者しか知らない。まわりはただどちらかを信じるのみ。
そして一部の人が「攻撃は成功」と信じてしまえばセキュリティ企業としては相当なダメージではなかろうか。
Re:名誉を貶める目的 (スコア:1, 興味深い)
逆に売名行為ってのもありますよね。
昔、Kasperskyが無名だったころ、Kaspersky Labは、サポートが切れたバージョンのFirefoxのセキュリティホールを(バグ報告せずに)Secuniaにタレ込んで、本家/.にストーリーが立ったことがあります。ロシア企業は随分えぐいことをするなぁ、という印象でしたが、因果は巡るというやつですな。 #1510310の解説にもあるように、標的になるくらい成長したってことなんでしょう。
Kasperskyのサイト (スコア:0)
Kasperskyの各国のサイトは散々トルコ人に改竄されてるのに、それについての声明はないの?
いつになったらZone-Hは復活するの。
他社も人のこと言えないからなぁ。 (スコア:0)
http://www.itmedia.co.jp/enterprise/articles/0806/13/news024.html [itmedia.co.jp]
http://srad.jp/askslashdot/comments.pl?sid=337315&cid=1042083 [srad.jp]
×:Kasperskyに (スコア:0)
×:Kasperskyに
○:Kasperskyのサイトに
紛らわしいタイトルで誤解を誘うのやめれ。
新聞やテレビじゃないんだから。
Re: (スコア:0)
K御大がケツめんどインジェクションを喰らって
内容物を漏洩している姿を一瞬想像してしまいました
ごめんなさいごめんなさいごめんなさい
売り言葉に買い言葉 (スコア:0)
つまり、攻撃者の人が自分の名誉を守るためには、ゲットした機密情報をアップして自分の方が正しい、と主張する必要があると・・・。
(もし攻撃者側の主張が真実なら)これ、せっかく相手も穏便に済まそうとしてくれてたのに、悲しい事になるんじゃね?
Re:売り言葉に買い言葉 (スコア:1)
攻撃して発表している時点で全然穏便じゃない。
ミサイル飛ばしたけど海に落ちたから北朝鮮は穏便に済ませてくれたんだ!
みたいな話はないでしょ。
Re: (スコア:0)
> ミサイル飛ばしたけど海に落ちたから北朝鮮は穏便に済ませてくれたんだ!
> みたいな話はないでしょ。
何を言ってるんですか? 海に落ちたどころか命中したって一発だけなら誤射かもしれないでしょ?
Re: (スコア:0)
>何を言ってるんですか? 海に落ちたどころか命中したって一発だけなら誤射かもしれないでしょ?
ミサイルの息づかいを感じていれば、事前にかわすことなど容易いことですしね。
例え話 (スコア:0)
それ例え話が間違ってません?今回の場合は、
北朝鮮はミサイルを「海に狙って撃った」。防空体制が脆弱なのが判った。
→ わが国の防空体制は完璧です。ミサイルは撃ち落としました。と発表。
→ 本当に撃ってきた。(今ここ?)
というイメージになるかと(※ 現実の出来事とは一切関係有りません。あくまで例です)。
Re: (スコア:0)
今回のケースを喩えるなら、
九州には着弾したけど、東京の政治家やアナリスト達が
「あのミサイルは失敗作。射程が短いし東京まではとても届かない。核弾頭も搭載できないタイプ。騒ぎ過ぎ。」
と言っているようなものかと。