Amazon Web Services を悪用して Share ネットワークへ攻撃 31
ストーリー by reo
脆弱性を突くこと自体には違法性がないのでは 部門より
脆弱性を突くこと自体には違法性がないのでは 部門より
ある Anonymous Coward 曰く、
2009/7/10 頃から、AWS (Amazon Web Service) を悪用 (?) して P2P ソフト「Share」のネットワークのみをターゲットにした大規模な「攻撃」が仕掛けられている模様。
この攻撃を受けると、無防備なノードの Share はエラーを吐いて通信停止状態に陥る。まとめサイトにて既に対策法をまとめたインストーラなどが存在するが、インストール及び運用は自己責任で。
SYN flood Attack (スコア:4, 興味深い)
Windows 2000/XP/Vista にはSYN攻撃(SYN flood Attack)に対処する機能(SynAttackProtect)が備わっているのに、
既定状態では無効になってるみたいですね。
なんでだろ。
Re:SYN flood Attack (スコア:5, 参考になる)
値によってはクライアントの接続状況に対して制限がありすぎる場合もあります。 [microsoft.com]
しかもクライアントOSではSYNアタックを受ける可能性自体が少なく、デフォルトで許可にするような設定ではない、ってことでは?
法的にはどうなんでしょうね。 (スコア:3, 興味深い)
Shareの脆弱性をついた攻撃であれば、まったく問題ない、ということは間違ってもないと思うのですが。
ましてや、Amazon Web Servicesなど利用していたら、少なくとも不正アクセスで捜査がはじまれば足がつくのは早いと思います。
「どうせShareを使っている人なんて、不正なファイルをダウンロードしている人たちだから訴えてはこないだろう」と高を括っている?
むしろ、これで訴えてきた人のPCを「証拠保全」を理由に研究し、不正ファイルがあればお縄、という話でしょうか。
どちらにせよ、ファイル交換などに縁がない生活をしている身から見れば「どうでもいい」の範疇ではありますが。
神社でC#.NET
Re:法的にはどうなんでしょうね。 (スコア:2, 興味深い)
今回の攻撃はDoSのようなので、被攻撃PCを「利用をし得る状態」にさせたかどうかがポイントでしょうか。攻撃が発展して任意のコードを実行まで行くと、明確にクロになるだろうと思います。
なもので、「脆弱性を突くだけでは違法ではない」とは言いきれないかと。
Re:法的にはどうなんでしょうね。 (スコア:2, 参考になる)
Re:法的にはどうなんでしょうね。 (スコア:3, 参考になる)
よくある誤解なのですが、ここでいう業務とは、法律用語での業務だと思います。
この場合の業務上とは「仕事をしているとき」じゃなくて法律用語としての業務、即ち「人が社会生活上占める一定の地位に基づいて営む活動一般」だと思われます。
だから、他人のコンピュータを破壊する目的で、ウイルスを送り込んだり脆弱性を付いてコンピュータを使えない状態にしたり、DoS攻撃をしたりと言うのは、たとえそれが一般用語で言う「業務用」でなくても、電子計算機損壊等業務妨害と言うことになるでしょう。
例えば自動車運転過失致死傷の法律ができる前は、自動車運転している最中に事故を起こし、相手に障害を与えた場合は業務上過失傷害と言うことになりましたよね。
#実は業務上過失傷害・過失致死傷の業務妨害の業務は、威力業務妨害、
#電子計算機損壊等業務妨害よりもさらに限定された概念らしいので微妙に違いますが
Re:法的にはどうなんでしょうね。 (スコア:2)
既にツッコミが入っていますが…「財産権の得喪若しくは変更に係る」としているので、単にデータを書き換えた場合ではなくて、概ね「財産権の根拠となる数字を不正に書き換えた場合」と考えれば良いかと。
具体的には、銀行のホスト上にある口座残高を書き換えて1億円足しておく、クリック単価のバナー広告を自分でクリックしまくる、盗んだカードで電子マネーをチャージする、などが該当するでしょう。(最後は2つは判例から判断すると、人が介在しないような仕組みであれば成立するはず。)
HIRATA Yasuyuki
Re: (スコア:0)
Re: (スコア:0)
今後は、その法律素人にジャッジをさせようって国なんだから、まぁいいんじゃない?
元コメも別に断定してるわけでもないんだし。
Re: (スコア:0)
間抜けなことを書いて他人にバーカといわれる自由はありますよ。もちろん。
Re: (スコア:0)
>Shareの脆弱性をついた攻撃であれば、まったく問題ない、ということは間違ってもないと思うのですが。
法律の前に利用規約的にどうなの?っていう問題も際どい。
正義のためなら、攻撃を意図した使い方もアリっていうなら、
ワンクリサイトへの「訪問」攻撃に使ってもOKということで
クラウド=ボットネットという図式が成立しますね。
Re: (スコア:0)
P2Pソフトを擁護する人達も研究やら表現の自由の為ならなんでもアリだと主張するんで、おあいこじゃないすかね。
個人的にはどちらも嫌だが。
Re: (スコア:0)
タレこみにあるまとめサイトからの引用
> しかしこの方法では根本的な解決にはならず、対処法をより多くのユーザーに広め実践してもらわなければShareオワタ
> # とにかく多くの人に対策してもらわなくては困るので、対策方法を一つのインストーラにまとめました。
ということは逆に、shareネットワークを機能低下させる目的を以って
「対処法」を講じていないクライアントをつなぐのは同目的には有効な手段なのか。
攻撃対象というか、攻撃の窓口としてはよくある (スコア:0)
今回の件の背景がどうなっているのか知る由がありませんが、
「カジュアルテロ」的な行為が「後ろ暗いところがある人たち」を
標的にしがちな傾向はあるんじゃないかと思います。
それでなくても、不特定多数「からの」通信を受け入れて
ファイルアクセスまでするサービスなんで、
「ちょっと攻撃してみたい」人にとっては格好の的でしょう。
Re: (スコア:0, 荒らし)
「どうでもいい」と書きつつ、
一番乗りでコメントを付ける姿勢を理解しかねます。
#おきらいですか?
Re:法的にはどうなんでしょうね。 (スコア:1)
別に私はShareユーザーでないので、Shareネットワークに何らかの攻撃が加えられているとか、それで不具合が生じている、ということ自体は「どうでもいい」です。
ただ、そういうソフトウェアのネットワーク(たとえばMSNメッセンジャーやSkype等)に対して類似の攻撃が加えられる可能性がある、という点や、こういった攻撃が法的にどう扱われるのか、といった部分には興味があります。
ということなんですけどね。
あと、たまたま見つけた興味深い記事にコメントをつけたら、それが結果的に一番だった、というだけの話で。「アレたま」の段階でコメントをつけるのって、そんなに珍しいことなんでしょうかね?
神社でC#.NET
Re:法的にはどうなんでしょうね。 (スコア:2)
Re: (スコア:0)
ネットワークが糞重たくなっても文句言わないでくださいね。
Amazon Web Service (スコア:3, 参考になる)
Amazon Web ServiceといってもProduct Advertising API(旧:AmazonアソシエイトWebサービス) [amazon.co.jp]のほうではなく
Amazon Elastic Compute Cloud (Amazon EC2) [amazon.com]のほうですよね。
SSL証明書を使う詐欺サイトが急増中 [srad.jp]のように
クラックされたアカウントが使用されているのではないでしょうか。
実は (スコア:1, 興味深い)
勝手にクラウド (スコア:2, すばらしい洞察)
クラウド・サービスを作っていたんじゃないのかしら?
今回の新規性は『アマゾンみたいな大手商用ネットサービス』
を使ったという点でないかしら。
Re: (スコア:0)
Re: (スコア:0)
botなら各プロバイダに通報して~とかメンドクサイったらないんだろうけどね
威力業務妨害とか (スコア:0)
ネットエージェントの。
Re:威力業務妨害とか (スコア:1, おもしろおかしい)
実は攻撃する気は更々無くて、SHAREの実情監視のソフトを動かしてみたら…とかだったりして。
Re: (スコア:0)
>実は攻撃する気は更々無くて、SHAREの実情監視のソフトを動かしてみたら…とかだったりして。
(キュピーン)
謎は全て解けた!
犯人はAC*S!そして京*府警が協力している!!
Shareタマ防止 (スコア:0)
そこそこの手間で対策できるのは分かるんだが…
なんとなくだけど、これの本当の目的は
「初心者を遠ざけて個人情報流出を防ぐ」
じゃないかなぁ、と思ったりして。
と思ったけど、誰がやってるのかは謎だなぁ…
# じゃあ、セキュリーナってことで