7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? 87
ストーリー by hylom
ソース・オープン 部門より
ソース・オープン 部門より
あるAnonymous Coward 曰く、
2ちゃんねるで話題になっていたが、先日個人情報流出騒動が起きたセブンアンドワイのネットショッピングサイトのサーバで「.svn」や「CVS」ディレクトリが公開状態になっており、そこからソースコード等一式が流出するという事件が発生した模様だ(カジ速による2ちゃんねるの該当スレッドまとめ)。
先日スラッシュドットでも「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲットという話題があったが、まさにその通りの手口。ちなみに、問題となっているショッピングサイトは現在でも通常通り運営を続けている。
企業として (スコア:5, すばらしい洞察)
危機管理能力が欠如し過ぎている感は否めないと思うのは私だけ?
2度も同じミスが連続してセキュリティも甘々なのにサービスを提供しつづけるのは顧客軽視としか思えない。
#ミスは仕方ない。だが事後の対応が甘すぎる。
#この規模のトラブルって普通、サービス落とさない?(メンテ画面とかで
Re:企業として (スコア:4, おもしろおかしい)
サービスとめてしまったら、2chの方々がデバッグできなくなるじゃないですか。
見切り発車すぎましたね (スコア:3, 興味深い)
普通は停止すべきですよね。
ただ今もTVCMやってたりヨーカドーにはポスター一杯貼ってますから、上が止めたがらないんじゃないでしょうかねえ。
#もしくは膿を出し切るまでベータテストする気?
絶対に止められない理由があるのか (スコア:1)
新幹線大爆破 [wikipedia.org]思い出した。
Re:企業として (スコア:1)
今年10月価格誤記→2ちゃんねるで祭→閉店→リニューアルオープン→価格誤記→祭
ダメすぎ。
http://blog.livedoor.jp/insidears/archives/52100699.html [livedoor.jp]とか。
Re:企業として (スコア:2)
在庫切ればっかりだったよ。
データ入力の要員が極端に少ないなど
ミス以前に構造的な問題があったのではないだろうか。
Re:企業として (スコア:1)
メンテナンスする(直す)気がないのですから、メンテナンス画面にもできないでしょう。
起こるべくして (スコア:5, おもしろおかしい)
.cvn →convenience
つまりこの事件は既に予言されていたのだよ!
な、なん(ry
Re:起こるべくして (スコア:3, 興味深い)
一般的にはCVSはConVenience Storeの略ですからねぇ。
# Concurrent Versioning Systemが通じるのはソフトウェア開発に縁があるとこだけ。
ウェブサーバの設計・構築を手がけたヤツが「CVS/ってコンビニのディレクトリだよな」と思って外部に曝していたとしたら笑えない……。
Re:起こるべくして (スコア:1)
Re:起こるべくして (スコア:2)
どうぞ混乱してください。http://www2.starcat.ne.jp/~wada/CVS/cvs.csv [starcat.ne.jp]
な
次の展開 (スコア:5, おもしろおかしい)
Re:次の展開 (スコア:3, 興味深い)
# もはやドメイン名が不審だろうが、オレオレ証明書だろうが、
# 「やりかねない」の一言でスルーしてもらえちゃう気がする。
2.2 (スコア:1)
It works! # いや、動いてない
言ってないことに反論するなよ
今までの流れ (スコア:5, 興味深い)
最近の流れですが
セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される [kajisoku.net]
↓
セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 [kajisoku.net]
↓
今回
最初の段階で一時停止でもして、根本的にセキュリティチェックをすべきだったかと。
今回のトピックに紹介されてる話の中のこれ↓にある通り
根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。
Re:今までの流れ (スコア:1)
# 近くに書店がないので、7andYを利用せざるを得ないID
Re:今までの流れ (スコア:1)
>根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。
開発メンバーに、まともな技術者が一人もいなかった場合などは、
「抜本的な対策 = メンバー総入れ替え」になることもあります。
日本企業が「抜本的な対策」を取るわけ無いよね。
Re:今までの流れ (スコア:1)
抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。
というリスクもありますよね。
ノウハウが人に依存している場合にありがちだけど、不具合そのものよりも
こういう状態をリリース前にストップかけるしくみがなかったという管理の問題では?
Re:今までの流れ (スコア:1)
>抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。
ああ、もちろん言うまでもなく「今までより優秀なメンバーに」入れ替えるんですよ。
「入れ替えさえすれば今より質が下がっても構わない」という話ではない。
「入れ替えてみたら質が下がった」と言う場合は、人を見る目のない人事部の責任なので、人事部の
総入れ替えが待ってます。人事部を入れ替えたら人事部を見る目のない社長の責任なので(ry
冗長なUTF8によるディレクトリトラバーサル (スコア:4, 参考になる)
カジ速にある魚拓のURLを見るとタイトルの通りだと分かる。
URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。
bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。
なんか誰も書いてないけど (スコア:3, 参考になる)
それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。
もちろん.svnとかソースのtarとかを公開ディレクトリに置いて外部からアクセス可能になってる場合は問題だけど、
https://www.example.com:443/bks.svl/%c0%ae%c0%ae/HTML_JS/CVS/Root
みたいなURLは脆弱性を利用したアクセスであって、公開情報とは言わないと思うよ。
(実際はどうか知らないけど、そもそも脆弱性を利用しないパターンのアクセスは禁止されてた可能性もあるわけで)
当然、脆弱性のある(しかも修正が公開されている)フレームワーク使ってるのが一番の問題。
でも、仮に通常アクセスへの制限が行われていたとすると、上記の脆弱性を利用したアクセスって言うのは、
いわゆる不正アクセス禁止法に引っかかる可能性が高い(三条2項の二)。
こう言う簡単なアクセスで攻撃できてしまうパターンって、imgタグか何かで無実の人が攻撃者に
見せかけられる可能性もあるし、厄介だね。
今回の場合は、これらのURLを公開情報だと思ってアクセスしちゃった人たちは過失犯で対象外だけど、
この脆弱性を見つけて、URLを面白がって公開した人なんかはかなりマズいんじゃないかと思う。
それとも、脆弱性の攻撃方法って「他人の識別符号」じゃないから、不正アクセス禁止法での
「不正アクセス行為を助長する行為」には含まれてなくて大丈夫だったりするのかな?
社長が (スコア:2, 興味深い)
7&Yの社長?がコストをかけないでどうとかって記事をどこかで見た気がする
セキュリティ的にアウトでも注文が入って商品が売れればあとはどうでもいいのかな
ローソンの社長が法人税が高すぎるから低くして消費税を増やせばいいとかなんとか言ってた気がするが、
どこの会社の社長もてめーが儲かれば他のことはどうでもいい人達なのかな
ローソンもセブンも使うの遠慮するわ
Re:社長が (スコア:4, 興味深い)
まともな危機管理できない内製だが、外注してもまともな要件定義出せないだろうね。
Re:社長が (スコア:2)
という記事のタイトルが、いい味を出していますね。
立ち向かうどころか、逆風に乗ってどんどん風下に流されていく感が堪らないです。
引きつった笑いがまた良い。
安部元首相と中川昭一を足して二で割ったようなルックスも最高!
Re:社長が (スコア:1)
こういうところが内製化に走るのは
ブラック労働させる気マンマンだからだろうな
と邪推
Re:社長が (スコア:2, 興味深い)
深夜のバイトは割と暇だと聞くので、amazon方式を分散実装するのはどうかな。客からの注文を、オンラインで「今現在、その組み合わせを在庫に持っていて暇そうな店舗」を検索してリダイレクト。店番中の店員が店内から商品を集めて箱詰め。次の配送トラックに乗せて発送、とか。
Re:社長が (スコア:2, 参考になる)
今の時代はそれだとターンアラウンドが長すぎるかな。深夜のアルバイトに流すって事は、次の宅急便の配送トラックは翌日の夕方なわけで、注文から3日~4日もかかってしまいますよ。
後は品質の問題もある。誤配達するとロスが大きいんで、クロスチェックするのが一般的。だけど深夜のコンビニだとクロスチェックは人員的に厳しいでしょう。
Re:社長が (スコア:1, 興味深い)
「相続税の最高税率を引き上げろ」と主張する創業者社長はどこかにいないもんですかね…
「子孫に美田を残さず」を実践する大富豪を応援したい。
所得税のハナシですが (スコア:2, 参考になる)
>「相続税の最高税率を引き上げろ」と主張する創業者社長はどこかにいないもんですかね…
>「子孫に美田を残さず」を実践する大富豪を応援したい。
故ポール・ニューマンは富裕層向けの減税策をとった当時のブッシュ(Jr.)政権を非難して
「私のような大金持ちから税金を取ろうとしない政府は間違ってる!」
と民主党大会で演説、満場の喝采を浴びたそうです。カッコいいぜ、ニューマン。
*:ポールニューマンはフレンチドレッシングの会社の創業者社長でもありました。
IPAとかで取扱中? (スコア:2, 興味深い)
報道が出ないなあ、管制中なのか?IPAでは取扱中なんだろうか?と「セブン site:ipa.go.jp」で検索してみると、一番最初に出てきたのはこれ [ipa.go.jp]でした。
ドットで始まるファイルへのアクセスを禁止しておけばよかったのに (スコア:1)
まぁApacheかどうかはわからないけど、
apache :: ドットから始まるファイル、ディレクトリにアクセス禁止 [Tipsというかメモ] [root-n.com]
こんな仕組みを使っておければよかったのになぁ。
屍体メモ [windy.cx]
Re:ドットで始まるファイルへのアクセスを禁止しておけばよかったのに (スコア:2)
そういう対応でよしとできる考え方がわからない。
公開ディレクトリには公開可能なファイルのみを置くべきだと思う。
そもそも公開ディレクトリに対して直接チェックアウトするのが間違っている。
Re:ドットで始まるファイルへのアクセスを禁止しておけばよかったのに (スコア:1)
まあ、Directory ディレクティブで「/.」を含むようなパスへの
アクセスを止める設定を加えることはよい考えに見えますが、
それとは別に、本番環境に対しては最低でも Checkout ではなく、
Export にしておくべきでしょう。
というか、本番環境適用後の動作確認を含め、
普通リリース管理のルールなり、仕組みがあるもんだと思いますが、
そのなかできちんとやっておくべきでしょう。
Re:ドットで始まるファイルへのアクセスを禁止しておけばよかったのに (スコア:1)
というか、本番環境に開発データが存在する運用体制そのものが最大の問題ではないかと…。
ちなみにNetCraftによると
http://toolbar.netcraft.com/site_report?url=http://www.7netshopping.jp [netcraft.com]
Apacheのようではありますが。
------------------ セキュリティって何?
Re:なんでRedirectMatch? (スコア:2, 参考になる)
.svn や CVS はディレクトリなので、<Files> や <FilesMatch> は適用されません。
Re:なんでRedirectMatch? (スコア:3, 参考になる)
この場合はLocationMatchを使うべきですね。
HIRATA Yasuyuki
Re:なんでRedirectMatch? (スコア:2)
こうかな?
.svnからソース丸見えにならないためにやっておくべきことまとめ-もぎゃろぐ [mogya.com]
Re:ドットで始まるファイルへのアクセスを禁止しておけばよかったのに (スコア:1, すばらしい洞察)
それは".ht"で始まるApache HTTP Serverが利用する設定ファイル(.htaccess等)を見えなくする設定。コメントにもそう書いてあるだろ?それ以上でもそれ以下でもない。
それが困るなら利用者がきちんと設定すべき。それだけの話だが、何が問題なんだ?
7&iは人のメールアドレス使ってシステムテストやるのやめてください (スコア:1, 興味深い)
心当たりないのでメール送ったのですが心当たりないとしらばっくられました
なんでメアドの確認もせず注文までできるシステム組むかな?
# ヘッダにおかしな所もなく確かに7&i発のメールだったんですけど
# wwwtest2.7andy.jp とか変なドメイン使ってました
Re:WELCOME TO THE NEXT LEVEL (スコア:2, おもしろおかしい)
しかも、なんとバグが減っていて機能が充実してしまっていたって話でもう一丁。
最後に、そんな有様なのに、誰も Backdoor を仕掛けなかったよ?!!! というのでトドメ。
fjの教祖様
Re:WELCOME TO THE NEXT LEVEL (スコア:2, おもしろおかしい)
Re:WELCOME TO THE NEXT LEVEL (スコア:1)
いや Open Door で,運用やメンテナンスもオープンで...とか
Re:WELCOME TO THE NEXT LEVEL (スコア:2, おもしろおかしい)
Re:ハッカー栗原はるみ (スコア:1)
きっとハッカやクラッカーを買ってたんだよ。
Re:ソースコードが流出したぐらいたいした問題じゃない (スコア:4, おもしろおかしい)
と言うように見えるのだが。
ソースコードを見るとコメントに
”助けてくれなんて言っていないんだからね”
的な事が一杯書いてあるに違いない。
よくある誤解 (スコア:3, すばらしい洞察)
穴は掘られたわけでも、広げられたわけでもありません。最初からそこにあったんです。見つけた人が騒がなければ良かったという論も時々見かけますが、それでは「次に見つける誰か」が存在できます。Webサービスに脆弱性が見つかったならば、いつでもすぐに提供を中止し状況を周知するべきです。発見者に責任を押し付け、漫然と運用を続けることは将来的な村外の原因となり得ます。
Re:よくある誤解 (スコア:1)
ま、その通りなんだけど、穴が見つかった時に、
きちんと正しい対応を取る、って言うのは、
意外と難しい事なんだよなぁ、とかも思ったり。
// だからと言って、マズい対応を取ることが、
// 正しい対応を取ることに比べて、格段に容易なのか?
// と思うと、難易度にはそれ程の大差は無いという不思議。
// テンパってしまうと、一所懸命に考えて、必死で
// 最悪の選択を踏んでしまうんだよなぁ。
Re:よくある誤解 (スコア:1)
ことへの対応を指すのだとすれば、まずはサービス停止・原因調査・事情説明・謝罪等などすべき
「正しい対応」は難しい事ではないと思います。
Microsoft IME Standard 2002 ver.8.1です (スコア:2)
# だからプロプラはダメなんだ!
Re:良かった、漏洩した本番ソースは居ないんだ (スコア:1)
本番環境を使って、一体誰に何をデモしていたのかが気になります。
脆弱性?