豪公共交通システム、Webサイトの脆弱性を報告した少年を警察に通報 67
ストーリー by headless
通報 部門より
通報 部門より
16歳の少年がオーストラリア・ビクトリア州の公共交通システム、Public Transport Victoria(PTV)のWebサイトで脆弱性を発見して報告したが、PTVは不正アクセスを受けたとして警察に通報したそうだ(The Ageの記事1、
The Ageの記事2、
Wiredの記事、
本家/.)。
この少年が見つけたのはSQLインジェクションの脆弱性で、旧公共交通システムMetlinkのオンラインストア利用者の名前や住所、電話番号、メールアドレス、クレジットカード番号の一部といった個人情報が保存されたデータベースにアクセス可能だったとのこと。少年は12月26日にPTVに脆弱性を報告したが、何の反応もなかったという。その後、少年からこの件について連絡を受けたFairfax Mediaが1月6日に問い合わせたところ、PTVは不正アクセスを受けたとして警察に通報。少年に対する警察からの接触はないが、捜査は行われているようだ。
この少年が見つけたのはSQLインジェクションの脆弱性で、旧公共交通システムMetlinkのオンラインストア利用者の名前や住所、電話番号、メールアドレス、クレジットカード番号の一部といった個人情報が保存されたデータベースにアクセス可能だったとのこと。少年は12月26日にPTVに脆弱性を報告したが、何の反応もなかったという。その後、少年からこの件について連絡を受けたFairfax Mediaが1月6日に問い合わせたところ、PTVは不正アクセスを受けたとして警察に通報。少年に対する警察からの接触はないが、捜査は行われているようだ。
これで (スコア:5, すばらしい洞察)
少年も馬鹿正直に通報なんかするよりスパマーにでも売ったほうが金も儲かって一石二鳥だと学習したことでしょう。めでたしめでたし
正しい対応(日本の場合) (スコア:5, すばらしい洞察)
ひろみちゅ先生に知らせてあとは任せる
#ネタじゃなくそれが一番のリスク回避
Re:正しい対応(日本の場合) (スコア:4, すばらしい洞察)
ほぼ同意。
別案で IPA の窓口とか。
http://www.ipa.go.jp/security/vuln/report/ [ipa.go.jp]
逆切れ対策には専門家を通すのが一番。
Re:正しい対応(日本の場合) (スコア:1)
脆弱性の発見、探索または立証の過程が攻撃とみなされているわけだから、
IPAに報告したとしても、被害届を出される可能性はありますよ。
そして、アクセス履歴から攻撃者が特定されてしまうわけです。
Re: (スコア:0)
しかしIPAが多少でも擁護してくれれば警察の対応はかなり変わるでしょうし、悪意のないことの裏付けとしても有用でしょう。
Re: (スコア:0)
表彰を受けるのならともかく、すこしでもマイナスになる可能性がある時点で、報告する意味はなくなりますね。
Re: (スコア:0)
そりゃ見て見ぬふりのがリスク少ないに決まってる。
しかし、自己満足の大きさは人それぞれだし、社会全体としても行動を起こす人がいた方が有用。
#だからIPAが受け付けているわけで。
Re: (スコア:0)
見て見ぬふりして自分のデータが抜かれたら困るじゃん?
だから高木浩光に通報するのがベスト。
Re: (スコア:0)
ふつーにIPAでいいじゃん。
# ひろみちゅ先生もヒマじゃないんだからさ…
Re: (スコア:0)
最近の先生は忙しくてそれどころじゃなさそうですが
筋が悪いな (スコア:2)
目に付く前例のほとんどが逆切れ的に訴えたもの勝ちな状況になってるんだから
そろそろ先に訴えちゃう奴が出てきても良い頃なのになー。
脆弱性を放置されてて被害を受けているとか言って。
uxi
Re:筋が悪いな (スコア:2)
ほんとこれ。
最低、先に被害届出してから通知しないと、自分があぶない。
とにかくすぐに第三者を入れないと、自分が悪いことになってしまう可能性がある。
交通事故の処理と同じだと思わないといけない。
Re: (スコア:0)
私企業なら株主代表訴訟なんかに誘導するとか、公共機関ならオンブズマンに訴えるとかだな
狂った社会 (スコア:1)
以前もこの手のニュース見た気がする。
良かれと思っても何もやってはダメなんだろ。残念な社会だ。
数日前に見たのは、迷子らしい子供がいたが警察に教えただけで、子供に接触もせず見守りもしなかったそうだ。見守っていても他から見たら怪しい人間だしな。
人攫い多発地域というわけでもなかろうに (スコア:0)
連絡したことを称賛されこそすれ、なぜ非難する人がいるのかわからなかった。
あれを非難されるなら、気づかないのが一番になってしまうような。
よかれと思って (スコア:0)
変なことするヒトも多いので、「よかれと思って」というのは免罪にはなりません。
# 鉄道模型を捨てるとか。
Re:よかれと思って (スコア:2, すばらしい洞察)
地獄への道は善意で敷き詰められている。
Re: (スコア:0)
#2526106だが、俺の今までやってきた事は間違いだったのだろうか。
交通事故を見て、一番に駆け寄ったのは俺だ。すぐ110して警官来るまで出来るだけ処理して。
何もやらないで後で後悔するのは嫌だから、こう言うのはすぐやることに決めてる。
前走っていた自転車が財布を落としてったのを見て、大声あげて呼んだ事もある。道いっぱいの人が俺を見てた。
Re: (スコア:0)
それらのケースは問題ないと思う。
財布を拾ったケースは「道一杯の人が見てた」のが良い。
誰も見てないと届けた相手から「中身がない!」って言われたかも。
Re:よかれと思って (スコア:5, 興味深い)
高校生のとき、同級生が財布を拾ったんですよ。
免許証とか入っていたんですが、現金はゼロ。
勉強も出来るまじめな秀才君で、素直に交番に届けましたさ。
その後警察に呼ばれて、現金を抜き取らなかったか取調べを受けました。
「落とした人はお金がなくなって困ってる。本当に空だったのか。」
「今なら落し物で処理できる。」って言われたそうなww
#次に同じことがあっても絶対届けないって言ってました。
Re:よかれと思って (スコア:1)
私も軽い気持ちで財布を交番に届けて「別に謝礼とかいらないんで、じゃあよろしく」って言って帰ろうとしたら、根掘り葉掘り個人情報を聞かれて、その時行く途中だった予定に間に合わないのに帰らせてもらえなかったことがあってから、二度と交番に拾得物は届けまいと誓っている
駅の拾得物とかは普通に融通もきくしやさしいのにね
Re: (スコア:0)
このような警官をどっかに告発とかできないのかね。
Re: (スコア:0)
これは警官よりも持ち主側に問題があるんだろう
このケースではないだろうが、サイフを盗まれて現金だけ抜き取って捨てたサイフを偶然拾ってしまった…と言う事も考えられるからなぁ
その場合持ち主からは落とし物ではなく盗難届が出るだろうし、そうすると警察もその方向で動くしかないから
Re: (スコア:0)
最近は困ってる人に声かけるだけで不審者扱いされるらしいからなぁ・・・
Re: (スコア:0)
とくに子供が相手だと、どうしようもなくなる。
ああ、ヤンキーが親切心見せたら賞賛されるのに、一般人だと不審者扱いだとかいうのもあったような。
悪事を推奨する社会 (スコア:1)
脆弱性を発見した。どうする?
×運営者に連絡する
○報奨金が出るなら応募、さもなくばクラックして内部情報をどっかに売り渡す
クラックする方が運営側に言うよりもリスクが少ないように見えてしまう。
ネタとしてはそれほど新規性はないと感じるけど、なんかげんなりするニュースばっかりで心に悪いね。
正直者が馬鹿を見る (スコア:1)
クラッカーに売った方が何百倍もマシだった。
こうやってセキュリティは甘くなっていく。
Re: (スコア:0)
関連ストーリー (スコア:0)
やたらに並べてある割にはoffice事件も日本人と思われるKinugawaMasato氏のストーリーもないな。
危険性があるか把握して良いのは身内の任された人だけ (スコア:0)
自分の手元における誰でも手に入るシステムだったら指摘できるが、少数の人がクローズにして独自に使っているシステムのセキュリティーは少しづつしか良くならないし、対策をしなくても大丈夫なくらい攻撃は少ない。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2)
これを思い出しました。
生徒を身内と捉えるかは難しいところですけれど。
「中学生に指摘される校内ネットのセキュリティ」
http://srad.jp/story/05/06/04/0854243/ [srad.jp]
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
SQLインジェクションは正規の操作の範疇では?
なにも不正な経路で侵入したり、他人のパスワードを不正に入手したわけじゃない。
たとえばこれなんかと同じじゃね。
- 「ポーカーマシンのバグを利用していたギャンブラー、無罪に」 http://it.srad.jp/story/13/11/28/0924216/ [srad.jp]
「磁石や静電気など、通常のプレイでは使わない方法でバグを発生させたならば「不正行為」となるが、
今回のバグは通常のプレイで使用するボタンを特定の順番で押しただけであり、
そのためバグを発生させるものだとしても不正行為にはならない、という判断だったそうだ。」
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2)
おところおなまえ電話番号ご希望のプレゼントの番号をお書き添えの上お送りくださいと言ったら、勝手に個人情報を送ってきましたっていう感じ。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
技術に詳しい人とそうでない人とで、常識の格差があるかもしれませんねえ。
一般に、鍵が掛かっていなくても人の住居に勝手に入ったり、勝手にものを持っていってはいけません。
技術に詳しい人は「普通の」手順でアクセス可能な情報は実質公開されているものという意識がありますが、
技術に詳しくないえらい人は、彼らの意図に反した情報を持ち出すのは悪い事だと考えているかもしれない。
通報するのは自由ですからね、イタズラでなければ警察も確認はする、是非を最終判断するのは司法ですし、
正常に公的サービスが機能すれば何の問題もないのですが。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2)
脆弱性に気づかずに運用してるってのは、鍵がかかっていない住居よりももっと筒抜けなもので例えると技術に詳しくないえらい人にもわかってもらえるだろうか。屋根と柱だけ(壁がない)家のようなものとか・・・
・・・そういう家でトイレや風呂も道路から丸見えなんだけど、住人は平然と暮らしていた。家の前を通る人々は、見えているけど知らぬ振りなのか気づいていないのか、特に何もいわなかった。あるとき、通りがかりの少年が「丸見えですよ」と指摘した。住人は「おまわりさん、ノゾキ魔です」と通報した・・・
現実が恐ろしいのは、ここで住人同様「家の中といえども壁がなければ丸見え」ということが認識できないおまわりさんがやってくる、という点。おぉこわ。
Re: (スコア:0)
これだと思うなぁ。
「オンラインゲームのクライアントとサーバーの通信にフックかけて数値を書き換えただけでチートできるのは、簡単に変更ソフトなんだから不正アクセスとかじゃない、API叩いてるだけ」とか言い出しちゃう技術馬鹿って実際に居たりするし。
それを悪いこととも思わずにやってるような奴は業務用の冷蔵庫に入るような馬鹿と同じ末路を辿ればいいのに。
Re: (スコア:0)
不正アクセスは、正規ではない方法でアクセス権限を取得しアクセスすること。アクセスした後の内容とは別問題。
そういう場合粛々とサービス規約とか契約不履行とか正しい方向で罪を指摘してやれ。
実際数値を変えただけでは、不正なデータを取り扱ったに当たっても、不正アクセスではないのだから。
Re: (スコア:0)
日本だと「本人に教えてもらったIDとパスワードでSNSサイトにログインして正規の操作をして」も不正アクセス禁止法で取り締まり受けますがね。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2, 参考になる)
でも、報道目的なら悪意が無いので大丈夫みたいですよ。
#なので、脆弱性は一般公開して悪意の無い形で指摘すればOK
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
>でも、報道目的なら悪意が無いので大丈夫みたいですよ。
ただし大手マスコミ関係者に限る。
#ゆうちゃんどうなってんだろ、獄中生活そろそろ1年?
Re: (スコア:0)
「SQLインジェクション」と呼ばれるのは正規の操作の範疇外の行為を言います。
SQLを送って操作するのが正規の操作なら「SQLインジェクション」ではないのですが、
SQLを送って操作するのが非正規の操作であるとき「SQLインジェクション」と呼びます。
これにより通常パスワードなどで認証すべき手順を管理者の許可なくすっ飛ばすと違法行為になります。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
アクセス制限をまぬがれる情報・指令を入力してるんだから、普通に正規の操作の範疇外でAUTO
入力禁止は自己防衛のためにやってるだけで、入力禁止措置がとれれてないからといってインジェクションをするための操作が正規という理由にはならない
Re: (スコア:0)
そんなこと気にしない悪人だけが最初に標的型攻撃を試すことになるわけですね。めでたしめでたし
Re: (スコア:0)
んなこと業界問わずどこでもあることじゃん。
サイバーノーガード (スコア:0)
つまりサイバーノーガードはグローバルスタンダードになったと
どうあがいても訴えられて捕まるようなら (スコア:0)
クラッカー共に情報売り渡したほうがよさそうだな
Re: (スコア:0)
こんどは特定機密漏洩を幇助した罪で...
Re:どうあがいても訴えられて捕まるようなら (スコア:1)
間違って無実の人を逮捕して時間を浪費する)のでは。
Re:いいニュース (スコア:1)
探さなくてもピンと来てしまうことがあるのです。
XSSだが政府自治体系で2件、偶然に見つけた事ある。
正直面倒くさいので見なかったことにしたいところだが、goやlgとなるとね...
あと、自分が良く使ってるサービスの時も自身に降りかかる可能性あるし。
そういう場合はサポートの雰囲気とか分かってるからまだマシなんだけど。
だからIPA様々です。
Re: (スコア:0)
あなたに必要なのは、ピンと来ないように鈍感力を鍛えることです。