FACTA、今度は政府機関にサイバー攻撃を仕掛ける 50
ストーリー by hylom
調査と称すれば何をやっても良いわけではないのですが 部門より
調査と称すれば何をやっても良いわけではないのですが 部門より
insiderman 曰く、
先日、「とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた?」という話があったが、この「ハッキング調査」を行ったFACTAが、今度は政府機関に対しても同様に「調査」ということでサイバー攻撃を行ったそうだ(FACTA ONLINE)。
一部からは「調査が過激すぎる」との声も聞こえたが、被害が深刻化するサイバーリスクに目を向けさせるためには、これくらいの「劇薬」は必要だろう。
とFACTA側は主張しているが、/.J過去記事でも議論になっているとおり、調査目的であろうが相手の同意なしにサイバー攻撃を仕掛けるだけでも犯罪行為と認識される可能性がある。また、相手側に事前の準備がない場合、攻撃で実際に何らかの被害が発生する可能性もある。今回は相手が政府機関ということで、告発されてもおかしくはない気もするが……。
「攻撃」ではない可能性も (スコア:5, 興味深い)
しかし、確かに脆弱性を持つバージョンのソフトを使ってはいましたが、ソフトの開発元が提示した回避策を講じていたため、脆弱性は存在していなかったはずです。
(いろいろあってソフト自体をバージョンアップできていなかったのはこちらの落ち度ですが)
本当に攻撃していればそれがわかったのではないかと思いますし、IPS等のログにもそれらしい形跡は残っていませんでした。
つまり、少なくともうちに対する「調査」はバージョン情報の確認程度だったのではないかと推測しています。
しかし逆にその程度の「調査」で「脆弱性があるシステムを放置している」と勝手に報道するFACTAと「調査」を請け負った某社には腹立たしい限りです。
そして前回で注目を浴びて味を占めたので今回、さらにターゲットを拡大したのでしょう。
本当に「攻撃」したのであれば不正アクセスで、適当な「調査」で事実確認もいい加減なまま好き勝手に書いているのなら名誉毀損か偽計業務妨害あたりでしょっ引かれてほしいと思います。
#さすがにACで
Re: (スコア:0)
その「ソフトの開発元が提示した回避策」が有効ではない可能性も
Re:「攻撃」ではない可能性も (スコア:1)
回避策に気づいているいない、有効であるない以前に、その回避策の存在をFACTA側が言及しないまま、
「調査」対象会社を脆弱扱いしている時点で元コメの話は全部通っているね。
Re:「攻撃」ではない可能性も (スコア:1)
それを言い出したら、開発元が提供したパッチや修正版も信用できないってことになりますが。。。
Re: (スコア:0)
週間金曜日の買ってはいけないを思い出した
Re: (スコア:0)
「買ってはいけない」は買ってはいけない [amazon.co.jp]
サイト側から考えると (スコア:3, 参考になる)
セキュリティ対策をちゃんとやっていて、監視も管理もきちんとやっているサイト側から考えると、こういう勝手なセキュリティ診断はとても迷惑です。
きちんとやっているところほど、攻撃があったら破られてはいなくても調査や防御を実施したり、万が一被害が発生してはいないかシステムのチェックを行います。
程度にもよりますけどね。
だから、無駄な業務を増やしてしまう結果になるので、FACTAみたいに身勝手な自己満足のために、勝手に攻撃を加えないでほしい。
もはや業務妨害。
Re:サイト側から考えると (スコア:1)
対策を的確に計画・実施している企業であればあるほど、攻撃が来ても問題ない運用体制になっているんじゃないの?
攻撃はいつ来るか分からないわけで、いざ来た時に四苦八苦し業務レベルが低下するようでは対策が十分とは言えない気がする。
# 実際にはコスト云々のしがらみで困難だとは思うけど。。。
Re:サイト側から考えると (スコア:1)
そうじゃない。
侵入した(しようとした)痕跡があれば、本当に被害があったかなかったかを精査するでしょ。
被害や実害が発生しているかどうかはあくまでも結果でしかなくて、攻撃の痕跡があるだけでも業務が増えるんですよ。
攻撃が増えれば、少なくとも情報セキュリティを担っている部署では業務負荷は増えます。
その繰り返しでセキュリティを強化維持してるんだから。
Re: (スコア:0)
その精査や事後対応も、生じるであろう非定常の運用業務として含めているか否か、
効率化等の改善を図っているか否かっしょ。どこまで対策をしているかって。
Re: (スコア:0)
そこまで加味されていても、こういう攻撃を受けたら被害になるから辞めてくれ、って話でしょう。
理のないクレーマーと一緒。
Re: (スコア:0)
その様子だと本当に問題がなかったとしても攻撃があっただけで毎回始末書書かされてるな
ご愁傷様としか言いようがない
いくら頑張っても会社からまるで信頼されていない仕事ってつらいよね
Re:サイト側から考えると (スコア:1)
> 対策を的確に計画・実施している企業であればあるほど、攻撃が来ても問題ない運用体制になっているんじゃ ないの?
> 攻撃はいつ来るか分からないわけで、いざ来た時に四苦八苦し業務レベルが低下するようでは対策が十分とは 言えない気がする。
他の業務もやっていて、攻撃を受けたらそっちにてが回らないというなら、確かに十分な対策とは言えないと思います。
でも、例えばその攻撃によってセキュリティ事案対処のリソースが6割拘束されて、残りの余裕が4割になったとき、
「他業務に影響がないから問題ない」とは言いません。
同時に複数の事態に対処する余裕をとるためにリソースを積み増すかの検討を含めてエスカレーションすることになるかと
Re: (スコア:0)
>攻撃があったら
あまりWebについては詳しくないのですが、それってログ等で攻撃を見つけるものなんですかね?
もしFACTAの報告で攻撃があったか判断するだけなら、その批判は筋違いな気もしますが。
(悪意のない攻撃をしたという報告に対応するのは、悪意のない通常アクセスをしたという報告対応するようなもの)
しかし、劇薬すぎる気は確かにする。
Re: (スコア:0)
世の中には攻撃を検知する機械があってだな、、、
Re: (スコア:0)
詳しくないと自認しながら勝手な仮定を正しいと信じるあなたの神経が信じられない
Re: (スコア:0)
仰るとおりログ等で攻撃を自動的に見つけるので、それが悪意があるとかわかりませんし、分かる必要もありません。
攻性防壁 (スコア:1)
ずいぶん前に一番過激なセキュリティ論としてそれどうなのと話題になったけど、そろそろ「反撃するセキュリティシステム」を実装してもいいかもしらんね。
攻撃しかけてきたら身元情報を引き出すべく攻撃し返すとか。不正なリモートリクエストに対するレスポンスにとんでもない爆弾で返すとか。
Re:攻性防壁 (スコア:1)
詳しくはないけど、攻撃する側は身分を詐称してくるからテンプレ自動反撃なんかしたらかえって
それを利用されて加害者に仕立てられるってきいたよ。大丈夫?
Re: (スコア:0)
詳しくはないけど、大丈夫。
撃っていいのは撃たれる覚悟のある奴だけだ (スコア:1)
by フィリップ・マーロウ
この場合、FACTAはサイバー脆弱性の「調査」をされても文句は言わないんですよね?
Re:撃っていいのは撃たれる覚悟のある奴だけだ (スコア:5, 興味深い)
不正アクセスにならない範囲でちょっと叩いてみた。
$ w3m -dump_head http://facta.co.jp/ [facta.co.jp]
HTTP/1.1 200 OK
Date: Fri, 28 Nov 2014 11:36:02 GMT
Server: Apache
X-Powered-By: PHP/5.1.6
Connection: close
Content-Type: text/html; charset=none
うーん、PHP 5.1.6。RHEL5かな?
ちゃんと最新RPMに入れかえてるならいいんだけど。
AddDefaultCharset none というクソ設定はやめましょう。
$ dig facta.co.jp ns +short
leo.qnote.co.jp.
libra.facta.co.jp.
pisces.qnote.co.jp.
virgo.qnote.co.jp.
$ dig @virgo.qnote.co.jp ch txt version.bind +short
"9.7.0-P1"
bind9.7 は脆弱性の塊ですね。
とっくの昔にディスコンになってて、
穴が見つかってももはやアナウンスすらされません
https://kb.isc.org/article/AA-00913/0/BIND-9-Security-Vulnerability-Ma... [isc.org]
$ dig facta.co.jp mx +short
10 mail.facta.co.jp.
$ telnet mail.facta.co.jp smtp
Trying 49.212.20.132...
Connected to mail.facta.co.jp.
Escape character is '^]'.
220 leo.qnote.co.jp ESMTP
ehlo hoge
250-leo.qnote.co.jp
250-STARTTLS
250-PIPELINING
250-8BITMIME
250-SIZE 10000000
250 AUTH LOGIN PLAIN CRAM-MD5
quit
221 leo.qnote.co.jp
Connection closed by foreign host.
メールサーバはTLSに対応してるようですね。
この応答はqmail+TLSパッチに見えますがちょっと自身なし。
$ openssl s_client -connect mail.facta.co.jp:25 -starttls smtp
...
verify error:num=18:self signed certificate
...
verify error:num=10:certificate has expired
notAfter=Mar 13 13:46:45 2012 GMT
期限切れの自己署名証明書…。
Re: (スコア:0)
俗に言う「はにーとらっぷ」というやつじゃないですか?
これを知ってつついてくる奴に、倍返しするとか。
Re:撃っていいのは撃たれる覚悟のある奴だけだ (スコア:1)
一つ言えるのは、「FACTAは脆弱さを放置する会社だ」と大声で言っていいってこと。
Re:撃っていいのは撃たれる覚悟のある奴だけだ (スコア:1)
そうするとFACTAの行為を認めることになりますよ。
相手が悪いことをしているんだから、俺も悪いことをしていい。というわけではないでしょう。
粛々と理を説くことが必要ではないですかね。
Re: (スコア:0)
もうポットとトラップネタは飽きた。
Re: (スコア:0)
ゼロの台詞だと考えていた.恥ずかしい.
Re: (スコア:0)
関連リンクの「無料メールサービスへ不正侵入した朝日・共同新聞記者、不起訴処分に」の例から
類推すると、マスコミの取材の一環として行われた犯罪は、
「軽度」と判断されれば警察が黙認してくれるそうです。
#あとは軽度と判断してもらえるように、山吹色のお菓子をデスネ(ry
Re: (スコア:0)
まさにこれが問題で、刑事告発なり不起訴不当なりをしておくべき案件だったかと。
Re: (スコア:0)
憲法が蔑ろにされてる国で建前気にしても時間の無駄たよ。
企業と個人は別階級 (スコア:0)
企業がアクセス→なにもなし
個人がアクセス→逮捕
身分だなあ。さすが中世。
つかまえろ (スコア:0)
犯行を認めてるんだから
まあ (スコア:0)
>相手の同意なしにサイバー攻撃を仕掛ける
相手の同意のあるサイバー攻撃の方が、少ない気がするけど。
(依頼したアタックテストは別として)
Re:まあ (スコア:1)
岡崎市立中央図書館 「了解を取らずアクセスしたことが問題」
こうですか?分かりません!
#一方でTwitterは、「バルスは好きなように楽しんで下さい」みたいなメッセージががが。
Re: (スコア:0)
いまからアクセスしますよーって電話してから使えばよかったのですかね?
脆弱なところが悪い (スコア:0)
日本人は平和ボケだからアレだけど。
脆弱なとこがあるから付け込まれるんですよね。
だったら穴塞げば?と昔は言われたでしょ?
Re: (スコア:0)
利用者にとっちゃ便利な存在だな
点検して回ってくれるんだし
公言してるFACTAを警察は泳がしてればいいし
いつでも足切れるしな
政府機関って警察庁にもやったのかな? (スコア:0)
Office事件を知らな人が増えた今となっては、サイバーリスクに目を向けさせるためには、「劇薬」は必要かもわからんね。
警察は岡崎図書館事件ではなく、こういう案件にこそ本気になるべき。
Re: (スコア:0)
「劇薬」なんてかっこよさげな言葉を使うから、こうやって乗せられる人も出てくる。
Re: (スコア:0)
Re: (スコア:0)
親コメの文意わかってるんかな?
Re: (スコア:0)
確かに。
「FACTAがバカな調査をやった」という劇薬だよな。
Re: (スコア:0)
>Office事件を知らな人が増えた今となっては、サイバーリスクに目を向けさせるためには、「劇薬」は必要かもわからんね。
そうですね。
知らなかった、では済まされないことがあるということをわからせるために、
FACTA編集部の代表に実刑を与えるべきかと思います。
スマイリーキクチ中傷、グロウビート中傷の例のように、知らなかった、正義だと思っていた、では済まないのだということを知らしめるべきかと思います。
鍵がかかっていない家は問題として (スコア:0)
鍵がかかっているか片っ端から確認して回る行為もまた問題
Re:鍵がかかっていない家は問題として (スコア:1)
家よりもお金が入った金庫のほうがしっくりきます。
今回の場合に当てはめると、鍵がかかっていない金庫が多いという警鐘を鳴らす意図でハンドルを回し、中のお金は取らず、実際に警鐘を鳴らしました。
お金を盗んでいないという事実は、他人の財産の保護という点では違法ではないのでしょう。
でも、どんな意図があるにせよ、他人の金庫のハンドルを回す行為は、金庫に入れておけば(防御装置を設置していれば)安全だという社会的な期待(=電気通信の秩序)を侵害していると言われてもしかたがないことだと思います。
実際のところはどんな攻撃をしたかによって、不正アクセス禁止法で規定している犯罪類型に合致するかどうかが決まるのですけれども、きっとそれは不正アクセス禁止法の趣旨からは認められない行為だろうなと推測しています。
ていうかそんなバカな真似はやめろ。
Re: (スコア:0)
人の敷地内に入ったり覗いたりしても犯罪が成立しますが?
Re:鍵がかかっていない家は問題として (スコア:1)
といっても、ポートスキャンや 脆弱性スキャン(ex. ShellShock スキャン)なんて
サイト動かしてれば山のように来るから、IPS入れてても黙って弾いてアノマリ扱いにならない。
個人的には ShellShock のスキャンでも、echo vulnerable するだけなら違法とも職業倫理に反するとも言えない。
SQL injection も、認証が不要な範囲で試すことは出来るでしょうし。
個人的に許されない範囲は法律的に明らかな違法である
許可・認証が必要な領域に、それらを飛ばして入ったりする行為ですかね・・・。
また、第3者がShellShock 脆弱性があると確認するために echo vulnerable するのと、
cat /etc/passwd するのでは、後者には悪意があると判断します。
世の中には、たとえば ssh をスキャンして同じ鍵が使われている!っていう論文
https://www.usenix.org/conference/usenixsecurity12/technical-sessions/... [usenix.org]
が あるけど、これも脆弱性の確認行為ではある。
個人的にはこの程度のことをサイバー攻撃だ許すな、など騒ぐ時間があれば、
もっと対策に力を入れてほしい。
まぁ、FACTA記事がどの程度の攻撃をしているかわからんので、この文章も的外れかも知れないけど。
問題ない (スコア:0)
政府相手だからセーフ
Re:問題ない (スコア:1)
ガバガバなガバメントでも?
割れガラス理論 (スコア:0)
朝日新聞や共同通信のクラッキングを不起訴にしたから、今回のFACTAの様な連中が沸いて出る。