技術評論社のウェブサイト改ざん被害、詳細な経緯が公表される 35
ストーリー by hylom
パスワードを変更したらセッションをリセットしよう 部門より
パスワードを変更したらセッションをリセットしよう 部門より
技術評論社のWebサイト(gihyo.jp)が、12月6日11時から14時のあいだ、改ざんされていた件について、技術評論社がその詳細を発表した。
これによると、gihyo.jp上のコンテンツが入れ替えられ、アクセスしたユーザーが外部サイトにリダイレクトされるようになっていたという。経緯としてはフィッシングサイトに引っかかり、Webサーバーの管理用コントロールパネルに不正アクセスされてしまったのが発端のようだ。また、サーバーを管理しているさくらインターネットとの認識の違いにより攻撃者がログインできるルートをふさいでいなかったためサイト改ざんに至ったとも報告されている。
gihyo.jpはさくらのVPSを使って運用されていたとのことで、管理コントロールパネルへのアクセス権限を奪取した攻撃者はOSの入れ替えを行うことでサーバーを乗っ取ろうとしたようだ(技術評論社が公開している経緯詳細)。
経緯詳細には、
コントロールパネルの仕様で,セッションが有効な間はパスワードを変更されていてもログインできた
さくらのVPSのコントロールパネルにはアカウントのログインのほかにサーバのIPアドレスをIDとしたログイン方法があり,こちらのパスワード変更が完了できていなかったために攻撃者の再侵入を許す結果となりました
複数回パスワード変更をトライしましたがエラーメッセージが表示される状態であったため,さくらインターネットの担当者に対応を依頼しましたが,結果的に混乱した状況で双方の認識に相違が生じ,処置されないままになっていました
といったことも記載されており、さくらのVPSの仕様による影響も大きかった模様。
User-unfriendly (スコア:2)
複数回パスワード変更をトライしましたがエラーメッセージが表示される状態であったため,
※1
その後の調査で,コントロールパネルのシステムの問題でなく,パスワードとして使用できない文字列を指定しようとしていたためであるとの報告を受けました。
つまり、パスワードを設定できない時に出るメッセージが、使用不許可の文字が含まれている為だとは分からないような文章だったって事か?
ここだけ読んでも、このコンパネは大幅に改良の余地がありそうだという予感がする。。。
もうちょっと知りたいなあ (スコア:2, 興味深い)
どんなフィッシングサイトに引っかかって、
そこで何を入力しちゃったのか。
まさか、ブラウザでアクセスしただけでウィルス仕込まれた、とかじゃないよね。
今そういうウィルスって流行してんだっけ?
俺がその手の侵入例を最後に聞いたのは、確かもう3年くらい前だわ。
Javaを更新してなくて、しかもブラウザのJavaも有効にしたままで、なんかに感染したとか。
最近聞く侵入例は、どれも、あやしいexeを起動したとかばかり。
# なんかこう、骨のあるウィルスって出ないかね。
# blaster級の、ネットに繋いでるだけで広まるワームとかさ。
# XP使ってる奴多いじゃん。そろそろなんか出ないの?
2段階認証・・・ (スコア:1)
最近は海外のサービス(ホスティング系でも)はだんだん2段階認証が普及してきてるけど、日本ってほとんどないよね。
今回はサーバーの管理部分だけど、それ以前にドメイン管理のところでも、2段階認証対応してるところ少ないんじゃないかな。
バカに合わせる日本の慣例なのか知らないが、パスワード定期的変更強制とか、日本の一般向けサービスのセキュリティって糞なイメージしかない。
Re:2段階認証・・・ (スコア:2)
https://twitter.com/ockeghem/status/541138852555927553 [twitter.com]
| たとえば、DigitalOceanは二段階認証に対応しています
とか。
Re:2段階認証・・・ (スコア:1)
Wikipediaを見ると「DigitalOcean is an American virtual private server provider based in New York City」とありましたが…
Re:2段階認証・・・ (スコア:2)
日本じゃなかった。。。
Re: (スコア:0)
自分はLinode使ってる。アメリカの会社だけど東京にデータセンターある。
当然2段階認証に対応。
Re:2段階認証・・・ (スコア:1)
もう国産のホスティングは技術的に遅れすぎてて、
特にセキュリティ面は「枯れてる、安定が一番」といいつつ、
枯れてるから穴があったりするわけで、もうどうしようもない。
恐らくは今後もずっと遅れた技術でやっていくんだろうけど、
さっさとAWSとかLinodeとかSoftlayerとか、
日本にリージョン持ってる海外のプロバイダ使うほうがいいと思う。
インフラ(iDC)は日本でも海外でもレベルは変わらないから、
そこは問題にはならないと思う。
Re: (スコア:0)
OpenIDなどのシングルサインオンを導入して、ログインページを id.xxx.com/ に一元化するだけでフィッシングは防げるだろうに…と思います。
Re: (スコア:0)
それが防げないんだよね
Re:2段階認証・・・ (スコア:1)
URLを確認するだけで大部分が防げるので、
ITリテラシーの高い人には十分なはずだと思います >ログイン一元化
まぁ、脆弱性が無ければの話ですが
Re: (スコア:0)
>URLを確認するだけで大部分が防げるので
>脆弱性が無ければの話ですが
>大部分が
>無ければ
防げないって自分でも思ってるんじゃん
Re: (スコア:0)
という甘い考えの人がいるからなかなかなくならないのですよ
Re: (スコア:0)
直接自分で解決策を考えちゃうんだよな。もうちょっとメタな視点でものを見られればいいと思うんだけど。
ある意味、職人気質なのかな。
セッションの継続 (スコア:0)
>コントロールパネルの仕様で,セッションが有効な間はパスワードを変更されていてもログインできた
>一時攻撃者とサーバの取り合いを演じていました
この仕様のおかげで、パスワードが変更されても犯人から締め出されることが無かった代わりに、
このせいで、犯人を締め出すこともできなかったということですかね。
良いんだか悪いんだか…
Re: (スコア:0)
スパイ vs スパイ
とかいうの思い出した
Re: (スコア:0)
スパイ vs スパイ
とかいうの思い出した
技評の担当者の顔が青くなり次に頭の上にハテナが浮かんできて……
Re: (スコア:0)
良いか悪いかで言うと、悪いでしょう。
不正侵入者を追い出せない状態は、正当な管理者が一時的に入れないよりも深刻ですから。
発売決定! (スコア:0)
技術評論社、10年先も役立つ力をつくる、セキュリティエンジニア養成読本、クラウド&VPS編、定価1980円+税
あれ?もう出てたりする?
Re: (スコア:0)
「実践/実戦編」とか作ったら売れるかもね。
Re:発売決定! (スコア:1)
+
後始末編
復讐編
再来編
崩壊編
なかなか興味深いのが (スコア:0)
「漏洩の心配はありません」の具体的な理由が書かれていることかな。
経緯まで発表されることはあっても。この部分って、いつもぼかされるから……。
ところで。
いい加減「パスワードに使えない文字」って、やめませんかね?
Re: (スコア:0)
サロゲートペアはご勘弁を……
Re: (スコア:0)
未だにこの問題のあるサイトが多いですが、WAFの問題だったりするのでしょうかねえ? >パスワードに使えない文字
いろいろ理由は書いてあるけど (スコア:0)
さくらのVPSの仕様ががうんぬんって書いてありますけど
そもそもコントロールパネルへのアクセス権がとられた(管理パスワードが外部に漏れた)後の話で、そこからいろいろ行動しても手遅れですよね・・・
フィッシングサイトに引っかからないように管理用PCは台数を決めてそれ以外の目的に使わないとか講じる手段はいろいろあったはずなので
単純にセキュリティ意識が低かったんじゃないでしょうか?
Re: (スコア:0)
soudane.
Re: (スコア:0)
現状、パスワードは漏れやすいですが、未だブラウザに公開鍵ユーザー認証がつかない理由って何だろう…
Re: (スコア:0)
> 未だブラウザに公開鍵ユーザー認証がつかない理由って何だろう…
ちょっと意味が分かりません。
メジャーなブラウザなら、公開鍵を用いたユーザー認証をサポートしてると思いますが。
企業のVPN等で利用している例も多いかと思います。
Firefox なら、以下でいけるはず。
[オプション]=>[詳細]=>[証明書] =>[証明書を表示]=>[個人証明書]=>[インポート]
Re: (スコア:0)
既にあるんですね。SSLで公開鍵を登録することは多いのに、Webサイトで公開鍵によるクライアント認証が普及しないのは何故だろう?
Re: (スコア:0)
既にあるんですね。SSLで公開鍵を登録することは多いのに、Webサイトで公開鍵によるクライアント認証が普及しないのは何故だろう?
決まってるじゃないですか、鍵管理のコストが大きいからですよ。
主にユーザ側の。
分かってる人はいいですけど、有効期限が来たらどうするだとか、秘密鍵を漏らさないようにできるかとか……
Re: (スコア:0)
SSL→SSHの間違いです。すいません。
現状、SSHでは自己署名が多いので、
クライアント認証書も自己署名で十分な気がしますが…
Re: (スコア:0)
> フィッシングサイトに引っかからないように管理用PCは
> 台数を決めてそれ以外の目的に使わないとか講じる手段は
> いろいろあったはずなので
管理用PCの台数を決めて、それ以外は使わないってことが
フィッシングに引っかからなくなる理由がわかりません。
どういうこと?
> 単純にセキュリティ意識が低かったんじゃないでしょうか?
そりゃそうです。
セキュリティ意識が高くないとダメなシステムはVPSなんか
使いませんよねえ。
AWSだって程度の差。
セキュリティよりコストを重視した結果です。
本音が出しづらい (スコア:0)
さくらからは広告を出してもらってる関係上、役員を呼んで怒鳴りつけたりは出来ないよね。
経緯報告にも、そういったモヤモヤがにじみ出てる。
Re: (スコア:0)
フィッシングに引っかかっているんだから、いずれにしても怒鳴るような話じゃないように思うです。
わかりやすい (スコア:0)
社会保障番号数万件漏らしてもだんまりのどこかの企業とは大違いですな