パスワードを忘れた? アカウント作成
11806789 story
セキュリティ

技術評論社のウェブサイト改ざん被害、詳細な経緯が公表される 35

ストーリー by hylom
パスワードを変更したらセッションをリセットしよう 部門より

技術評論社のWebサイト(gihyo.jp)が、12月6日11時から14時のあいだ、改ざんされていた件について、技術評論社がその詳細を発表した。

これによると、gihyo.jp上のコンテンツが入れ替えられ、アクセスしたユーザーが外部サイトにリダイレクトされるようになっていたという。経緯としてはフィッシングサイトに引っかかり、Webサーバーの管理用コントロールパネルに不正アクセスされてしまったのが発端のようだ。また、サーバーを管理しているさくらインターネットとの認識の違いにより攻撃者がログインできるルートをふさいでいなかったためサイト改ざんに至ったとも報告されている。

gihyo.jpはさくらのVPSを使って運用されていたとのことで、管理コントロールパネルへのアクセス権限を奪取した攻撃者はOSの入れ替えを行うことでサーバーを乗っ取ろうとしたようだ(技術評論社が公開している経緯詳細)。

経緯詳細には、

コントロールパネルの仕様で,セッションが有効な間はパスワードを変更されていてもログインできた

さくらのVPSのコントロールパネルにはアカウントのログインのほかにサーバのIPアドレスをIDとしたログイン方法があり,こちらのパスワード変更が完了できていなかったために攻撃者の再侵入を許す結果となりました

複数回パスワード変更をトライしましたがエラーメッセージが表示される状態であったため,さくらインターネットの担当者に対応を依頼しましたが,結果的に混乱した状況で双方の認識に相違が生じ,処置されないままになっていました

といったことも記載されており、さくらのVPSの仕様による影響も大きかった模様。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by minet (45149) on 2014年12月09日 19時49分 (#2725136) 日記

    複数回パスワード変更をトライしましたがエラーメッセージが表示される状態であったため,

    ※1
    その後の調査で,コントロールパネルのシステムの問題でなく,パスワードとして使用できない文字列を指定しようとしていたためであるとの報告を受けました。

    つまり、パスワードを設定できない時に出るメッセージが、使用不許可の文字が含まれている為だとは分からないような文章だったって事か?
    ここだけ読んでも、このコンパネは大幅に改良の余地がありそうだという予感がする。。。

  • by Anonymous Coward on 2014年12月09日 23時03分 (#2725225)

    どんなフィッシングサイトに引っかかって、
    そこで何を入力しちゃったのか。

    まさか、ブラウザでアクセスしただけでウィルス仕込まれた、とかじゃないよね。
    今そういうウィルスって流行してんだっけ?
    俺がその手の侵入例を最後に聞いたのは、確かもう3年くらい前だわ。
    Javaを更新してなくて、しかもブラウザのJavaも有効にしたままで、なんかに感染したとか。
    最近聞く侵入例は、どれも、あやしいexeを起動したとかばかり。

    # なんかこう、骨のあるウィルスって出ないかね。
    # blaster級の、ネットに繋いでるだけで広まるワームとかさ。
    # XP使ってる奴多いじゃん。そろそろなんか出ないの?

  • by Anonymous Coward on 2014年12月09日 14時35分 (#2724909)

    最近は海外のサービス(ホスティング系でも)はだんだん2段階認証が普及してきてるけど、日本ってほとんどないよね。
    今回はサーバーの管理部分だけど、それ以前にドメイン管理のところでも、2段階認証対応してるところ少ないんじゃないかな。

    バカに合わせる日本の慣例なのか知らないが、パスワード定期的変更強制とか、日本の一般向けサービスのセキュリティって糞なイメージしかない。

    • by ymasa (31598) on 2014年12月09日 14時45分 (#2724912) 日記

      https://twitter.com/ockeghem/status/541138852555927553 [twitter.com]
      | たとえば、DigitalOceanは二段階認証に対応しています

      とか。

      親コメント
    • by Anonymous Coward on 2014年12月10日 10時13分 (#2725387)

      もう国産のホスティングは技術的に遅れすぎてて、
      特にセキュリティ面は「枯れてる、安定が一番」といいつつ、
      枯れてるから穴があったりするわけで、もうどうしようもない。
      恐らくは今後もずっと遅れた技術でやっていくんだろうけど、
      さっさとAWSとかLinodeとかSoftlayerとか、
      日本にリージョン持ってる海外のプロバイダ使うほうがいいと思う。
      インフラ(iDC)は日本でも海外でもレベルは変わらないから、
      そこは問題にはならないと思う。

      親コメント
    • by Anonymous Coward

      OpenIDなどのシングルサインオンを導入して、ログインページを id.xxx.com/ に一元化するだけでフィッシングは防げるだろうに…と思います。

      • by Anonymous Coward

        それが防げないんだよね

        • by Anonymous Coward on 2014年12月09日 16時59分 (#2725006)

          URLを確認するだけで大部分が防げるので、
          ITリテラシーの高い人には十分なはずだと思います >ログイン一元化

          まぁ、脆弱性が無ければの話ですが

          親コメント
          • by Anonymous Coward

            >URLを確認するだけで大部分が防げるので
            >脆弱性が無ければの話ですが

            >大部分が
            >無ければ

            防げないって自分でも思ってるんじゃん

      • by Anonymous Coward

        という甘い考えの人がいるからなかなかなくならないのですよ

    • by Anonymous Coward

      直接自分で解決策を考えちゃうんだよな。もうちょっとメタな視点でものを見られればいいと思うんだけど。
      ある意味、職人気質なのかな。

  • by Anonymous Coward on 2014年12月09日 14時14分 (#2724887)

    >コントロールパネルの仕様で,セッションが有効な間はパスワードを変更されていてもログインできた
    >一時攻撃者とサーバの取り合いを演じていました

    この仕様のおかげで、パスワードが変更されても犯人から締め出されることが無かった代わりに、
    このせいで、犯人を締め出すこともできなかったということですかね。
    良いんだか悪いんだか…

    • by Anonymous Coward

      スパイ vs スパイ
      とかいうの思い出した

      • by Anonymous Coward

        スパイ vs スパイ
        とかいうの思い出した

        技評の担当者の顔が青くなり次に頭の上にハテナが浮かんできて……

    • by Anonymous Coward

      良いか悪いかで言うと、悪いでしょう。
      不正侵入者を追い出せない状態は、正当な管理者が一時的に入れないよりも深刻ですから。

  • by Anonymous Coward on 2014年12月09日 15時29分 (#2724938)

    技術評論社、10年先も役立つ力をつくる、セキュリティエンジニア養成読本、クラウド&VPS編、定価1980円+税
    あれ?もう出てたりする?

  • by Anonymous Coward on 2014年12月09日 16時04分 (#2724965)

    「漏洩の心配はありません」の具体的な理由が書かれていることかな。
    経緯まで発表されることはあっても。この部分って、いつもぼかされるから……。

    ところで。
    いい加減「パスワードに使えない文字」って、やめませんかね?

    • by Anonymous Coward

      サロゲートペアはご勘弁を……

    • by Anonymous Coward

      未だにこの問題のあるサイトが多いですが、WAFの問題だったりするのでしょうかねえ? >パスワードに使えない文字

  • by Anonymous Coward on 2014年12月09日 16時18分 (#2724978)

    さくらのVPSの仕様ががうんぬんって書いてありますけど
    そもそもコントロールパネルへのアクセス権がとられた(管理パスワードが外部に漏れた)後の話で、そこからいろいろ行動しても手遅れですよね・・・

    フィッシングサイトに引っかからないように管理用PCは台数を決めてそれ以外の目的に使わないとか講じる手段はいろいろあったはずなので
    単純にセキュリティ意識が低かったんじゃないでしょうか?

    • by Anonymous Coward

      soudane.

    • by Anonymous Coward

      現状、パスワードは漏れやすいですが、未だブラウザに公開鍵ユーザー認証がつかない理由って何だろう…

      • by Anonymous Coward

        > 未だブラウザに公開鍵ユーザー認証がつかない理由って何だろう…

        ちょっと意味が分かりません。
        メジャーなブラウザなら、公開鍵を用いたユーザー認証をサポートしてると思いますが。
        企業のVPN等で利用している例も多いかと思います。

        Firefox なら、以下でいけるはず。
        [オプション]=>[詳細]=>[証明書] =>[証明書を表示]=>[個人証明書]=>[インポート]

        • by Anonymous Coward

          既にあるんですね。SSLで公開鍵を登録することは多いのに、Webサイトで公開鍵によるクライアント認証が普及しないのは何故だろう?

          • by Anonymous Coward

            既にあるんですね。SSLで公開鍵を登録することは多いのに、Webサイトで公開鍵によるクライアント認証が普及しないのは何故だろう?

            決まってるじゃないですか、鍵管理のコストが大きいからですよ。
            主にユーザ側の。
            分かってる人はいいですけど、有効期限が来たらどうするだとか、秘密鍵を漏らさないようにできるかとか……

            • by Anonymous Coward

              SSL→SSHの間違いです。すいません。
              現状、SSHでは自己署名が多いので、
              クライアント認証書も自己署名で十分な気がしますが…

    • by Anonymous Coward

      > フィッシングサイトに引っかからないように管理用PCは
      > 台数を決めてそれ以外の目的に使わないとか講じる手段は
      > いろいろあったはずなので

      管理用PCの台数を決めて、それ以外は使わないってことが
      フィッシングに引っかからなくなる理由がわかりません。
      どういうこと?

      > 単純にセキュリティ意識が低かったんじゃないでしょうか?

      そりゃそうです。
      セキュリティ意識が高くないとダメなシステムはVPSなんか
      使いませんよねえ。

      AWSだって程度の差。

      セキュリティよりコストを重視した結果です。

  • by Anonymous Coward on 2014年12月09日 21時22分 (#2725180)

    さくらからは広告を出してもらってる関係上、役員を呼んで怒鳴りつけたりは出来ないよね。
    経緯報告にも、そういったモヤモヤがにじみ出てる。

    • by Anonymous Coward

      フィッシングに引っかかっているんだから、いずれにしても怒鳴るような話じゃないように思うです。

  • by Anonymous Coward on 2014年12月10日 2時20分 (#2725306)

    社会保障番号数万件漏らしてもだんまりのどこかの企業とは大違いですな

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...