上場企業などに対し無断で攻撃を行ったセキュリティ企業、対象からの同意なしでの侵入テスト合法化を主張 70
ストーリー by hylom
セキュリティ企業から営業という名の攻撃を受ける日は来るのか 部門より
セキュリティ企業から営業という名の攻撃を受ける日は来るのか 部門より
あるAnonymous Coward 曰く、
セキュリティ関連企業スプラウトが、自民党本部 IT戦略特命委員会に対し「グレーゾーン解消制度又は企業実証特例制度適用申請の背景と主旨」という提案を行っている(提案資料PDF)。
現在、対象企業などの同意無しにサーバーなどに対して実際に攻撃や侵入を行って調査するペネトレーションテストは不正アクセス禁止法に抵触する可能性がある。これを合法化することで、研究活動やリスクの早期発見を目的とした調査を迅速に進められるとしている。
政府・自民党は今後セキュリティ技術者を増やすことを目指す政策を進めているが、スプラウトによると「研究活動とリスクの早期発見を目的とした企業ネットワーク・サーバーへのペネトレーションテスト」などを合法化することによってこれを推進できるというスタンスのようだ。
なお、スプラウトは過去にセキュリティ調査と称して上場企業100社に対し無断で攻撃を行っていた疑いがあるが、今回の資料を見る限り、違法である可能性を知りながら無断で調査を行っていたと推測される。
スプラウトに対しても実施していいの? (スコア:5, すばらしい洞察)
「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。
提案資料PDFを見る限りでは、スプラウトに対してのペネトレーションテストも
文句言わないよね?
で、サーバーやネットワークのセキュリティって物理的な攻撃に対して
脆弱であることが多いと思うんです。
私は、スプラウトさんのサーバーが物理的に脆弱じゃないか心配で仕方が無いので
チェックしたいな。 ええもちろん、動機はスプラウトさんが心配だからですよ。
ドアが十分頑丈かピッキングしてみたり、昼休み時間帯に物理的に進入してみたり。
お電話等でのソーシャルエンジニアリングも受付が変わるかもしれないので毎日確認しないとね。
それに対して異論があるなら、許可を得ていない相手企業にセキュリティチェックをかける資格は無いよね。
Re:スプラウトに対しても実施していいの? (スコア:4, すばらしい洞察)
>「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。
本来そうなんだと思うよ。繋いだ人は誰でもどんなアドレスにでも好きなパケットを投げても良いのがインターネット。
歴史的には、インターネットにコンピュータを繋げる行為なんてのは、なんでも好きなパケットを送って下さい、
こっちで適当に処理しますから、という意思表示だというところからスタートしてるし。
そう言いつつ防御が手薄で、不正アクセスによる実害が発生し始めたから、犯罪者を捕らえるために、不正アクセス防止法が出来たけど。
あくまでそれは、実害を出した奴を吊しやすくするためのものであって、
「ちょっと待って下さい、勝手に我が社のセキュリティチェックなんてされたら困ります(穴があるかも知れないじゃないか)」とか逃げの手を打つためではない。
現実世界経由での攻撃はまた別物だけど、「インターネットからどんなパケットが来ても大丈夫」と言うのは
どんなサーバでも持っていてしかるべき性質なんであって、「検査されたら困る」というのはおかしい。
どうせ、正義のハッカーがやらなくても、悪のクラッカーが勝手に似たような事をやり倒してるんだろうから、
勝手な検査が出来ないというのは、不正防止法が悪い奴らを一方的に利している。
Re: (スコア:0)
> 「インターネットからどんなパケットが来ても大丈夫」と言うのは
> どんなサーバでも持っていてしかるべき性質なんであって、「検査されたら困る」というのはおかしい
むしろ、どんなサーバであっても、過剰に負荷をかけるようなDoSアタックには原理的に脆弱だと思うけど。
Re: (スコア:0)
で、免許を持ったペネトレーションテスト業者が、DoSアタックとか仕掛けるの? 原理的に脆弱なのが分かりきってるなら何のため?
Re: (スコア:0)
いったいいつ免許制になったの?
Re: (スコア:0)
>「インターネットからどんなパケットが来ても大丈夫」と言うのは
>どんなサーバでも持っていてしかるべき性質
予算が無限大な妄想世界でしかありえない前提ですね
Re: (スコア:0)
そうだよ(便乗)
テストなら完全合法にしよう。
そんで「我々のいう事をきかないと、あの手この手(合法)でテスト(笑)しちゃうよ~?」
いつしか、ネット上を流れるパケットの99%はテスト(笑)用パケットとなるのでした。
めでたしめでたし。
めでたいのは俺の頭な。
Re: (スコア:0)
法律を守らない者からも完全に守りきれなければならないというのは普通じゃないです。
これは被害者からすると経済力その他評判等とのトレードオフではありますが
(逆に言えばトレードオフでしかない)、
犯罪者が言い訳として使っていいものじゃありません。
ところで、家の鍵なんかのピッキング性能は分とか秒で測られます。
法律を無視すればそれに対して好きなようにアタックしてよいのが現実世界です。
何でも好きなものを突っ込んでください、こっちで適当に処理しますから、
となっていますよね。
それを止めているのは法律とそれに基づく実力行使だけですが、
大抵の人はトレードオフを考えて、そこそこ(正直運任せ)の
セキュリティを選択しているわけですね。
自分の専門分野においてだけ、専門馬鹿になっていませんか?
本物の泥棒がいるんだから、いつでも家庭訪問されるのは許すべきって思います?
ほとんどは入れますよ。法律が許してくれるなら気軽で良いですね。
Re:スプラウトに対しても実施していいの? (スコア:1)
Re: (スコア:0)
スプラウトはそういうことがやりたくてたまんないんだから、
その程度で許可してもらえるなら異論どころか諸手挙げて大歓迎だと思うけど
そもそもセキュリティ企業なんてクラッカーの恰好の標的だろうから、
日々チェックは怠ってないだろう。
心配してくれる人がいてもいなくても気にもならないんじゃ。
Re: (スコア:0)
「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。
別ルールの世界、つまり進入が許される世界だと思ってるのなら、ペネトレート試験の目的は何?
なんか矛盾してますよね。
不正アクセス (スコア:3, すばらしい洞察)
>現在、対象企業などの同意無しにサーバーなどに対して実際に攻撃や侵入を行って調査するペネトレーションテストは不正アクセス禁止法に抵触する可能性がある。
それきっちり不正アクセスで違法ちゃうのん。
もし合法やったら、実害出してバレない限り誰でもあちこち自由にアタックし放題でんがな。
そしてバレたらセキュリティテストとか調査とか言うのか。
普通に調査(クロール)をしてたのを訴えられて逮捕されてた人もいなかったっけ。
Re:不正アクセス (スコア:1)
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html [e-gov.go.jp]
アクセス制御機能の不要なアクセスは法律の対象外。
不正アクセスでない手段で、サーバーなどに攻撃を仕掛けた場合は、業務妨害罪。
Re: (スコア:0)
無断攻撃を免許制にすれば、監督官庁の権益が増えて天下り先ができたりするから役人には嬉しいかも。
たとえ監督官庁の権益が増えて天下り先ができたとしても (スコア:0)
それが取り得るベターな解ならば、喜んで賛成するよ。
ACCS裁判では、勝手診断に正当性の余地 (スコア:2)
ACCS裁判での有罪判決は、セキュリティ活動を重視する立場からの批判を良く聞きますが、判決文では、セキュリティ活動として妥当なものであっても犯罪になるとは言っていないはずです。
妥当であれば適法とも言ってはいませんが。
判決の指摘に沿うならば、直ちに管理者に報告し、管理者側に修正の機会を与え、模倣犯が出ないようにし、情報漏洩がなければ(かつ、当然にその他の不適当な点がなければ)、真摯な指摘活動として正当視できる余地がありうるように思います。
なぜ情報システムだけ… (スコア:1)
例えば警備会社が、同意無しに首相官邸とか空港とか銀行とかへ侵入テストしたら違法ですよね。
どういう理屈で情報システムだけ例外になるんでしょ。
下手な例えは休むに似たり (スコア:1)
準拠法が異なるものを例えに出しても仕方が無い。
Re:下手な例えは休むに似たり (スコア:2, おもしろおかしい)
いや、「休む」とは似てないんじゃないかな…。
Re: (スコア:0)
脊髄反射的に、「下手な」ものは何でも休むに似てるんでしょう。
Re: (スコア:0)
バッキンガム宮殿は、女王を戴く宮殿の警備のチェックを自主的に行った愛国者が時々侵入に成功してるよね。
女王の居室まで普通にたどり着いてご対面、そのまま対談なんてやってのけてる。
Re: (スコア:0)
車検に通ってない自動車が公道を走っちゃいけないように、
まともにテストされていないサーバをインターネットに繋ぐのは周りにも危険を及ぼすからダメ、という理屈とか。
ただ、それだと、サーバをネットに繋ぐ前には、役所が指定する業者なりに持ち込んで検査して貰わないとダメ、
もちろん、検査後に中身を弄った場合は要・再検査、再検査せずに繋ぐのは違法改造、というような話になってしまう。
けどまあ、毎日更新されるような代物で、その仕組みでは回らないので、
改造はいくらでも許可しますが、その代わりに、継続的にテストを続けますが良いですよね? みたいな理屈。
Re: (スコア:0)
そういうのを全部含めて検討の余地自体はあるんじゃないかと思います。しかしそれにも公益にかなう部分をうまく抽出できればという前提が付きます。
まず、検査で発見した問題点を全て、無償あるいは法定の適正金額で引き渡すことが前提ですし、検査が可用性に影響を及ぼしてしまえばそれは許容されるものではないでしょう。
単なる不正アクセス者の言い訳に使われないように、行政機関などに対する申請を事前に必要としたり、免許・登録制にすることも必要でしょうね。
しかしこれから攻撃するといったらテストにならんだろ (スコア:1)
Re:しかしこれから攻撃するといったらテストにならんだろ (スコア:1)
良かった。これから攻撃すると予告しても碌に防御できないような省庁は無かったんだ。
Re: (スコア:0)
検査の日程を教えてもらえる。
(防げるとは言ってない。)
Re: (スコア:0)
運用者にとって既知の脆弱性を調べる検査ならね。
でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。
何かとトレードオフの対策しか出来ない脆弱性(DDoSやブルートフォース等)の場合そもそも対策できる類のものではない物量攻撃に近いので、脆弱性検査として実施すべきかと言うと微妙なものも多い。
運用者にとって未知の脆弱性であれば、隠れて検査なぞされるよりホワイトボックステストや調査結果の通知義務コミコミで明確にやったほうが良い。
一方的な抜き打ち検査とか調査結果の良からぬ利用法は山程思い付きますがそうで無ければならない理由はほとんど思いつきません 。
脆弱性検査を義務付けるとかまずそっちから手を付けるべき話。
Re: (スコア:0)
> でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。
いや、スプラウトを擁護するつもりはさらさらないですが、さすがにこれは過大評価では。
実際に無断ペネトレーションテストを行って「上場企業の5割に脆弱性がある」とスプラウトは主張しているわけですから。
大抵、そういうのはノーガード戦法をうそぶいているわけではなく、単に無能なだけでしょう。
ただ、ペネトレーションテストの予告をしたことで実際にセキュリティ意識が向上するのなら、別にそれで構わんように思います。
カンニング不可な学校のテストじゃないんだから。
無断でやる意味あるの? (スコア:1)
無断でやる意味はないので、不正アクセス禁止法違反で良かろう。
セキュリティを気にしている会社なら、自分で頼んでチェックしてもらえばいいだけの話なので、同意なくサーバーなどに対して実際に攻撃や侵入を行って調査する必要性はない。無断でやるのは、押し売りの強盗のようなものだ。
Re:無断でやる意味あるの? (スコア:1)
同意してテストをやる場合になら、データのバックアップとか保全ぐらいできるけれど、同意なしのクラッキングだと、データ喪失とかサービス停止もあるから、ただの業務妨害だよな。セキュリティーの押し売り強盗しといて、合法化しろとなんて、どこまでモラル崩壊しているんだ?
Re: (スコア:0)
確かに業務妨害だし、押し売りみたいなものだようなあ。非合法のままにするべきだろう。
Re: (スコア:0)
でも、今の社会には、それをやらせる圧力が無いじゃない。
A. クラッカー。ただただ悪い奴
B. セキュリティの甘いサーバを運営してる奴。利用されてAが出す被害を拡大してしまう
C. 善良な市民。
Cに属する自分としては、Aはもちろんの事ながら、Bも吊されて欲しい。
Bのような輩が仕事を失って静かに退場していくような世の中が理想ではあるけど、
そのためには、一般のセキュリティ意識が「あの会社、セキュリティがダメだから使うの止めよう」と言うところまで高まらないとダメ。
でも、それを待っていられないぐらいに切迫した状況になりつつあるので、強引にでも実現する別のプランが必要。
Re: (スコア:0)
こうでしょ。
× C. 善良な市民。
○ C. セキュリティの甘いクライアントでインターネットに接続してる善良な市民。利用されてAが出す被害を拡大してしまう。
当然、Cは吊るされるべきですよね?
Re: (スコア:0)
もちのろん。そうやらないとインターネットに平和は訪れない。
Re: (スコア:0)
端末をインターネットに接続している時点で、Aから見て、CとBの間には差がない。
Re:無断でやる意味あるの? (スコア:1)
末文を誤読して納得してしまった。誤読だと気づいて苦笑い。
こう誤読した>そうすればみんなこぞってスプラウトの調査を依頼するようになるよ。
資料の背景 (スコア:1)
自民党内のIT戦略特命委員会は定期的に有識者ヒアリングを行っているようで、スプラウトの提案は4/9に行われた会合で行われたもの。
議題は「サイバーセキュリティーを巡る現状と課題について」で、同日ラックの西本氏もプレゼンしている。
前日の4/8にも同じ議題でアズジェントとFFRIがプレゼンしている。
資料は自民党 IT戦略特命委員会のアーカイブ [activeictjapan.com]にあるのだが、せめて会合ごとにページ分けてくれんかな…と。
その前に (スコア:1)
そういう業種を認可制にしないとダメな気がする
推測される? (スコア:0)
>違法である可能性を知りながら無断で調査を行っていたと推測される
これはどう推測したんでしょうかね。 攻撃をした時はその認識はなかったが事後騒がれて知ることになったという話もあり得るのではないでしょうか。
これが確実に否定される事実がこの資料内にあったんでしょうか?
Re:推測される? (スコア:1)
提案資料PDFの
って件からかな。
まあ、これを騒がれた後に知ったのだとしたら、「(自称)セキュリティ会社が後から騒がれるまで知らなかった」という笑えない話になるんだけど。
悪用を防ぐ方法は? (スコア:0)
提案資料を見た限りだけど申請内容がザル過ぎて
ほんとにセキュリティ関連企業なのか?
Re: (スコア:0)
勝手にセキュリティホールを調べ、見つけたら「脆弱性の修正をうちに依頼しろ。そうしなければマスコミに発表する」と営業活動、ってパターンなんだろうか。
それってサイバー総会屋ってことかな?
よかった (スコア:0)
sproutは自分で勝手に100社を攻撃したんだ。
sproutに依頼したところなんてなかったんだ!
高い壁が存在? (スコア:0)
提案資料PDFを読んだ。
「IT全般に対する幅広く深い理解があり、サイバーセキュリティ領域における経験を積み重ねている。システムやアプリケーションの脆弱なポイントを見極め、新たな攻撃手法を自ら生み出すことができる」と「Webやアプリケーションのセキュリティ診断などをツールなどを用いて実施できるレベル。ITに関する知識と様々な解析ツールのノウハウ、セキュリティの一定分野に強みがある」の間には高い壁が存在しているなんて書かれてるんだが……
個人的には両者の間にもう一エリアあるだけの話だと思うんだよな、自分もそこにいるつもりだし。
あとエンジニアでないのをエンジニアと称して、エンジニア人口ピラミッドの下部を水増しするのは止めてくれ。
ゆすり一歩手前 (スコア:0)
「おたくのシステムへの侵入路を発見した。教えて欲しくば契約しろ。」
が営業活動になるのか。
言葉使いに気をつけないと脅迫になるな。
#ええもちろん素人考えです。
Re: (スコア:0)
別にそんなの今でも有るじゃないですか。
ウィルス発見、とか、セキュリティホール発見とか騒ぎ出して
小金をせしめるフィッシングサイトとか○ウエアの類で。
それがもっと物理的な営業手法を取ったところで、
悪徳商法の手口が新たに1つ増えるだけだと思いますが。
Re:ゆすり一歩手前 (スコア:1)
このスプラウトとかいう会社が何を考えているかというと、要するに手当たり次第に会社に攻撃を仕掛けて、
部分的にでも攻撃が成功したら、一切の詳細は知らせずただ
「おたくの会社のシステムには脆弱性が存在しますよ。この間攻撃に成功しました。うちと契約しませんか」
という脅迫まがいの割のいい営業がしたいんでしょう。
悪徳商法のような根拠のない脅しではなく現実に存在するセキュリティホール等について、
本人が知らずこの手のトロルもどきの会社のほうだけが知っているという状態を公的に認めることになる(かもね)
というのがこの法改正要求の問題点だと思います。
(かもね)と書いたのは、上のほうにもありますが、免許制による管理、
テスト手順の完全な記録の作成義務と記録の迅速な引渡し義務(これがないと再現できない)、
守秘義務、対価要求を認めないなどの制度的な設定で問題点を緩和できる余地があるからですが、
この辺はスプラウトは反対するでしょうね。
侵入テストで知った情報の扱い (スコア:0)
侵入テストをするってことは当然、内部情報にアクセスするってことになるけど、その情報の取り扱いが気になる。
Re: (スコア:0)
問題点が多すぎて完全にアウトなんだけど、怖いのは今の自民党なら、気が向けば合法化しちゃいそうなところ。
難しいな (スコア:0)
検査時期と内容通知する→その時だけ、その方法だけ防御する輩を防げない
抜き打ちする→タイミング悪いと破壊行為になる
どうしたもんかね。。
飽和攻撃以外なら抜き打ちかなあ。
あとは始めると同時に連絡とか。
最悪の条件でも堅牢にする費用、人員用意すべきだが現実は。。