「パナマ文書」はWordPressプラグインの脆弱性が原因で流出した? 67
ストーリー by hylom
まさかWebサーバー上にそんな重要なデータを置いておくとは 部門より
まさかWebサーバー上にそんな重要なデータを置いておくとは 部門より
パナマの法律事務所から企業によるマネーロンダリングや租税回避に関する大量の文書が流出した、通称「パナマ文書」事件が話題だが、この文書の流出はWordPressのプラグインに存在した脆弱性によるものだったという話があるという(ASCII.jp)。
問題のプラグインは、Slider Revolutionというもの。このプラグインの古いバージョンにはリモートからシェルを操作できる脆弱性があるそうで、パナマ文書の流出元であるモサク・フォンセカ法律事務所のWebサイトではこの古いバージョンのSlider Revolutionが使われていたという。
部門名 (スコア:4, すばらしい洞察)
さすがにWebサーバー上に直接それらの文書があったとは考えたくないなあ
以前のタレコみにあったロイターの記事 [reuters.com]によれば2.6TBもの大きさって書いてある。
これだけのサイズの機密データをWebサーバーに置くような運用ってあまり考えたくない。
もちろんWebサーバーと社内ファイルサーバーを同じ機器上で動かしてた可能性も0ではないだろうけど・・・
普通に考えば
・脆弱性を利用してWebサーバー乗っ取り
・ここに網を張っておいてアクセスしてきた管理人のPCを攻撃→管理人PC乗っ取り
・あとは社内のファイルサーバーなどに自由にアクセス
って手順で抜き取っていったんじゃないかあな?もちろん根拠なんてないけど。
Re:部門名 (スコア:2, すばらしい洞察)
一応は専門の部門を置いてるはずのそれなりの規模の小売りすら、クレカとセキュリティコードが一緒に抜かれたりする位なんだから
こんな小規模な金持ち向け金融組織なんてどんな管理でも驚かないわ
NSAやらヒラリーやら見てもわかるように専門外の人のセキュリティ意識って驚くほど低い上に、それでも問題が発覚するまではなんとなく動くことは動いてしまうからね
ごめんなさい (スコア:1)
WordPress見直した
Re: (スコア:0)
WiKiLeaksアワードでもあれば、間違いなく候補でしょうね。
Re: (スコア:0)
正義のために脆弱性やバグを残した、とかカッコイイかも。
どんな事情にせよ意図的にやったらアウトか…。
Re: (スコア:0)
さすが WordPress しびれる憧れるぅ(by #ai)
Re: (スコア:0)
件のプラグインを開発配布したのはWordPressではありませんよ。
Re: (スコア:0)
見直したら、ちゃんと脆弱性を埋めてください(違
脆弱性で流出? (スコア:1)
なんか流出っていうと勝手に流れてったみたいな感じなるけど、
他者から不正に操作される脆弱性を利用されたってことは、
データは奪取とか盗難とかされたんでしょ。
Re:脆弱性で流出? (スコア:2)
この事務所が顧客を守るためには、被害などないそぶりでいるしかないと思うけど、どうなんでしょうね。
被害者が「おまわりさん情報盗まれました」っていうと、世間に「情報は本物」って言ってるようなものですよねぇ。
Re: (スコア:0)
いやいや。
東洋の亡国だと、マスコミの取材のためなら不正アクセスは違法じゃないそうだし、
取材のためならシステムの破壊もデータの盗難も不問にされるんじゃね?
Re: (スコア:0)
海外では「stolen(盗まれた)」と報道されているのに、なぜか日本の記事では必ず「流出」と訳される。
↓分かりやすい例。
「The Panama Papers documents were stolen by a hacker, law firm says」
https://theweek.com/speedreads/616840/panama-papers-documents-stolen-b... [theweek.com]
「流出」だと、「攻撃者がいる」ということが伝わり難い。
勝手に情報が漏れ出たかのように感じてしまいがち。
「情報が盗まれる」という事象が高齢者には分かり難いための配慮なのか、
それとも他に理由があるのか……。
Re: (スコア:0)
やはり判りやすい表現として「流出」は内部側要因でのときのみにして、外部からのものは「窃取」あたりの別の表現を宛てた方が無難に思えますけどね。
>それとも他に理由があるのか……。
情報は物ではないから、ってのは有るかと。
どうして日本政府は調査しない? (スコア:0)
http://matome.naver.jp/search?q=%E3%83%91%E3%83%8A%E3%83%9E%E6%96%87%E... [naver.jp]
Re:どうして日本政府は調査しない? (スコア:5, 興味深い)
「何故欧米諸国は速やかに調査を開始したのか?」を知らないだろ?
それは、公開したジャーナリスト団体から名指しで要人達が批判されたからなんだよ
その批判対象に日本の政治家は入ってなかった
だから日本政府としては特にコメントはしない、というだけ
あと、いまのところ元の文書にアクセス出来るのは公開した団体の加盟員に限られており、
国内で該当するのは共同通信と朝日新聞の一部の記者だけ
「日本政府は調査するべき」というのなら、「共同通信と朝日新聞は日本政府に情報提供すべき」と続けなきゃならない
Re:どうして日本政府は調査しない? (スコア:3, 参考になる)
あと、サイトで検索すると、いろんな日本の企業名が出てくる!とか言ってるのは
2013年に流出した情報を検索できるサイトで検索しており
今回のパナマ文書とは、まったく関係ないものである
というのも重要なポイント
Re: (スコア:0)
パナマ文書の全資料を新聞社がすぐに政府に渡すと思ってる人って、頭がどうかしてるのかな。
政府要人の汚職が疑われるんだから、本人に渡したら効率よく証拠を捨てられるだけなのにね。
Re: (スコア:0)
もう第一報の時点で証拠隠滅に走られてる可能性高いと思うけどなー。さっさと一般に公開して総動員で検証すればいいのに。
Re:どうして日本政府は調査しない? (スコア:1)
わざわざ「調査します」なんて言ってたら、隠す側はますます必死で隠すだけでしょう。
警察の捜査と同じで、裏ではやってるはずですよ。
Re:どうして日本政府は調査しない? (スコア:1)
隠すって、どうやって?
ICIJのサイトのWordPressプラグインの脆弱性を利用して
自分の悪事だけピンポイントで削除とかするの?
Re:どうして日本政府は調査しない? (スコア:1, すばらしい洞察)
本音を言えばアメリカやヨーロッパだって特に政権与党側の政治家は調査したくないと思うよ、事実イギリスのキャメロンなんて祖父の名前がでてきてるんだから。
でもそう正直にいってしまうとまともな国では選挙勝てなくなるから渋々調査するといわざる得ないだけだろう。
Re: (スコア:0)
それ、サヨクに乗せられた嫌儲厨(一応右派)の主張。
電通の指示という辺りもその類型。
日本のマスコミに対して下った中共の報道規制命令のせいと、私(一応右寄り)は思ってる。
Re: (スコア:0)
電通の住所はリストにあったし、中共は話題の通りだし。
どこから、ではなく(身内含めて)あらゆるところからなんじゃないか?と思ってる。
マンションの住所とかそれなりに有りますねえ。。
Re: (スコア:0)
サヨクなんてわざわざカタガナにしてるとこ見ると典型的なネトウヨちゃんなんだろうけど
どうしてネトウヨってのはこうどいつもこいつも理解不能な思考回路してるのか
右寄りってのは馬鹿と同義語ではないんでお前は右寄りを名乗るな
Re: (スコア:0)
胡散臭いのはネトウヨの思考回路だけだろw
Re: (スコア:0)
Re:どうして日本政府は調査しない? (スコア:1)
騙されたと訴えでても黙認したなんて証拠は日本側にすらいくらでも残ってるだろうに
当時の日本の当局が黙認せずに摘発したという証拠は当時の新聞報道を始めいくらでもありますが、
黙認したなんて証拠は中韓の捏造を除いて聞いたことがありません
そのような新事実があるのなら、まずその証拠を示しなさい
証拠も示さず既定事実のように語るのは、まさに無知蒙昧の振る舞いです
Re: (スコア:0)
それじゃあ参議院の質問主義書。
証書番号示されているから、詳細を知りたいのならそちらもどうぞ。
リンクミスった (スコア:0)
http://www.sangiin.go.jp/japanese/joho1/kousei/syuisyo/183/syuh/s183083.htm [sangiin.go.jp]
Re: (スコア:0)
>日本のマスコミに対して下った中共の報道規制命令のせいと、私(一応右寄り)は思ってる。
どうだろ?
リストからプーチンへの無理やりのイチャモン付けについては、西側マスコミに類型が多いんだよ。
それを見るに、国内マスコミへの中共の影響はあんまり無いように見える。
それに「調査しない」というは日本の政府や省庁の見解ですよ?
であれば安倍政権は中共の影響下って意味でしょうか?それも可能性は低いのじゃ。
Re: (スコア:0)
「同床異夢」と言う言葉もある。
パナマ文書についての中共と安倍政権の姿勢が偶然一致することはある。
Re: (スコア:0)
> 私(一応右寄り)は思ってる。
あなたは右寄りじゃなくて中二病をこじらせた幼稚なバカです。
右翼がこんなバカだと思われるのは心外な人もいるだろうよ。
Re:どうして日本政府は調査しない? (スコア:1)
すでに朝日新聞が血眼になって調べました。
パナマ文書に日本からも400の人・企業…ただし公職者は見つけられず
http://www.asahi.com/articles/ASJ417W4SJ41ULZU00D.html [asahi.com]
世界情報ジャーナリスト連合(ICIJ)と提携する
朝日新聞が分析・取材したところ、政治家ら公職者は見当たらなかった。
パナマ文書やタックスヘイブン、なぜ日本では話題にならない? (スコア:1, 興味深い)
答えは対策済みだから
http://www.kpmg.com/jp/ja/knowledge/glossary/pages/tax_athr.aspx [kpmg.com]
日本では欧米と異なり、日本の親会社がタックスヘイブンを含む軽課税国~無課税国で子会社(ペーパーカンパニー)を設立し
投資をした場合でも、子会社で得た利益は親会社の利益として課税する仕組み『外国子会社合算税制』を採用している。
近年、欧米でも採用する動きが活発化しているが、業界の抵抗により本格的な導入は果たせていない。
Re: (スコア:0)
答えになってないな~。大体外国子会社合算税制を採用していても企業が利益を申告しなければどのみち税金は払わずに済む。
T0SHlB@とか怪しい。
Re:パナマ文書やタックスヘイブン、なぜ日本では話題にならない? (スコア:1)
>企業が利益を申告しなければどのみち税金は払わずに済む。
それただの脱税やん。
Re: (スコア:0)
現地国の法に従うと言う話でもってまわり
告知義務がないと言い張れば、日本政府は調査できないからどうにもなんないんだよ
法律だけ合ってもどうしょうもないから、結局外交上でどれだけ圧力がかけられるかという一点突破しか無い。
ざる法があるから日本は対策済み、って言って回ってるのはさすがにちょっといただけない。しかもリンクしている先がそういう行為をコンサルしてる総元締めの大本営発表とかさすがにちょっと。
Re: (スコア:0)
告知義務はなくても申告義務はあるでしょ。
日本政府はパナマを調査するまでもなく、国内の親会社を調査すれば良い。
Re: (スコア:0)
うんだからそれはタックスヘイブンじゃなくてただの脱税だよね
元コメはタックスヘイブンは日本では対策されてるから。って話をしているのであって、タックスヘイブンでない全ての方法で脱税をしている企業の有無の話なんてしてない
Re: (スコア:0)
アメリカ人が少ないのも州によって法律がまちまちで国内で同じ事が出来る州があるからといわれてるように、名前がない=誠実な人が多いってわけでは決してないぞ
むしろサウジみたいな国で名前があるのが謎なんだよな、あそこの政府なんてそんな厳密に王家と分かれてない筈だからわざわざ隠す必要ないはずなのに
Re: (スコア:0)
なんか、隠蔽と節税をごっちゃにしてない?
タックスヘイブンを使うのは節税(まあ同義的にアレだが、違法ではないという意味で)目的であって、資産の隠蔽とは別の話だよ。
隠蔽するだけなら別にタックスヘイブンでなくても良い。
後、#2995803 にあるように、実は日本はタックスヘイブンで節税できないような先進的な税制度になってるんだよ。
陰謀論をこね回すのは自由だけど、もうちょっと勉強しようぜ。
Re: (スコア:0)
今の内にできるだけ対処・対策してくださいって期間なんだろうな、マスコミの報道の遅さからしても。
今頃は調べながら名前の挙がった大物に連絡しまくってる最中なんじゃないか?
Re: (スコア:0)
パナマ文書に載ってる、は違法性とは何の関係もない。
即、政治マターになるのは「政治家が詳らかにしていなかった裏金」が明るみに出た場合。
ICIJ参加メディアの朝日新聞と共同通信からなにも出てこない以上、この線はまだ動いてないし政府も動けない。
「朝日新聞と共同通信はまだ裏取り段階なんじゃね?」という可能性はあると思うけど。
いま動きがあるなら、本邦企業が設立したSPCやVBI法人が一線を超えてるんじゃないの?という線。
これを調べるのは国税。汚職案件でなければ粛々と行政マターで処理するもの。
国税の動きは知らないけど、政府が「いま調べてまぁす!」と宣言するのは宜しくない。というか宜しくなさすぎるだろ。。。
× どうして日本政府は調査しない? (スコア:0)
○ どうして日本政府は調査する?
2.6TBってホントだろうか。。 (スコア:0)
プレーンテキストなら圧縮率高いから、100分の1程度になるとしても26GB。。。
試しに落とす気にもなれないなぁ。
Re:2.6TBってホントだろうか。。 (スコア:2)
圧縮率が高くなるのは,情報が少ないファイルだけです
仮に圧縮して100分の1程度になるテキストファイルがあれば
それはたとえば同じ個人名を100回繰り返して書いたような
コピペだらけのファイルで有る可能性が高いです
テキストファイルの圧縮率は,その内容により変化します
繰り返し登場する単語があればそれが圧縮できますが
異なる名前や異なる金額が書かれたファイル,つまり情報が沢山つまったファイルでは
圧縮出来る箇所が少なくなり,圧縮率が低くなります
極端な例をあげると,ランダムな値を書いたバイナリファイルは,まったく圧縮出来ません
圧縮すると逆にサイズが増えます(*1)
半角英数のテキストファイルを圧縮すると,最悪の場合でサイズは1/2程度(*2)
一般的な場合で10分の1程度になります(*3)
このように
情報が多いファイルほど圧縮率は低く
情報が少ないファイルほど圧縮率は高くなります
ですから,かりに100分の1程度に高圧縮出来るテキストファイルがあるとすれば
その内容はかなり薄い筈はずです
*1
例えば以下の手順でランダムな値で10MBのバイナリファイル hoge を作成し
xzで圧縮すると, 1MB程度サイズが増えた 11MBのファイル hoge.xz が出来ます
$ dd if=/dev/urandom of=/tmp/hoge bs=1M count=10
$ ls -lha hoge
$ xz hoge
$ ls -lha hoge.xz
これはデータ本体は圧縮が効かず10MB程度になり
そこにxzのメタデータ(辞書とかヘッダとか)を付与するため1MB程度サイズが増えるためです
*2
asciiコードは大雑把に言うと,1文字を7bitで符号化するので,1バイト(=8bit)あたり1bit無駄があります
圧縮するとこの無駄を削減できるので,最低でもデータサイズを1bit分つまり半分に圧縮できます
*3
たとえば linux のソースコードは 700MB程度ありますが,xz 形式で圧縮しても80MB程度です
半角英数は最悪でも半減できる?? (スコア:0)
> asciiコードは大雑把に言うと,1文字を7bitで符号化するので,1バイト(=8bit)あたり1bit無駄があります
> 圧縮するとこの無駄を削減できるので,最低でもデータサイズを1bit分つまり半分に圧縮できます
8bit が 7bit になるのなら、元のデータサイズの 7/8 = 87.5%になって、12.5%減るけど、半減はしないんじゃないの?
Re: (スコア:0)
asciiテキストのみ、しかも数字の出現確率が高いとくれば、ハフマンがよく効きそうですけどね。
8-1=7で半分とは、さすがに誘い受けの部類でしょうか。
Re: (スコア:0)
情報が多い/少ないという言葉が誤解を招きやすい。
たとえば姓が同じ/似ている人が多いだけで情報はかなり圧縮できる。
圧縮率を上げるためにはどこまで同じかという判断をするアルゴリズムが重要。
Re: (スコア:0)
ちなみに今回の2.6TBのデータのformatや解析方法の解説 [medium.com]