パスワードを忘れた? アカウント作成
12748340 story
情報漏洩

「パナマ文書」はWordPressプラグインの脆弱性が原因で流出した? 67

ストーリー by hylom
まさかWebサーバー上にそんな重要なデータを置いておくとは 部門より

パナマの法律事務所から企業によるマネーロンダリングや租税回避に関する大量の文書が流出した、通称「パナマ文書」事件が話題だが、この文書の流出はWordPressのプラグインに存在した脆弱性によるものだったという話があるという(ASCII.jp)。

問題のプラグインは、Slider Revolutionというもの。このプラグインの古いバージョンにはリモートからシェルを操作できる脆弱性があるそうで、パナマ文書の流出元であるモサク・フォンセカ法律事務所のWebサイトではこの古いバージョンのSlider Revolutionが使われていたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 部門名 (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2016年04月11日 19時41分 (#2995629)

    さすがにWebサーバー上に直接それらの文書があったとは考えたくないなあ
    以前のタレコみにあったロイターの記事 [reuters.com]によれば2.6TBもの大きさって書いてある。
    これだけのサイズの機密データをWebサーバーに置くような運用ってあまり考えたくない。
    もちろんWebサーバーと社内ファイルサーバーを同じ機器上で動かしてた可能性も0ではないだろうけど・・・

    普通に考えば
    ・脆弱性を利用してWebサーバー乗っ取り
    ・ここに網を張っておいてアクセスしてきた管理人のPCを攻撃→管理人PC乗っ取り
    ・あとは社内のファイルサーバーなどに自由にアクセス
    って手順で抜き取っていったんじゃないかあな?もちろん根拠なんてないけど。

    • Re:部門名 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2016年04月11日 20時25分 (#2995655)
      いやわからんよ、信じられないくらい杜撰な運用で重要データ丸ごと外に繋がったサーバに保管してる企業なんて珍しくもないからね
      一応は専門の部門を置いてるはずのそれなりの規模の小売りすら、クレカとセキュリティコードが一緒に抜かれたりする位なんだから
      こんな小規模な金持ち向け金融組織なんてどんな管理でも驚かないわ
      NSAやらヒラリーやら見てもわかるように専門外の人のセキュリティ意識って驚くほど低い上に、それでも問題が発覚するまではなんとなく動くことは動いてしまうからね
      親コメント
  • by Anonymous Coward on 2016年04月11日 19時01分 (#2995610)

    WordPress見直した

    • by Anonymous Coward

      WiKiLeaksアワードでもあれば、間違いなく候補でしょうね。

    • by Anonymous Coward

      正義のために脆弱性やバグを残した、とかカッコイイかも。
      どんな事情にせよ意図的にやったらアウトか…。

      • by Anonymous Coward

        さすが WordPress しびれる憧れるぅ(by #ai)

        • by Anonymous Coward

          件のプラグインを開発配布したのはWordPressではありませんよ。

    • by Anonymous Coward

      見直したら、ちゃんと脆弱性を埋めてください(違

  • by Anonymous Coward on 2016年04月11日 20時35分 (#2995661)

    なんか流出っていうと勝手に流れてったみたいな感じなるけど、
    他者から不正に操作される脆弱性を利用されたってことは、
    データは奪取とか盗難とかされたんでしょ。

    • by kohzoh (34869) on 2016年04月11日 22時02分 (#2995716) 日記

      この事務所が顧客を守るためには、被害などないそぶりでいるしかないと思うけど、どうなんでしょうね。

      被害者が「おまわりさん情報盗まれました」っていうと、世間に「情報は本物」って言ってるようなものですよねぇ。

      親コメント
    • by Anonymous Coward

      いやいや。
      東洋の亡国だと、マスコミの取材のためなら不正アクセスは違法じゃないそうだし、
      取材のためならシステムの破壊もデータの盗難も不問にされるんじゃね?

    • by Anonymous Coward

      海外では「stolen(盗まれた)」と報道されているのに、なぜか日本の記事では必ず「流出」と訳される。
      ↓分かりやすい例。

      「The Panama Papers documents were stolen by a hacker, law firm says」
      https://theweek.com/speedreads/616840/panama-papers-documents-stolen-b... [theweek.com]

      「流出」だと、「攻撃者がいる」ということが伝わり難い。
      勝手に情報が漏れ出たかのように感じてしまいがち。

      「情報が盗まれる」という事象が高齢者には分かり難いための配慮なのか、
      それとも他に理由があるのか……。

      • by Anonymous Coward

        やはり判りやすい表現として「流出」は内部側要因でのときのみにして、外部からのものは「窃取」あたりの別の表現を宛てた方が無難に思えますけどね。

        >それとも他に理由があるのか……。
        情報は物ではないから、ってのは有るかと。

    • by Anonymous Coward on 2016年04月11日 21時57分 (#2995713)

      「何故欧米諸国は速やかに調査を開始したのか?」を知らないだろ?
      それは、公開したジャーナリスト団体から名指しで要人達が批判されたからなんだよ
      その批判対象に日本の政治家は入ってなかった
      だから日本政府としては特にコメントはしない、というだけ
      あと、いまのところ元の文書にアクセス出来るのは公開した団体の加盟員に限られており、
      国内で該当するのは共同通信と朝日新聞の一部の記者だけ
      「日本政府は調査するべき」というのなら、「共同通信と朝日新聞は日本政府に情報提供すべき」と続けなきゃならない

      親コメント
      • by Anonymous Coward on 2016年04月11日 23時23分 (#2995765)

        あと、サイトで検索すると、いろんな日本の企業名が出てくる!とか言ってるのは
        2013年に流出した情報を検索できるサイトで検索しており
        今回のパナマ文書とは、まったく関係ないものである
        というのも重要なポイント

        親コメント
      • by Anonymous Coward

        パナマ文書の全資料を新聞社がすぐに政府に渡すと思ってる人って、頭がどうかしてるのかな。
        政府要人の汚職が疑われるんだから、本人に渡したら効率よく証拠を捨てられるだけなのにね。

        • by Anonymous Coward

          もう第一報の時点で証拠隠滅に走られてる可能性高いと思うけどなー。さっさと一般に公開して総動員で検証すればいいのに。

    • by Anonymous Coward on 2016年04月11日 19時49分 (#2995633)

      わざわざ「調査します」なんて言ってたら、隠す側はますます必死で隠すだけでしょう。
      警察の捜査と同じで、裏ではやってるはずですよ。

      親コメント
    • by Anonymous Coward on 2016年04月11日 20時16分 (#2995649)
      そりゃ為政者側やそのオトモダチに都合の悪い情報が出てくるからに決まってるだろう。
      本音を言えばアメリカやヨーロッパだって特に政権与党側の政治家は調査したくないと思うよ、事実イギリスのキャメロンなんて祖父の名前がでてきてるんだから。
      でもそう正直にいってしまうとまともな国では選挙勝てなくなるから渋々調査するといわざる得ないだけだろう。
      親コメント
      • by Anonymous Coward

        それ、サヨクに乗せられた嫌儲厨(一応右派)の主張。
        電通の指示という辺りもその類型。
        日本のマスコミに対して下った中共の報道規制命令のせいと、私(一応右寄り)は思ってる。

        • by Anonymous Coward

          電通の住所はリストにあったし、中共は話題の通りだし。
          どこから、ではなく(身内含めて)あらゆるところからなんじゃないか?と思ってる。

          マンションの住所とかそれなりに有りますねえ。。

        • by Anonymous Coward
          なんで日本のマスコミに中共が報道規制命令が出せんだよ、100歩譲って出せたとしてもなんの利益もねえじゃねえか
          サヨクなんてわざわざカタガナにしてるとこ見ると典型的なネトウヨちゃんなんだろうけど
          どうしてネトウヨってのはこうどいつもこいつも理解不能な思考回路してるのか
          右寄りってのは馬鹿と同義語ではないんでお前は右寄りを名乗るな
        • by Anonymous Coward

          >日本のマスコミに対して下った中共の報道規制命令のせいと、私(一応右寄り)は思ってる。
          どうだろ?
          リストからプーチンへの無理やりのイチャモン付けについては、西側マスコミに類型が多いんだよ。
          それを見るに、国内マスコミへの中共の影響はあんまり無いように見える。
          それに「調査しない」というは日本の政府や省庁の見解ですよ?
          であれば安倍政権は中共の影響下って意味でしょうか?それも可能性は低いのじゃ。

          • by Anonymous Coward

            「同床異夢」と言う言葉もある。
            パナマ文書についての中共と安倍政権の姿勢が偶然一致することはある。

        • by Anonymous Coward

          > 私(一応右寄り)は思ってる。

          あなたは右寄りじゃなくて中二病をこじらせた幼稚なバカです。
          右翼がこんなバカだと思われるのは心外な人もいるだろうよ。

    • by Anonymous Coward on 2016年04月12日 0時28分 (#2995786)

      すでに朝日新聞が血眼になって調べました。

      パナマ文書に日本からも400の人・企業…ただし公職者は見つけられず
      http://www.asahi.com/articles/ASJ417W4SJ41ULZU00D.html [asahi.com]

      世界情報ジャーナリスト連合(ICIJ)と提携する
      朝日新聞が分析・取材したところ、政治家ら公職者は見当たらなかった

      親コメント
      • by Anonymous Coward on 2016年04月12日 1時24分 (#2995803)

        答えは対策済みだから
        http://www.kpmg.com/jp/ja/knowledge/glossary/pages/tax_athr.aspx [kpmg.com]

        日本では欧米と異なり、日本の親会社がタックスヘイブンを含む軽課税国~無課税国で子会社(ペーパーカンパニー)を設立し
        投資をした場合でも、子会社で得た利益は親会社の利益として課税する仕組み『外国子会社合算税制』を採用している。
        近年、欧米でも採用する動きが活発化しているが、業界の抵抗により本格的な導入は果たせていない。

        親コメント
        • by Anonymous Coward

          答えになってないな~。大体外国子会社合算税制を採用していても企業が利益を申告しなければどのみち税金は払わずに済む。
          T0SHlB@とか怪しい。

          • >企業が利益を申告しなければどのみち税金は払わずに済む。

            それただの脱税やん。

            親コメント
            • by Anonymous Coward

              現地国の法に従うと言う話でもってまわり
              告知義務がないと言い張れば、日本政府は調査できないからどうにもなんないんだよ
              法律だけ合ってもどうしょうもないから、結局外交上でどれだけ圧力がかけられるかという一点突破しか無い。

              ざる法があるから日本は対策済み、って言って回ってるのはさすがにちょっといただけない。しかもリンクしている先がそういう行為をコンサルしてる総元締めの大本営発表とかさすがにちょっと。

              • by Anonymous Coward

                告知義務はなくても申告義務はあるでしょ。
                日本政府はパナマを調査するまでもなく、国内の親会社を調査すれば良い。

              • by Anonymous Coward

                うんだからそれはタックスヘイブンじゃなくてただの脱税だよね
                元コメはタックスヘイブンは日本では対策されてるから。って話をしているのであって、タックスヘイブンでない全ての方法で脱税をしている企業の有無の話なんてしてない

      • by Anonymous Coward
        そりゃ日本は政治資金規正法がザル法で政治家なら海外に資金を逃す必要なんてないんだから当然だろう
        アメリカ人が少ないのも州によって法律がまちまちで国内で同じ事が出来る州があるからといわれてるように、名前がない=誠実な人が多いってわけでは決してないぞ
        むしろサウジみたいな国で名前があるのが謎なんだよな、あそこの政府なんてそんな厳密に王家と分かれてない筈だからわざわざ隠す必要ないはずなのに
        • by Anonymous Coward

          なんか、隠蔽と節税をごっちゃにしてない?
          タックスヘイブンを使うのは節税(まあ同義的にアレだが、違法ではないという意味で)目的であって、資産の隠蔽とは別の話だよ。
          隠蔽するだけなら別にタックスヘイブンでなくても良い。

          後、#2995803 にあるように、実は日本はタックスヘイブンで節税できないような先進的な税制度になってるんだよ。
          陰謀論をこね回すのは自由だけど、もうちょっと勉強しようぜ。

    • by Anonymous Coward

      今の内にできるだけ対処・対策してくださいって期間なんだろうな、マスコミの報道の遅さからしても。
      今頃は調べながら名前の挙がった大物に連絡しまくってる最中なんじゃないか?

    • by Anonymous Coward

      パナマ文書に載ってる、は違法性とは何の関係もない。

      即、政治マターになるのは「政治家が詳らかにしていなかった裏金」が明るみに出た場合。
      ICIJ参加メディアの朝日新聞と共同通信からなにも出てこない以上、この線はまだ動いてないし政府も動けない。
      「朝日新聞と共同通信はまだ裏取り段階なんじゃね?」という可能性はあると思うけど。

      いま動きがあるなら、本邦企業が設立したSPCやVBI法人が一線を超えてるんじゃないの?という線。
      これを調べるのは国税。汚職案件でなければ粛々と行政マターで処理するもの。
      国税の動きは知らないけど、政府が「いま調べてまぁす!」と宣言するのは宜しくない。というか宜しくなさすぎるだろ。。。

    • ○ どうして日本政府は調査する?

  • by Anonymous Coward on 2016年04月12日 2時03分 (#2995808)

    プレーンテキストなら圧縮率高いから、100分の1程度になるとしても26GB。。。
    試しに落とす気にもなれないなぁ。

    • 圧縮率が高くなるのは,情報が少ないファイルだけです

      仮に圧縮して100分の1程度になるテキストファイルがあれば
      それはたとえば同じ個人名を100回繰り返して書いたような
      コピペだらけのファイルで有る可能性が高いです

      テキストファイルの圧縮率は,その内容により変化します
      繰り返し登場する単語があればそれが圧縮できますが
      異なる名前や異なる金額が書かれたファイル,つまり情報が沢山つまったファイルでは
      圧縮出来る箇所が少なくなり,圧縮率が低くなります

      極端な例をあげると,ランダムな値を書いたバイナリファイルは,まったく圧縮出来ません
      圧縮すると逆にサイズが増えます(*1)

      半角英数のテキストファイルを圧縮すると,最悪の場合でサイズは1/2程度(*2)
      一般的な場合で10分の1程度になります(*3)

      このように
      情報が多いファイルほど圧縮率は低く
      情報が少ないファイルほど圧縮率は高くなります

      ですから,かりに100分の1程度に高圧縮出来るテキストファイルがあるとすれば
      その内容はかなり薄い筈はずです

      *1
      例えば以下の手順でランダムな値で10MBのバイナリファイル hoge を作成し
      xzで圧縮すると, 1MB程度サイズが増えた 11MBのファイル hoge.xz が出来ます
      $ dd if=/dev/urandom of=/tmp/hoge bs=1M count=10
      $ ls -lha hoge
      $ xz hoge
      $ ls -lha hoge.xz

      これはデータ本体は圧縮が効かず10MB程度になり
      そこにxzのメタデータ(辞書とかヘッダとか)を付与するため1MB程度サイズが増えるためです

      *2
      asciiコードは大雑把に言うと,1文字を7bitで符号化するので,1バイト(=8bit)あたり1bit無駄があります
      圧縮するとこの無駄を削減できるので,最低でもデータサイズを1bit分つまり半分に圧縮できます

      *3
      たとえば linux のソースコードは 700MB程度ありますが,xz 形式で圧縮しても80MB程度です

      親コメント
      • > asciiコードは大雑把に言うと,1文字を7bitで符号化するので,1バイト(=8bit)あたり1bit無駄があります
        > 圧縮するとこの無駄を削減できるので,最低でもデータサイズを1bit分つまり半分に圧縮できます

        8bit が 7bit になるのなら、元のデータサイズの 7/8 = 87.5%になって、12.5%減るけど、半減はしないんじゃないの?

      • by Anonymous Coward

        asciiテキストのみ、しかも数字の出現確率が高いとくれば、ハフマンがよく効きそうですけどね。
        8-1=7で半分とは、さすがに誘い受けの部類でしょうか。

      • by Anonymous Coward

        情報が多い/少ないという言葉が誤解を招きやすい。
        たとえば姓が同じ/似ている人が多いだけで情報はかなり圧縮できる。
        圧縮率を上げるためにはどこまで同じかという判断をするアルゴリズムが重要。

      • by Anonymous Coward

        ちなみに今回の2.6TBのデータのformatや解析方法の解説 [medium.com]

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...