取引先会社のサーバーに公開鍵を勝手に設定、不正アクセスし13時間サイトを閲覧不能に 108
ストーリー by nagazou
全国初 部門より
全国初 部門より
取引先企業のウェブサイトを閲覧不能にした疑いで男が逮捕された。容疑者は2020年3月8日、運営用サーバーに不正アクセスを行い、13時間にわたって閲覧不能にしたと報じられている。このとき男は端末側に秘密鍵、サーバー側に公開鍵を勝手に設定、外部から不正アクセスを行い閲覧不能にしたとしている。公開鍵認証の不正利用による逮捕者は全国初とされる。男と被害に遭った企業の間では、業務内容をめぐってトラブルがあった模様。なお本人は容疑に対して「思い出せません」と否認しているとのこと(毎日新聞、FNNプライムオンライン)。
この件に関しては別の視点の報道も行われている。読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。なお、この男は6と7月にも同社のサーバーに不正アクセスしたとして逮捕されていたしている(読売新聞)。
この件に関しては別の視点の報道も行われている。読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。なお、この男は6と7月にも同社のサーバーに不正アクセスしたとして逮捕されていたしている(読売新聞)。
はてブやTwitter界隈では記者のレベルを馬鹿にする自称技術者が多かったが (スコア:5, 参考になる)
スラドでは初コメで #4081028 のようにきちんと理解している人が居て安堵。
読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。
この意味を理解できない人達(Twitterのプロフでは技術系が多かったが)が新聞記者がおかしなことを書いているとして叩いていたが、実は記事は間違っていない。
『男の端末では「IPv6」が使用されていた』という記事の表現も適格で大変素晴らしい。端末ではIPv6を使っていても、IPv4 over IPv6 IPoE方式でIPv4アドレスに変換されているので、会社側のサーバーからするとIPv4で接続されているかのように見える。
IPv4 over IPv6の方式は色々あるのだけど、だいたい1つのグローバルIPv4アドレスを250人ぐらいで使うことが多い。
家庭用ルーターのようなポートをランダムにしたNAPTだと負荷が高いので、契約者ごとにポート番号を250個ぐらい固定で割り当てる方式が多い。
で、v6プラスなんかはそのグローバルIPv4アドレスが実質的に完全固定(固定を保証はしていなくても実質固定)解約まで変動しない。
なので、サーバ側でポート番号のログをとっていれば、数年後であっても(回線を解約していなければ)特定が可能な可能性がある。
一方、サーバ側がポート番号のログをとっていない場合、その時間帯にどういう接続があったかのログが無ければ特定できず、ISP側でのそのログの保管期間はそこまで長くない。
本件だと、SSHサーバだと思うが、ほとんどのディストリの標準設定において、ポート番号のログはきちんととる仕様になっているので、ポート番号が記録されないというのは珍しい。
ポート番号は不要だと思ってわざわざ設定変更してログキングしないようにしたか、古いバージョンのSSHDを使い続けている恐れがある。
普通は
auth.log:Jan 21 17:55:15 [ホスト名] sshd[26757]: Accepted publickey for [ユーザー名] from [IPアドレス] port 52228 ssh2:...
みたいに記録される。
一方、HTTPDやWebアプリケーションの対応は相当遅れている。
Apache とかのHTTPサーバの生ログもデフォルトではポート番号記録していないし、Webアプリケーションのログに至っては、記録しているプログラムは極めてまれ。
有名な掲示板CGI/phpなんかもIPアドレスしかとってないのが普通だし、スラドもポート番号まで記録しているのかな?
ユーザのプライバシーを保ちたいならば今のところポート番号のログをとらなきゃ駄目というコンセンサスはない(とらなかったらプロバイダ責任制限法の免責が受けられないという判例はない)のでとらないというのも有り。逆に犯罪者を特定しやすくするために、ポート番号のログを取るという選択肢もありだと思う。
しかし、何も考えずに「ポート番号のログはとらない」のがデフォルトだからとデフォルトの設定で使い続けるのではなく、HTTPD や Webアプリケーション(掲示板やメールフォームなど)で、ポートログをとることを検討しても良いと思う。
Re:はてブやTwitter界隈では記者のレベルを馬鹿にする自称技術者が多かったが (スコア:1)
何かが叩かれてると逆張りしたくなるのは病気ですよ、あなた
記事は『IPアドレスの「規格違い」障壁』と書いてるけど、まずこれがおかしい
そもそもサーバ側に記録されてるIPv4アドレスから男のIPv6アドレスを割り出す必要はない
v4アドレスとポート番号とタイムスタンプから、その時間に条件に合う契約者を捜索するだけ
だから『男の端末では「IPv6」が使用されていた』というのは全く必要ない情報
必要だとすれば『共有v4アドレスが使われていた』という情報、これが重要
共有v4アドレスだとポート番号が分からなければ契約者を一意に特定できない
ところがそれが記事には書いてないからますますおかしいというわけ
Re: (スコア:0)
なんとなく、男の端末はデュアルスタックで、4to6to4だと思うのだが。
そもそも、携帯電話とかCATVとかで、CGNな構成は多いのでかなり前からポート番号は採っておくべきなんだよね。
Re: (スコア:0)
デュアルスタックを「4to6to4」と表現するのはちょっと聞いたことないが
それなら「6to6」か「4to4」の2通りなので報道とは一致しないことになる
Re: (スコア:0)
端末は良くてデュアルスタックで、通信の発端はIPv4だと思う。
経路的にはIPv4-IPv6-IPv4をタイプが面倒で4to6to4と書いたのが誤りだった。すまぬ。
Re: (スコア:0)
う、うん? 真ん中のIPv6は何の機器を差してるのかニャ…?
Re: (スコア:0)
端末がPCか、ルータかで話が変わりそう。
機器でなく経路。
ブロードバンドルータとv6プラス間はIPv6だよね。
Re: (スコア:0)
仮にブロードバンドルータならRAやDHCPv6で端末にv6アドレス割り振るから
(←端末)IPv6-IPv6-IPv4(サーバ→)になるはずで認識合わないよなぁと
従来のキャリアグレードNATとは全く違う (スコア:2, 参考になる)
いや、今時ほとんどの個人向けISPはCGNATでIPv4アドレスを共用してるんだから、端末側がIPv4でも、ソースポート番号がロギングされてないと契約者特定のハードルが上がるの。端末側がIPv6だとか関係ねーから。わかってねーなぁ
従来のキャリアグレードNAT(全部IPv4)は、ユーザにはIPv4のプライベートIPアドレスが割り当てられていたの。
これは、大抵の場合、動的に割り当てられていた。
IPv6と違ってプライベートIPアドレスにも限りがある上、PPPoEでパソコンごとにセッション張る場合もあって1契約で複数台同時に使うこともあったから、契約ごとの固定割り当てはやりにくかったんじゃないかな。
そして、キャリアグレードNATでのIPマスカレードでも、ポート番号はランダムなことが多かった。v6プラスで固定にしたのは、P2P対戦ゲームでのインバウンド接続対応などに配慮したんじゃなかなな。
なので、従来のキャリアグレードNATでは犯罪者の特定には下記の3つが必要だった。
・グローバルIPアドレスとタイムスタンプ
・プライベートIPアドレスの割り当てログ(PPPoEアカウントとの対応)
・キャリアグレードNATでのIPマスカレードのログ
一方、v6プラスは、
・IPv6 プレフィックスが半固定
・IPv6 プレフィックスが決定するとポート番号が決定する
(ポート番号の割り当て一覧は http://ipv4.web.fc2.com/map-e.html [fc2.com] にIPアドレスを入れると確認できる)
となっており、ポート番号がわかれば、保管期間の短いキャリアグレードNATでのIPマスカレードのログが無くても契約者が特定できるようになった。
従来のキャリアグレードNATでは、ポート番号が分かってなくても上述3つのログがあれば特定でき、一方ポート番号が分かったところで3つのログ全部が必要なことに変わりが無かったので、ポート番号はあっても無くても特定には役立たなかった。
(ISPの中の人がログを照合するときに絞り込みがしやすくなって手間が減るかもしれないぐらい)
ちなみにポート番号固定により、従来のキャリアグレードNATと違ってサーバが建てられない問題が解消した。
v6プラスはポート80や443が使えないからURLにポート番号がついてダサいがWebサーバだって公開できるし、P2P対戦型のオンラインゲームでホストもできる。
ってことで、色々違いがある。
「ほとんどの個人向けISP」←間違い (スコア:0)
いや、今時ほとんどの個人向けISPはCGNATでIPv4アドレスを共用してるんだから、端末側がIPv4でも、ソースポート番号がロギングされてないと契約者特定のハードルが上がるの。端末側がIPv6だとか関係ねーから。わかってねーなぁ
Yahoo! BB とか GMO とか契約者数が多いISPのPPPoEは、IPv4グローバルIPアドレスが割り当てられてますが?
「ほとんどの個人向けISPはCGNATでIPv4アドレスを共用」ってどこの並行世界?
割り当てられているIPv4アドレスを消費し続けてないと割り当て減らされちゃうかもしれないので、大手は不要な人にもばらまいているんですよ。
Yahoo!BB なんてIPv6高速ハイブリッド IPv6 IPoE + IPv4の、IPv4側でさえ、契約ごとに固有の固定IPv4アドレスですよ。イヤーリッチなこと。
Re: (スコア:0)
あーごめん、有象無象の固定ブロードバンド系ISPのことすっかり忘れてたわ。
アクセス数ベースで言えばCGNATのモバイル系ISPが体感7~8割だからさ。
訂正します。
×「ほとんどの個人向けISP」
〇「個人向けISPの契約者のほとんど」
「有象無象の~」という負け惜しみ的な言葉や、「体感~」の根拠はお前の感覚かよ!って言う、半可通(ですらない底辺技術者?)の悪い部分が見えちゃいますね。
一言「自己を知って、恥を知れ」
Re: (スコア:0)
そもそもNAT越しにインターネットのサービスを利用するだけの状態をインターネットに繋がってるとは言わない。
サービスをインターネットに提供する双方向性があって、初めてインターネットに繋がってると言えるのだと師匠が昔よく言ってた。
Re: (スコア:0)
本題と関係ない部分の揚げ足取りでイキられてもねぇ……
Re: (スコア:0)
何が言いたいのかよく分からないんで解説お願い
Re:はてブやTwitter界隈では記者のレベルを馬鹿にする自称技術者が多かったが (スコア:1)
めっちゃ早口で言ってそう
じゃけんサーバ管理者は (スコア:2, すばらしい洞察)
後でログからプロバイダに開示請求できるようにIPアドレスとセットでソースポートも記録しておきましょうね~
Re:じゃけんサーバ管理者は (スコア:5, 参考になる)
Logging Recommendations for Internet-Facing Servers
https://datatracker.ietf.org/doc/html/rfc6302 [ietf.org]
抄訳
古事記(RFC)にもそう書かれている。
Re: (スコア:0)
これはこれは!
2011年の古文書がまだ読める形で現存していたとは驚いたものじゃ
だれか #4081158 にプラスモデしてやっとくれ
Re: (スコア:0)
opensslのバージョンが結構昔のヤツだったのかね。
ポートがログに出てこないって。
この「男」は実は悪くないかも…… (スコア:1)
個人事業主が請け負う小さな案件だと、
1. 何らかのサーバに接続してやる業務を請け負う
2. 任された業務完了後、すぐ直せるがほっておくと致命的な問題が生じる可能性がある欠陥があったことに気が付く
(脆弱性とかバグとかその他)
3. こういう時は先方に連絡すべきなんだけど、休日挟んでいるときとかだと連絡つかなったりするしまぁいいかとこっそりSSHで繋いで直す(特に脆弱性だとその間に攻撃される可能性もあるし)
なんていうのは良くあることだったりするんですね。多くの場合、正攻法で連絡するより平和に解決するのです。
でも、よく考えると 3. の時に何かミスってシステム止めちゃったら今回のような騒ぎになるかもしれないですな。
本人は容疑に対して「思い出せません」と否認については、警察が思い出せないような細かなこと聞いただけかもしれないし。
Re: (スコア:0)
関連リンク置いときますね:
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に [security.srad.jp]
スラドに聞け:会社の方針を無視してセキュリティアップデートを当てるのは是か非か [security.srad.jp]
Re: (スコア:0)
いやそういう場合だったとしても悪いは悪いでしょ。
transixとかv6プラスの事か? (スコア:0)
会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。
意味不明と思ったけど、transixとかv6プラスの事か?
だとしたら、中々斬新な表現方法だな。
間に別の会社が有った為に手続きが増えて面倒だった位だと思うのだが。
Re: (スコア:0)
IPv4 からだとモザイクかかって見えるんだよ。
いたしちゃったのかー (スコア:0)
そりゃ逮捕も当然だな
頼むから生の情報をくれ (スコア:0)
技術的なバックグラウンドを持たない新聞屋の記者に書かせると支離滅裂な記事になるという典型例。
特定の新聞屋だけ狂ってるならそこを購読しなければいい話だが、毎日も読売もとなると手に負えない。
記者のバイアスが掛かっていない生の警察発表情報をくれよ。あとはこっちで内容を噛み砕くから。
なんで行政府にはそれができて、警察にはそれができないんだよ……。
Re: (スコア:0)
警察には秘匿したい捜査情報もあるはずだから、生の警察情報でも大して変わらない予感
Re: (スコア:0)
隠すのならまだいいんだよな。別の言葉に置き換えちゃうからわけがわからなくなる。
Re:頼むから生の情報をくれ (スコア:1)
隠すのならまだいいんだよな。別の言葉に置き換えちゃうからわけがわからなくなる。
こんなかんじでしょうか
取引先に公開鍵を云々カンヌンその特定にIPアドレスを云々カンヌン
↓
↓ 自慰行為を取引先で公開→猥褻物陳列罪で逮捕
↓ ↑
1Pを取引先で公開
Re: (スコア:0)
毎日新聞の記事書いた記者は安全なはずの公開鍵認証の欠陥が露呈した!って認識をしてそうな予感がする。
Re: (スコア:0)
と思うだろ?
警察は色んな事情で最低限しか記者会見で発表しないんだよ。捜査機関なんで当たり前っちゃ当たり前だが。
そこで、個人的なパイプや取材力を持つ記者がうまく聞き出すわけ。もちろん、ここはオフレコとか、ここはちょっとだけよとか、そういう微妙なところも信頼関係あって聞き出せる。
それを部外者は何も知らないから、記者は無能だから、情報全部くれよ、みたいな頓珍漢な意見持っちゃう。
世の中結構複雑なのよ。そこんとこちゃんと理解して。
Re: (スコア:0)
記者が無能なのは変わらない
Re: (スコア:0)
逆。有能だからこうなった。
#4081057を百回ぐらい読むべし。
Re: (スコア:0)
本質的にIPv6関係ないのにIPv6ガーと書いちゃった無能記者ということは分かった
Re: (スコア:0)
論理的に反論できないと言論封殺を目論むあたりが警察の犬っぽいですね
Re: (スコア:0)
IPv6がっつり関係あるよねってこのページにすら書いてあることぐらいご理解いただいてからお書き込みくださいって言われてるだけだぞ
Re:頼むから生の情報をくれ (スコア:1)
公開鍵設定云々はWebサービスにアクセスできなくした手段についてで、
IPv6云々は誰がそれをしたのかを捜査したときの苦労の話でしょう。
Re:頼むから生の情報をくれ (スコア:1)
// 一般人は知を拒絶する
Re: (スコア:0)
そういう慣習を知らないわけじゃないけど、そもそも捜査情報のお漏らしとかダメでしょ。悪しき慣習を理由に変な用語しなくていいよ。
Re: (スコア:0)
s/用語/擁護/
Re: (スコア:0)
捜査機関はお漏らししないと仕事してないと思われちゃうから
Re: (スコア:0)
張り込み中にトイレ行くわけにいかないもんね
Re: (スコア:0)
オフレコを記事にするなよ。
Re: (スコア:0)
それは警察が最低限の情報すら出さない言い訳にならないから
Re: (スコア:0)
これで会社で「あなたは公開鍵を使ってますか」みたいなアンケート来るんやろな・・・
はぁー
>公開鍵認証の不正利用
この書き方もどうなのよ。まるで公開鍵認証に不備があるかのような言い方。
普通に「バックドアを設置した」でいいのに。
マスコミの記事の方が正しい (スコア:0)
マスコミの記事を叩いてマウント取って、それより自分が上だと信じたいんだろうけど、
マスコミの記事の方が正しく、お前さんの方が間違い。
>公開鍵認証の不正利用
この書き方もどうなのよ。まるで公開鍵認証に不備があるかのような言い方。
普通に「バックドアを設置した」でいいのに。
取引先企業のサーバに自己の秘密鍵に対応した公開鍵を登録したのは正当な行為でしょ。業務で使うために登録したんだから。
「バックドアを設置した」はおかしい。公開鍵の登録自体が違法行為であるかのような印象を与える。
その設置した公開鍵に対する「公開鍵認証」は、業務上必要な場合に限って許されるものだが、その範囲を超えて行ったから不正利用。
つまり、記事の通りなのだよ。
Re: (スコア:0)
そういう記事にない情報を捏造して無理擁護しなくていいから。
> サーバー側に公開鍵を勝手に設定
って書いてあるからね。
Re: (スコア:0)
手口を推測できない人に生の情報渡してなにか良いことある?
Re: (スコア:0)
手口を推測できない人の話を持ち出して何が言いたいの?
Re: (スコア:0)
逮捕した段階で社会的制裁が発生するよう色々記者にリークする手口 by警察