2005年5月16日(月曜日)
価格.com 不正アクセス(続き)
興味深い話が続々。
- 「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 (www.itmedia.co.jp)
- 「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧 (internet.watch.impress.co.jp)
- 価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用 (www.itmedia.co.jp)
11日の時点でサイトを閉鎖しようという意見もあったが、「閉鎖してしまうと不正侵入の経路や手法が特定できず、再開後もまた同じ攻撃を受ける危険性があったため」(穐田社長)、警察などと相談した上で手作業で改ざんを修正し、この時点での閉鎖は見送った。
以上、IT Mediaの「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 より
これは感心しました。こういう言い方ができるのですね。
もちろん逆の言い方も可能です。「すぐにサーバを停止しないと、侵入者に証拠隠滅 (ログを消したり) の時間を与えてしまい、不正侵入の経路や手法が特定できず、再開後もまた同じ攻撃を受ける危険性が高まります」。侵入が分かったら、何はともあれ凍結してその時点のデータを保全すべし、というのがコンピュータフォレンジックの基本だと思いますし、少なくとも、実際に運用中のサーバをハニーポット (侵入者の行動を見るためのおとり) として使うという選択は考えられないと思います。そんなことをすれば、サーバから外に攻撃されて他人に迷惑をかけることがあり得ます……というか、今回のケースはウィルスをばらまいた訳で、まさにそれが起きてしまったのですよね。
その後は情報処理推進機構(IPA)や警察、セキュリティ企業などの協力を受けて24時間体制でサイトを監視し、改ざんを見つけ次第手作業で修正していた。だが14日になってアタックが急増し、修正しきれなくなったため一時閉鎖を決定。午後2時ごろにいったん閉鎖し、午後10時ごろ再開したが、すぐに集中攻撃を受けたため再度閉鎖した。
以上、IT Mediaの「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 より
侵入経路である穴をふさがないと駄目だという事は、素人でもすぐに分かると思うのですが……。さらに言えば、仮に穴をふさいだとしても、ひそかにバックドアが作られている (しかもそれはそう簡単には発見・停止できないようにしてある) 可能性が高いので、一時的に止めて軽くパッチを当ててそのまま運用、というのもありえないでしょう。
不正アクセスの被害に遭った価格.comのサーバーは自社で運営していたもので、「インターネット関連企業として“最高のセキュリティ対策”を施していた」。カカクコムでは以前から外部の攻撃を受けた経験があったが実被害を被ったことはなかった。それが、今回の不正アクセスで「破られてはならないセキュリティ対策が破られてしまった」とショックを隠せない様子。なお、カカクコムでは自社のセキュリティ対策にはトレンドマイクロの製品を導入していたという。
以上、Internet Watchの「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧 より
たとえば、それなりにちゃんとしたデータセンターにサーバを置くと、かなり強力なセキュリティで保護されます。サーバルームは監視カメラで 24時間監視されていて、入室には写真入りの身分証明書が必要 (運転免許証もパスポートももっていない私などは入れてもらえなかったりする) になっている場合があります。このような体制を「最高のセキュリティ対策」と称しているのであれば、それはある意味正しいのでしょう。
そして、このような「最高のセキュリティ対策」のデータセンターにパッチ未適用のマシンが置かれていることはしばしばあります。:-)
ちなみに外部からの攻撃が今まで防げていたという話、素人が見ると「ちゃんとセキュリティ対策をしていた」という印象を受けそうですね。外部からの攻撃というのは日常的に起きていて、たとえばこのサーバ bakera.jp も毎日攻撃を受けています。バッファオーバーフローを試みるもの、メールの第三者中継を試みるものなどいろいろですが、今のところ実害はありません。bakera.jp はただ普通にパッチを当てているだけで、特別なセキュリティ対策はしていないのですが。
※FTP や POP3 やリモートデスクトップのポートを開放していると、辞書攻撃でパスワードを解こうとする試みも見られます。これまた普通に日常的に起きています。
カカクコムでは今回の事件を踏まえ、約60台のサーバ群からなるシステムを一から作り直し、「二度とこうしたことが起こらないよう最高レベルのセキュリティを構築していきたい」(穐田氏)という。警察による捜査の進展とも関係するが、1週間程度をかけてハードウェアやソフトウェア、プログラミングやユーザー権限など、あらゆる要素を一新する計画で、最終的な原因や詳細については、復旧作業が完了した時点で改めて明らかにしていく方針だ。
以上、IT Mediaの価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用 より
今までのシステムが既に「最高レベルのセキュリティだった」と言っていませんでしたっけ。言っていることが違いますが……。
それ以前に、一週間でプログラミングも一新して復旧するというのは無茶なのでは。システムを新しくしたのであれば、テスト期間だけでできれば一ヶ月、急いでいても最低一週間は確保するのが普通ではないでしょうか。テスト期間が削られると、それだけ脆弱性が発見されにくくなるわけですが、そのあたりが少々心配です。
- 「価格.com 不正アクセス(続き)」へのコメント (1件)
価格.com 不正アクセス?
価格.com がやられたようで、各所にニュースが出ています。
- 価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる (internet.watch.impress.co.jp)
- 価格.comが不正アクセスで閉鎖 ユーザーにウイルス感染のおそれも (www.itmedia.co.jp)
- 「価格.com」に不正アクセス、サイトを閉鎖 - ウイルス配布も? (pcweb.mycom.co.jp)
- カカクコム、不正アクセスで閉鎖に 復旧まで1週間? (www.asahi.com)
- 価格.comサイトが不正アクセス被害で閉鎖中 (slashdot.jp)
株式会社カカクコムからのリリースも出ています。
- 【重要なお知らせ】当社運営サイトに対する不正アクセスとサイト一時閉鎖に関してのご報告 (www.kakaku.com)
- 【重要なお知らせ2】当社運営サイトを閲覧されたユーザーの方々へのセキュリティ対策のご報告 (www.kakaku.com)
5月11日にプログラムの異常が発覚。調査したところ不正アクセスが原因であり、一種のサイバーテロ的な行為であると認識しました。
不正アクセスはともかく、「一種のサイバーテロ的な行為」というのが何とも言い難い味わいです。具体的に何が起きたのか全く分からないのですが、「[connect24h:9094] Re: kakaku.comクラックされたらしぃ (www.st.ryukoku.ac.jp)」によれば、サーバは Windows Server 2003 だったらしいので、他人事ではないかもしれません。
※よく考えると、私の Windows Server 2003 (www.amazon.co.jp)
※未確認情報ですが、中国方面からのクラックではないかという噂もあるようです ([connect24h:9103] Re: kakaku.comクラックされたらしぃ (www.st.ryukoku.ac.jp))。
5月11日に把握したのに 5月14日まで止めず、その間にウィルスをばら巻かれてしまったというのが厳しいですね。EC サイトの場合、サイトを停止すると損害額が一日いくらという数字ではっきり出てしまいますから、止めるという決断にはかなりの勇気が必要です。その決断の遅れが、結果的に損害を増やしてしまうこともあると……。
- 前(古い): 2005年5月15日(Sunday)のえび日記
- 次(新しい): 2005年5月18日(Wednesday)のえび日記
