水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 価格.com 不正アクセス(続き)

価格.com 不正アクセス(続き)

2005年5月16日(月曜日)

価格.com 不正アクセス(続き)

興味深い話が続々。

11日の時点でサイトを閉鎖しようという意見もあったが、「閉鎖してしまうと不正侵入の経路や手法が特定できず、再開後もまた同じ攻撃を受ける危険性があったため」(穐田社長)、警察などと相談した上で手作業で改ざんを修正し、この時点での閉鎖は見送った。

以上、IT Mediaの「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 より

これは感心しました。こういう言い方ができるのですね。

もちろん逆の言い方も可能です。「すぐにサーバを停止しないと、侵入者に証拠隠滅 (ログを消したり) の時間を与えてしまい、不正侵入の経路や手法が特定できず、再開後もまた同じ攻撃を受ける危険性が高まります」。侵入が分かったら、何はともあれ凍結してその時点のデータを保全すべし、というのがコンピュータフォレンジックの基本だと思いますし、少なくとも、実際に運用中のサーバをハニーポット (侵入者の行動を見るためのおとり) として使うという選択は考えられないと思います。そんなことをすれば、サーバから外に攻撃されて他人に迷惑をかけることがあり得ます……というか、今回のケースはウィルスをばらまいた訳で、まさにそれが起きてしまったのですよね。

その後は情報処理推進機構(IPA)や警察、セキュリティ企業などの協力を受けて24時間体制でサイトを監視し、改ざんを見つけ次第手作業で修正していた。だが14日になってアタックが急増し、修正しきれなくなったため一時閉鎖を決定。午後2時ごろにいったん閉鎖し、午後10時ごろ再開したが、すぐに集中攻撃を受けたため再度閉鎖した。

以上、IT Mediaの「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 より

侵入経路である穴をふさがないと駄目だという事は、素人でもすぐに分かると思うのですが……。さらに言えば、仮に穴をふさいだとしても、ひそかにバックドアが作られている (しかもそれはそう簡単には発見・停止できないようにしてある) 可能性が高いので、一時的に止めて軽くパッチを当ててそのまま運用、というのもありえないでしょう。

不正アクセスの被害に遭った価格.comのサーバーは自社で運営していたもので、「インターネット関連企業として“最高のセキュリティ対策”を施していた」。カカクコムでは以前から外部の攻撃を受けた経験があったが実被害を被ったことはなかった。それが、今回の不正アクセスで「破られてはならないセキュリティ対策が破られてしまった」とショックを隠せない様子。なお、カカクコムでは自社のセキュリティ対策にはトレンドマイクロの製品を導入していたという。

以上、Internet Watchの「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧 より

たとえば、それなりにちゃんとしたデータセンターにサーバを置くと、かなり強力なセキュリティで保護されます。サーバルームは監視カメラで 24時間監視されていて、入室には写真入りの身分証明書が必要 (運転免許証もパスポートももっていない私などは入れてもらえなかったりする) になっている場合があります。このような体制を「最高のセキュリティ対策」と称しているのであれば、それはある意味正しいのでしょう。

そして、このような「最高のセキュリティ対策」のデータセンターにパッチ未適用のマシンが置かれていることはしばしばあります。:-)

ちなみに外部からの攻撃が今まで防げていたという話、素人が見ると「ちゃんとセキュリティ対策をしていた」という印象を受けそうですね。外部からの攻撃というのは日常的に起きていて、たとえばこのサーバ bakera.jp も毎日攻撃を受けています。バッファオーバーフローを試みるもの、メールの第三者中継を試みるものなどいろいろですが、今のところ実害はありません。bakera.jp はただ普通にパッチを当てているだけで、特別なセキュリティ対策はしていないのですが。

※FTP や POP3 やリモートデスクトップのポートを開放していると、辞書攻撃でパスワードを解こうとする試みも見られます。これまた普通に日常的に起きています。

カカクコムでは今回の事件を踏まえ、約60台のサーバ群からなるシステムを一から作り直し、「二度とこうしたことが起こらないよう最高レベルのセキュリティを構築していきたい」(穐田氏)という。警察による捜査の進展とも関係するが、1週間程度をかけてハードウェアやソフトウェア、プログラミングやユーザー権限など、あらゆる要素を一新する計画で、最終的な原因や詳細については、復旧作業が完了した時点で改めて明らかにしていく方針だ。

以上、IT Mediaの価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用 より

今までのシステムが既に「最高レベルのセキュリティだった」と言っていませんでしたっけ。言っていることが違いますが……。

それ以前に、一週間でプログラミングも一新して復旧するというのは無茶なのでは。システムを新しくしたのであれば、テスト期間だけでできれば一ヶ月、急いでいても最低一週間は確保するのが普通ではないでしょうか。テスト期間が削られると、それだけ脆弱性が発見されにくくなるわけですが、そのあたりが少々心配です。

関連する話題: セキュリティ / 価格.com

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト