個人情報窃盗犯を価格コムなどへの不正アクセスで逮捕 177
ストーリー by Oliver
真っ黒クラッカー 部門より
真っ黒クラッカー 部門より
RX-178曰く、"朝日新聞や読売新聞などの記事によると、旅行会社クラブツーリズム、静岡新聞、人材派遣会社アデコ、価格コム等のサイトからSQLインジェクションを利用して個人情報を盗んでいた留学生が逮捕されたようです。犯行理由は学費を稼ぐためと供述している模様。
各記事をまとめてみたところ、クラブツーリズムから16万件、静岡新聞が運営する就職支援サイトから4万件、アデコから8万件、価格コムから9万件など、14社のサイトから個人情報を盗み出し、1件0.2円(最高2円)で売ったということです。
記事の中で価格コムからも個人データを盗んだとされていますが、調べによると4月下旬から5月上旬に2回侵入しデータを盗んだということになっています。価格コムのアタック、侵入によるウィルス配布騒ぎが5月中旬でしたので直接の関係はないであろうと見ているようです。"
意図的なミスリード? (スコア:3, すばらしい洞察)
別件であると言う可能性に触れられてもいないのは、素敵すぎです。
個人情報が目的で侵入した犯人が、プログラム改竄・ウイルス配布騒ぎをわざわざ起こ
すはずが無いことは、常識でも推定できそうですけどね。
立件不能なほどのセキュリティ・・ (スコア:3, すばらしい洞察)
> だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、
>部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。
> 不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。
先の office 氏による ACCS アクセスは,CGI 引数にファイル名を渡すことが
不正アクセスであると認定され(そのファイルが個人情報であったかどうかは
本質的には罪状に関係ない),控訴も取り下げられ有罪が確定したわけだが,
それにひきかえ「アクセス制御機能」が不十分であると判断された
価格.com のセキュリティとはいかほどだったのだろうかと.
私見では CGI 引数を変更してアクセスすることは別段まずいことではないし
(例えば amazon.com の特定の書籍の URL を他人に教えるのに,余計な
引数を削除することはあるし,URL の一部を変えることで ISBN から直接
書籍を指定することも出来る), 特定のコマンドや記号を用いるという点で
明らかに目的性がはっきりしているSQL インジェクションより慎重に判断されて
しかるべきだと思うんだが,・・・
しかも今回は別件の侵入事例もあり,また個人情報を売り渡していたと言うことで
悪意・犯罪性も高いと思うのだが,それに対して(個人情報を流布して
しまったとはいえ)本来はセキュリティの向上を啓蒙しようとしていた
office 氏の件には情状酌量の余地があるように思えるんですが.
少なくとも上記引用のように「不正アクセス禁止法の要件を満たさない可能性」が
あるのであれば,疑わしきは罰せず,で無罪であってしかるべきだと思うがなあ.
Re:立件不能なほどのセキュリティ・・ (スコア:1, すばらしい洞察)
その情状酌量の結果が、執行猶予なんじゃないの?
「アクセス制御機能」不十分 (スコア:2, 興味深い)
Re:「アクセス制御機能」不十分 (スコア:1)
office氏は不正アクセス防止法違反で、当該の留学生は不正アクセス防止法違反ではないと。
名物に旨いものなし!
Re:「アクセス制御機能」不十分 (スコア:2, 興味深い)
以前の記事 [srad.jp]を見てみよう
FTPでアクセス制御…即ちパスワードの事だ。つまりFTPでパスワードがかかっていたら「アクセス制御が十分有り、これを回避する事を不正アクセスとする」という事だ。
ここで asahi.com の記事 [asahi.com]を見てくれ。
「侵入されても不正アクセスとは言えないぐらいアクセス制御が不十分」つまり kakaku.com のFTPにはパスワードがかかっていなかったんだよ!!
# ネタです…制御の有無を問うならFTPではなくDBだし…書いてるうちにACさんに先を越されたし…
しかしACCSの事件と今回の違いは気になりますね。今回の事件こそ
と認定できそう(Webサーバ経由でアクセスできる事自体は普通なんですけどね)なものですが。
Re:「アクセス制御機能」不十分 (スコア:1, 参考になる)
> 入力してアクセスするのが通常。Webサーバ経由のアクセスは、
> DBMS上のアクセス制御を回避した不正アクセス行為にあたる」
いや、もしかしたら、ここにさえID+パスワードがかかっていなかったために、
http://www.asahi.com/national/update/0707/TKY200507070250.htmlより抜粋
> 少なくともこの時点では同社のサーバーは、利用者を特定の
> 人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十
> 分だった疑いが強いことが判明。不正アクセス禁止法の要件を
> 満たさない可能性が高いと判断したという。
ということなのかもしれない。
最高のセキュリティ、ぶらぼーー!!
Re:「アクセス制御機能」不十分 (スコア:1, 興味深い)
これが不正アクセスではなくて、office氏は不正アクセスだった・・・よくわからん・・・・
FTPによるアクセス制御はなかったのかしら?
どちらも、HTTPに関する攻撃だと思うんだけど。
office氏事件では、HTTPドアは開いてても、FTPのドアさえカギかけておけば、不正アクセスだったんだよね?
ちょっと家のドアに例えてみたんですが、もっとわかり易い例えで説明できないかな?
なんかちょっとイメージが違う気がする
Re:「アクセス制御機能」不十分 (スコア:1, 興味深い)
『「アクセス制御機能」が不十分』の基準が意味不明だよ。
ACCSのセキュリティ対策は十分だったけど
価格コムの対策は十分ではなかったと?
office氏も価格コムも好きではないが、
こういうわけのわからん基準で裁かれるのだとするなら、
ちょっと同情してしまう。
Re:「アクセス制御機能」不十分 (スコア:1)
価格.comの不正アクセスについてのご報告 [kakaku.com]に
というのがあるのが痛々しい。
つまり、今言えることは (スコア:2, 興味深い)
その技術レベルに波があるので
検察側は、罪の立証について深く突っ込めないのが現状ッて言うことでよいのかな?
逆にいえば、業界内で統一したセキュリティー見解をつくれと言っているようにも聞こえる。
##あぁ猫解体。
##Portsなんて初戦敗退です
##コーンを食べた次の日、うんコーンとなった
価格.com (スコア:1, すばらしい洞察)
それでも過失はない [nikkeibp.co.jp]と言い張るつもりなのだろうか?
#攻撃の手口を公開しなくても多数の被害受けてるね。
#有る意味容疑者に手を貸したようなもんだ。
Re:価格.com (スコア:2, すばらしい洞察)
そりゃそうです。おそらく関係ないでしょう。なにせ、当該の留学生にとってカカクコムは飯の種、漁場だったわけですから。
誰が望んで自分の漁場を潰すような真似をします?
名物に旨いものなし!
Re:価格.com (スコア:2, すばらしい洞察)
>誰が望んで自分の漁場を潰すような真似をします?
9万件の個人情報を抜き取って、もうカカクコムから盗めるものはないと判断。
カカクコムにオンラインゲームのID,パスワードを盗むトロイの木馬のインストーラーを仕掛け、カカクコムにアクセスしてきた人々から詐取しようとした。
と考えれば全然不思議ではありません。
楽しむために不正侵入した者ならつぶすような真似はしないでしょうが、この犯人は純粋に金銭目的だったので、利用価値が無いなら捨てると思います。
Re:価格.com (スコア:1, 参考になる)
それはそれでひどい状況だな。
この容疑者以外にどれだけ情報流出していたのかすら把握できそうにないじゃん。
Re:価格.com (スコア:1)
最後に「最高のセキュリティーを施してあったという話だが
アタック騒ぎ以前の侵入には全く気づいていなかったようだが
いかがなものであろう」てな事を入れておいたんですけどね。
相場 (スコア:1)
氏名住所電話番号入り:2円
こんぐらいでしょうかね。
ヒースキット山口 heath yamaguchi
Re:相場 (スコア:1)
やっぱりね (スコア:1, 興味深い)
「流出した情報が悪用されたという明らかな事実は現在のところ確認いたしておりません。」
っていうのは会社側の自己保身のみのリップサービスでしかなく、裏で確実に悪用されていくんだろうな・・・ようは確認さえできずに使われていくと。
まぁ、誰もがわかっていたとは思うけど、改めて認識したっていう感じでしょうか?
やっぱり、盗まれた情報はもう消せない。
Re:やっぱりね (スコア:4, 興味深い)
把握することすらできていなかったのかわからないですが、
カカクコムが2万5千件と発表していた情報漏洩被害よりも
実際は数万件多い9万件が盗まれ、さらに悪用までされていた
ということになります。
また売却済みであることも考えると、今後も悪用される可能性が
非常に高いといえます。
さらに、不正アクセス禁止法で取り締まるための最低限必要な
アクセス制限すらなかったために、同法での立件は難しいと
警視庁が発表していますね。
つまり、警察としてはカカクコムは不正アクセスの被害者とは
なりえないと判断したに等しい。
こうなるとカカクコムが言っているように被害者だから
賠償責任はないという主張は成り立たないでしょう。
幇助や共犯というわけではないでしょうが、重大な過失があった
とは判断できると思います。
侵入を受け、盗まれてしまった事実は消すことはできません。
カカクコムの抱える課題は、賠償を行うか、行わないのか
ではなく、被害者への真摯な対応をいかに行うかだったのです。
いまとなってはカカクコムは「不正アクセス禁止法で裁けない
ほどアクセス制御を行っておらず被害を受けた責任がある。
しかしそれを隠すために、警察が捜査中であることと類似犯を
防ぐためと理由をつけ、自らは被害者であり責任はないと
発表した」という状況になっています。
おそらく私も盗まれた9万件の中に入っているはずですが、
被害者としては500円やそこらのはした賠償金が欲しいのではなく
誠意ある謝罪と反省が示されれば許さないことはないと思います。
丁寧な文章で謝罪文を出しても、内容は自己弁護の責任転嫁
だったり、どのように問題を改善したのか不透明な発表を
行うだけでは誠意ある謝罪と反省とはいえません。
Re:やっぱりね (スコア:3, すばらしい洞察)
つまり、この留学生の件は入られた事すら認識していなかったので、
リップサービスではなく、「何も確認していない」と言う事。
新たに恥ずかしい事実が明らかになっただけです。
でも、カカクコム側にしてみれば侵入者を同一視して「終わった事」にしたいだろうね。
カカクコムがどの様なミスリードを行うか、それにマスメディアは加担するかどうか、
まだまだ見所はあると思います。
Re:やっぱりね (スコア:1)
wild wild computing
Re:やっぱりね (スコア:1)
Re:やっぱりね (スコア:2, 興味深い)
アクセスするたびに変わるダミーデータをリストの中に紛れ込ませておけば、
後で「どのアクセスで流出したデータなのか」がわかります。
まあ、複数の経路で流出したデータどうしを照合すれば、どれが
ダミーデータなのかはわかってしまうし、いつ流出したかがわかって
ありがたいのかどうかもよく知りませんが。
どこから足が (スコア:1)
| 郁容疑者は3月15~17日、自宅のパソコンからいったん米国やフィリピ
| ンにあるサーバーを経由して、クラブツーリズムが管理・運営するサーバー
| に約19万回にわたって不正に侵入。
とありますが、どうもログ解析やサーバサイドから追い詰めたようでもないよ
うな。販売ルートから割り出し、容疑者の PC の解析からと読むのは無理スジ
ですか?
# 「ハイテク犯罪対策総合センター」の仕事は容疑者の PC を調べること
# そのくらいの能力はある、そのくらいの能力しかない
Re:?? (スコア:1)
# 大いに偏見、反省。
名誉毀損だ! (スコア:1, おもしろおかしい)
「セキュリティ対策の不十分なサイトを標的にした」って意味のセリフを
連呼していたのだが、名誉毀損で訴えてくれないかなぁ?
最高のセキュリティだったのなら。w
個人情報の買い手は誰? (スコア:1)
違法な手段で手にいれた個人情報を売りさばくルートをつぶしてしまうことがこのての犯罪を抑止する一番の方法ではないかと。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:個人情報の買い手は誰? (スコア:2, すばらしい洞察)
現状を見るにこのあたりに関する規定はないようですね。実務上不具合があって規制できないのか、単に漏れているのかはわかりませんが。。(あまり詳しくないので憶測でもの言ってます。識者の方つっこみあればお願いします)
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:いくらになるのやら (スコア:1)
犯行理由が学費を稼ぐためであれば、叩けばもっと出てくるでしょうね。
Re:いくらになるのやら (スコア:1)
> 犯行理由が学費を稼ぐためであれば、叩けばもっと出てくるでしょうね。
犯行目的の留学のようにしか思えませんので、かなり稼いでいるでしょう。
自由化以前の中国からの留学生はほぼ国費留学生ばかりで優秀かつ真面目な人
ばかりでしたが、最近は日本に長期滞在しやすくもっともビザが取得しやすい
「留学」という名の出稼ぎ目的がほとんどにしか思えません。
営利目的でそのような「学生」を受け入れる「大学」という名の企業が存在する
のも問題ですが、日本と物価が大幅に異なる国からの留学に関しては、学費負担が
可能かどうかなどのチェックを厳しくするべきだと思われます。
お金はないけど優秀な人材であるかテストし、合格者には日本が奨学金を出せば
よろしいかと思われます。何に使われるのかよくわからん金を海外にばらまく
よくはもったいなくないでしょう。
Re:いくらになるのやら (スコア:1)
Re:いくらになるのやら (スコア:1, おもしろおかしい)
# 個人情報-get update
# 個人情報-get upgrade
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:2, すばらしい洞察)
「最高のセキュリティー」とは、不断の努力をやめる宣言かと思っていました。
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:2, 興味深い)
もう一方の方は悪くないと言われているように感じる、
国語力の低い人が増えてますね…。
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:1)
この方とか [srad.jp]
Re:擁護派じゃないけど (スコア:1, おもしろおかしい)
Re:擁護派じゃないけど (スコア:1, 興味深い)
そういう事を含めて「自分を守るためには自分の見る目を鍛えろ」ってだけだろ?
どんなに社会的に規制を強化したところで落とし穴は減る事はあっても無くなる事は無い。
結局自分自身を守るのは自分自身だけってこった。
Re:擁護派じゃないけど (スコア:2, すばらしい洞察)
#まぁ、この会社ならきっと穴だらけだろうという推測の元に物事を進めるのは問題ないわけですし、その結果穴だらけで動けませんと言うことなら元記事に同意。
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:1, 参考になる)
#カカクメソッド最強
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:1, すばらしい洞察)
オタク的な偏執さが無いとやってられないような気がする > セキュリティ対策。
相応のポスト、給与、時間とマンパワーが貰えているならともかく、そういった
幸せなケースは少ないんじゃないかな?
ところで、後学のために「オタク系エンジニアが落ちる落とし穴」がどんなものか、
教えていただけますか?
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:2, 参考になる)
この話には古い技術基盤で提供されているサイトという前提条件がつきます。
またオタク系とは、技術的妄執の多寡ではなくて、コミュニケーション能力が欠如もしくは不足している人を指します。
SQL Injectionが発生するのはどのような時かを考えれば分かると思いますが、この場合問題になるのはPrepareを使わずにSQL文を動的に作成している場合において、チェックと置換を行わなかったら起こるというのが基本ですよね。
Prepareが使えないCGI環境において、入力値の徹底をさせるにはテストによるものだけでは不十分です。
私が見たものだと、GETパラメータとPOSTの場合のTEXT BOXのリクエストパラメータのチェックは全て行っていたがものの、それ以外のチェックは行っていなかったなんてのがありましたし、リファラをチェックしていてホワイトボックステストでは脆弱性がみつけられないようになっていたなどというのもありました。
# /.erならば、これがどれほど危険かはよくお分かりになるものとおもいますが、こんなのは対策しているうちに入らないですよね。
この場合は、コードレビューによる洗い出しとあいなるわけですが、多くのWEBアプリ開発においては掛けられる開発コストは極わずかであり、近年はますます内容が高度化しているため、そのような費用が出ません。
この条件化において、一番手っ取り早い解決策は、SQL文は動的に作成せずプリペアを利用しているかどうかのコードチェックのみにする事で、つまり利用するプラットホームを最低でもプリペアが使えるレベルにしてもらうという事なのですが(そうすれば動的にSQL文を使っているかどうかだけ見ればいいので)、そのような決定権を持っている人は移行リスクや移行コストなどを考えるわけですから、ただ言っただけでは許可が下りません。
そこで提案・交渉となるわけですが…いくつか見てきた物だと、どうも技術者側の提案は「安全になります」の一点張りか、補足説明があっても技術用語の羅列で終わってしまう内容で、論点がすれ違っているわけです。
例えばSQL Injectionが突かれた例を見せ、経営に対してどのような影響がでるかという方向からの説得やら (カカクコムのおかげで大分やりやすくなりましたが、それでも自社の規模を見て「注目されてないから」と言われる場合は多くあります) 、とりあえずPreparedStatement をなんとかするべく、パフォーマンスや開発工数の短縮に関しての長期視点でのコストの予想曲線を書いたりとか、なるべくお金に関わるように言えばいいのですが…。
というわけで、交渉のところで大体失敗するのですね。そして穴に関する知識があっても、実際ミスでふさいでいない部分が残っていたりしています。
お金を管理する人たちの多くは技術者じゃありませんので技術視点でせめても仕方ないにもかかわらず、困ったものです。経営者の怠慢と言うならば、それを指摘し、正常な方向にもっていくのも、十分おまえらの仕事じゃないのかと思うのですがね。
私が関わってきた技術者だけですと言い切ってもらえるのなら、それはそれで安心なのですが…。
>オタク的な偏執さ
は必要でしょうが、オタク的な交渉能力のなさは要りません。
プログラムの作成だけに目を向けていられるのであれば問題はないでしょうが、事コストと絡めて上から攻められると、どうしてもチェックをもらさなければならないということはあるのではないですか?
もっとも、この話はカカクコムにはホボ当てはまらないでしょう。
あそこは近年、十分キャッシュをためてきていて安全性に対するコストを支払っても十分に黒字をたたき出すことは可能だったはずですし、実際セキュリティ監査も入れていたようですから。
しかし、セキュリティ監査を入れていてもSQL Injectionの穴が塞がれてなかったとは、内部で何が起きていたのでしょうね。
監査会社が低レベルだったのだろうか。
それに、こういう話はあと数年もつかもたないかでしょうね。
数年後には、いい加減ここらの技術移行は完了している…と思いたい…。
長文、失礼致しました。
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:2, 参考になる)
>Prepareが使えないCGI環境において、
(Perlによる)CGI = prepareが使えない
という意味であるとしたら、それは少し間違いです。
DBIモジュールにprepareはちゃんと実装されています。
Perl本体に実装されているわけではないですが、DBIモジュールはPerlでDBを扱う際には開発効率の観点からも広く使われていますので。
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:2, おもしろおかしい)
2次元キャラ・声優・制服等で釣れちゃう事(違)。
#ヘタに知識が多いが故に、
#視野狭窄に陥りやすく(一方向からしか見れない)、
#想定の範囲外の事が起きた場合のパニックが半端じゃない。
#ってのはあるのかも知れない。オタク系に限らないけど。
--
「なんとかインチキできんのか?」
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:2, おもしろおかしい)
> 2次元キャラ・声優・制服等で釣れちゃう事(違)。
類推可能でアレなホスト名/パスワードだから、一台に侵入されたが最後全サーバを蹂躙されてしまうというのが「オタク系エンジニアが落ちる落とし穴」だと思っていたのですが…。
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:1, すばらしい洞察)
セキュリティ対策においては無知自体が罪(の一部)であり過失(の一部)です。
ましてや、WEBアプリケーションに限らず情報処理系に身をおきDBを使用するアプリケーションを扱う者であればSQLインジェクションの対策などは基本中の基本です。
>”無知が故”
無知が全ての原因ではないが、今回については多くの部分で問題の根幹になっている事は確かでしょう。
また、そんな基本すらなされていなかった状態で”過失はなかった”、"最高のセキュリティ"などとよく言える者だということです。
Re:直接のウィルス配布実行犯じゃなくても。。 (スコア:1, 参考になる)
#ボタンの選択を間違えたらしい。。
多分、タグ自体はあってると。。
#間違ってたらどうしようw
確認用に
セキュアPG講座 [ipa.go.jp]
WEBアプリに潜むセキュリティホール [atmarkit.co.jp]
#カカクコムに読ませたい。
Re:とりあえずは (スコア:2, 興味深い)
Re:とりあえずは (スコア:2, 興味深い)
最高門(ベストゲート) [bestgate.net]もありますね。(コネコ派ですが)
Re:とりあえずは (スコア:2, 興味深い)
価格.comの価値は、加盟店が安売り情報を載せてくれること以上に、実際に買った人の話が聞けるというところから生まれています。
個人情報が盗まれた人たちの寄せた口コミ情報が価格.comの価値を高めてきたわけですが、カカクコムの対応はそのような人たちから受けた恩を仇で返してしまいました。