価格.comサイトが不正アクセス被害で閉鎖中 131
ストーリー by yourCat
なんでindex.gif? 部門より
なんでindex.gif? 部門より
Feuerbach 曰く、 "価格.comに5/11より不正アクセスが行われ、プログラムの改ざん・異常が発生したそうだ。事件発覚直後より、警視庁ハイテク犯罪対策総合センターや顧問弁護士、システムセキュリティ会社と協力して、24時間体制で監視を続けながらサイト運営を続けたが、プログラムの改ざん範囲が拡大したため、やむなく5/14よりサイトを閉鎖したとのこと。復旧には一週間を目標にしているそうだ。
なお、当該期間に閲覧した人には、「trojandownloader.small.AAO」「PSW.Delf.FZ」の2種類のウイルスが感染している可能性があるとのこと。閲覧した覚えのある諸兄は要チェックだ。"
OSは (スコア:4, 興味深い)
クラックされた時はWindowsServer2k3だったのかな?
http://uptime.netcraft.com/up/graph?site=www.kakaku.com [netcraft.com]
Re:OSは (スコア:3, 参考になる)
Re:OSは (スコア:2, 興味深い)
ttp://www.kakaku.com/manual/
IDENTIFICATION DIVISION.
AUTHOR YUKI-KUN.
Re:OSは (スコア:2, 参考になる)
Re:OSは (スコア:1)
Re:OSは (スコア:2, 参考になる)
どうして間違えたのか、少々理解に苦しむ。
価格.comが不正アクセスされたときにどういう構成だったのか私は知らないが、間違った情報を元に非難をしても説得力はない。
Re:OSは (スコア:1)
すまん。深くお詫びする。弁解の余地も無い。
> 不正アクセスされたときにどういう構成だったのか私は知らないが
これについては親コメントにある通りで、 Windows Server 2003 の Microsoft-IIS/6.0 じゃないかな。
Re:OSは (スコア:2)
を見ればわかるけれど、カブドットコムはWindows+Solarisの混成環境
ですね。
まあ、本筋(価格.com)とは関係ない話ですが。
Kazuki Omo "You can subdue, but never tame me..."
サイトは直ぐに閉じなきゃ (スコア:2, すばらしい洞察)
クラックされたのを発見したらオープンなサイトは直ぐに閉じるべきでしょう。
Re:サイトは直ぐに閉じなきゃ (スコア:1, 興味深い)
企業責任という観点からだと、「顧客にウィルス等の迷惑をかけない」「個人情報を守る」というのと同じくらい、「顧客のニーズに対してサービスを提供し続ける」というのも大事なんです。
だから顧問弁護士も同席して、その辺のバランスや、訴訟などによる企業へのダメージや、ブランドイメージの低下なども含めた、対応の是非について協議していたのではないでしょうか。
あとは対応時間4日を長いと見るか否かですが、こればかりは内部のシステムの詳細をしらないのでコメントできません。
Re:サイトは直ぐに閉じなきゃ (スコア:1)
その、事故現場「だけ」の部分を特定できていないように思います。つまり被害の範囲を特定できていない。被害の範囲を特定できていないのにサイトを閉じなければ、被害が拡大するなんてことは特別な知識がなくても考え至りそうなものです。
また、被害範囲が特定できていないままサービスを運営するとはつまり、未知のリスクがさらに発生するという事ですから、危機管理として考えても妥当とは思えません。
Re:サイトは直ぐに閉じなきゃ (スコア:1, すばらしい洞察)
事故現場だけ封鎖して道路を閉鎖しなくても、事故なのなら、同じ事故が再び起きることを誘発するわけじゃないけども、攻撃の場合は、封鎖しないと同じ攻撃が来る可能性が高い。自然現象じゃないのだから。
正しく喩えるなら、「突然一部の橋桁が落ちる事故が発生したのに、別の車線はそのまま通れるようにしていた」ことの是非とかですかね。
Re:サイトは直ぐに閉じなきゃ (スコア:1)
その上に鉄板をおいてそのまま通れるようにした。
鉄板が落ちないかどうか監視していた。
落ちたらすぐに人手で治していた。
数日たって、鉄板が頻繁に落ちるようになり
人手じゃ無理になったので、道路を封鎖した。
#サーバを変えたというのは見ていないので、
#別の車線じゃない気がします。
Re:サイトは直ぐに閉じなきゃ (スコア:2, おもしろおかしい)
どちらにせよ無知の脆弱性があるのかもしれません。
Re:サイトは直ぐに閉じなきゃ (スコア:1, 参考になる)
(ハニーポットへのクラッキング)事件発覚直後より、警視庁ハイテク犯罪対策総合センターや顧問弁護士、システムセキュリティ会社と協力して、24時間体制で(ハニーポットを)監視を続けながらサイト運営を続けたが、(ハニーポット外へ)プログラムの改ざん範囲が拡大したため、やむなく5/14よりサイトを閉鎖したとのこと。
補完している内容が本当に合っているかどうかはわからないけど、弁護士や、警視庁ハイテク犯罪対策総合センターまでウイルスが仕込まれたホームページを黙認していたとは思えない。
Re:サイトは直ぐに閉じなきゃ (スコア:1)
トレンドマイクロ [trendmicro.co.jp]によると、発見日が13日、対応日が15日だそうですから、
配布しているファイルがウイルスであると認識できずに、(結果として)誤った判断を下してしまったのかもしれません。
復旧スケジュールは現実的? (スコア:2, すばらしい洞察)
「ハード・ソフトから運用面まで見直し、1週間かけて丸ごと新しいものに変える」、そうです。
門外漢の私にはあまり無謀に(認識が甘いように)思えるのですが、これは現実的なスケジュールなんでしょうか。
Re:復旧スケジュールは現実的? (スコア:1, おもしろおかしい)
NOD32でしか対策できないんでしょうか? (スコア:1)
ちょっと検索してみましたが、google でも“trojandownloader.small.aao”というのはほとんどヒットしないんですね。これ (Trojan-Downloader.Win32.Small.aao) [viruslist.com] のことなのかなあ? だとすれば、価格.com で例示されている NOD32 だけじゃなく、色々なアンチウィルスソフトで駆除できそうですが。ただ、検索ではTrojan-Downloader.Win32.Small.adl [viruslist.com]というのも引っかかるんですよね。うーむ。
PSW.Delf.FZ というのは
のどっちなんでしょう。それともどちらでもない? 名称からすると 1 っぽいですけど、よく分かりませんねぇ。識者のコメント求む。
# セキュリティ対策ソフトのベンダーごとにウィルスやトロイの名称が違うのは
# どうにかならないんでしょうか。わけわからん。
## 全然的外れなのかもしれないけどIDで。
## 激しく外していたらマイナスモデよろしく。
Re:NOD32でしか対策できないんでしょうか? (スコア:5, 参考になる)
だそうです。
Re:NOD32でしか対策できないんでしょうか? (スコア:1)
セキュリティホール memo [ryukoku.ac.jp] の やってみました。 のところ。
# ローカルセクションのみからトップへ持ってきた判断 Good Job > 編集者
Re:NOD32でしか対策できないんでしょうか? (スコア:2, すばらしい洞察)
> その程度のことに何時間かかるんだろう。
>2ch.net のまとめページだという
> 価格.comがクラッキングで一時閉鎖、閲覧ユーザーは
>ウイルス感染も(´・ω・) の方がよっぽど詳しい。
と書いているが、これはあんまりだ。
人海戦術でめいめいが検証したと主張するレポートを、
まとめ役は集めて載せるだけ。
情報の確かさを検証する必要や、
間違っていた場合の責任も取る必要も無いというなら、
早くできて当たり前だし。
Re:NOD32でしか対策できないんでしょうか? (スコア:2, 興味深い)
> >2ch.net のまとめページだという
> > 価格.comがクラッキングで一時閉鎖、閲覧ユーザーは
> >ウイルス感染も(´・ω・) の方がよっぽど詳しい。
>
> と書いているが、これはあんまりだ。
なんで?自社の危急存亡の危機なんですから、元のサイトにも書いてある通り だと思いますよ。で、トレンドマイクロ [trendmicro.com]も
シマンテック [symantecstore.jp]もマカフィー [mcafeestore.jp]も
みんなダウンロード販売に対応しているのだから、何時間もかかる
こと自体おかしいと思いませんか?
さらには、マカフィーは検体を送ればウィルスを解析してくれる [mcafeesecurity.com]
のですから、さっさとやれば良いだけ。
Re:NOD32でしか対策できないんでしょうか? (スコア:2)
てか、他のウィルス対策ソフトと競合する可能性があるから使うなってのもアレだね。(w;
【価格.com問題】トップ・ページ閲覧だけで感染も,自ら対策ソフトの配布開始 : IT Pro ニュース [nikkeibp.co.jp]
--- どちらなりとご自由に --- --
Re:NOD32でしか対策できないんでしょうか? (スコア:1, 参考になる)
http://www.itmedia.co.jp/enterprise/articles/0505/16/news083.html
が一番詳しいようです。まぁ、対応してないやつもおいおい対応するでしょうが。
「ANTIDOTE for PC AntiVirus - SuperLite」ならインストールしなくても検出可能ということでお手軽ではないでしょうか。
TROJ_DELF.RMの自動駆除ツール (スコア:1, 参考になる)
firefoxの話だけど。 (スコア:1)
で最小フォントサイズを13ぐらいにしろ。
ほかのブラウザでも設定は大してかわらんだろ。
懸念材料 (スコア:1)
・流出した個人情報のおわびは500円
・株価
・掲載店舗への補償
・提携サイトへの補償
・カカクコムを踏み台に使った他サーバへのアタック
・そのアタックの補償
あと、商用サイトを閲覧してウイルス被害に遭ったとなると、復旧費用の補填も必要になるかもしれませんね。
だいぶ前から侵入されていて、あちこちバックドアだらけだったんでしょうか。
ヒースキット山口 heath yamaguchi
子猫 (スコア:1)
チャンスだ!
ah... でもそちもIIS [netcraft.com]か。
スパイウェア? (スコア:1, 興味深い)
で、どんなブラウザの脆弱性を突いて感染させる手口なの?
それがわからんと安心できん。アンチウイルスソフトの話なんてどうでもいいよ。
キャッシュ (スコア:1, 興味深い)
Googleのキャッシュとかにこういうトロイって
入っていたりするんでしょうか?
#こういう汚染されたサイトがrobots.txtでどういう設定に
#していたかにも関係するとは思うのですが・・。
Re:キャッシュ (スコア:2, 興味深い)
GoogleToolBarが警告表示してくれたら、結構便利かもしれない。
/* Kachou Utumi
I'm Not Rich... */
Re:Googleは当然Restricted Zoneにしているのでしょ? (スコア:1)
>フィルタプログラム通すようにして各種スクリプト切ったりしてます。
俺も似た設定だね。動かしたいところだけ「信用」のところに入れて、信用、イントラ、マイコンピューターだけJavaScript(アクティブスクリプト)可に設定。
本筋の話とは関係無いけど、adobe reader 7って「ActiveXコントロールとプラグインの実行」を切ってもpdfファイル開くよね。
どうやっているのか調べたことは無いがあの様な自分勝手なソフトはムカつく。
更に、adobe reader 7内のJavaScript切ると動かない旨を言ってくるpdfファイルも多いよな。
話を戻すが、(俺の環境だと)カカクコムに行くと「信頼済みサイト」と表示されるな。
一時閉鎖直前はどうか知らないが、JavaScript必須のサイトだった様な気がする。
JavaScript必須のサイトも俺は好きじゃないな。
NOD32 (スコア:1, 興味深い)
kakaku.comになってます。
クラッカーにURLにあるバイナリファイルをウイルスに
置き換えられでもしたらと思うと恐くて使えませんが・・・
こういうのはクラックされた後だとパニックになって正常な判断が
出来ないと思われるので有事の際の行動方針を危機管理の一部として
作っておく必要がありますね。
君は普段、デジタル署名を確認してないの? (スコア:1, 参考になる)
kakaku.com登録アドレスにSPAM (スコア:1, 興味深い)
kakaku.com用のアドレスに5/14からSPAMが届き始めています。
現在のところ7通。
漏洩の可能性もあるかもしれませんね。
Re:これも中華? (スコア:1)
みたい。whois で j4sb.com 調べると,中国系につながっていることは推測できます。
自分の blog [so-net.ne.jp]に雑文を書いておいたけど,今年に入ってから,なぜかサブジェクト欄に中文簡体字を示す MIME ヘッダが記された性風俗 DM がえらく増えたりしている印象がありました。
あくまで推測ですが,迷惑メール業者が中国に移転したか,あるいは,中国の方々と結託して個人情報をブッコ抜きにかかっているか,という感じです。
これも個人的印象にすぎませんが,単なるサイバーテロとかじゃなくて,もっとイヤな事態=カモな日本人の個人情報ブッコ抜きが進行しているような気がします。
Re:これも中華? (スコア:1)
クラックされた結果として価格.com内に設置されてしまったウィルスばらまきスクリプトのアクセス先が「中国系」というだけで,
当該サイトをクラックしたのが中国系,ということではないです。
ヘンな予断を与えるような書き方になってしまってごめんなさい。
Re:東証一部上場企業(株)カカクコム (スコア:2, すばらしい洞察)
一般のお客様に情報を提供するサイトにおいて信頼性を確保できないとなれば
サービス提供を中断するのも一つの選択ですよ。
少なくても下手にサービスを継続してユーザに被害が広がるよりはダメージが低いはず。
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:東証一部上場企業(株)カカクコム (スコア:1, すばらしい洞察)
(株)カカクコムのビジネス・モデル(収入源)はどうなってるんでしたっけ?
たしかにwebにアクセスしてくれる不特定多数のユーザに迷惑かけて信頼を失うよりは,サービスを停止して広告主等にご免なさいする方がマシだと思います.
Re:当該期間に閲覧した人には、2種類のウイルスが感染 (スコア:2, すばらしい洞察)
そうやって広めっちゃう人が多いんだから。
#臆病な臆病者
Re:このようなこともあろうかと (スコア:5, 興味深い)
元中の人から言わせると、自業自得です。
セキュリティ対策は当初からボロボロだったのですが、それを指摘すると技術屋のトップ(とはいっても一作業員でもあった人)が「そんな事は気にしなくていいです」と無下に却下していました。いくつか攻撃コードも示したのですが、危機感をもってくれませんでした。「そんなことをする人は居ない」とか「今までも安全だった」などという言葉も聞きました。
MSから出るセキュリティパッチも検証の手間を嫌がって当てていなかったです。検証する人手が足りないのであれば、それを上に申請すればいいのに、それもやっていなかったですね。
# まぁ、私の話の持って行き方も相当未熟でしたから、ある意味当然だったと思いますけど。
その後に来たCTOさんも、あまり危機感を持たなかったのかもしれません。
今頃は対処に追われているのでしょうけど、内情を知っていれば作業員に同情することは難しいです。
「当時からの」という限定だけはつけますけど。
# 関係者には誰かモロバレだろうけどAC
Re:このようなこともあろうかと (スコア:1, 興味深い)
ちなみに続報 [impress.co.jp]によると、
だそうですよ。でも、
だそうで、なんだか変です。Re:このようなこともあろうかと (スコア:1)
Re:このようなこともあろうかと (スコア:1, 興味深い)
セキュリティ対策のレベルは知らないが、プログラム的に春のシステム変更後は
結構大きなバグが表面化してましたね。ポストした発言が関係無いジャンルに
登録されるという、掲示板システムにとってはお粗末なのが。
あれ、頻度や内容的にどうみてもユーザミスじゃなかったねぇ。
Re:このようなこともあろうかと (スコア:1, おもしろおかしい)
サイバーノーガード戦法 では?
Re:このようなこともあろうかと (スコア:1, おもしろおかしい)
五億円 (スコア:1)
今は金持ちの若隠居だそうで・・・。
Re:五億円 (スコア:1)
そもそも本人曰くそういうふうだったという事らしい。
確か此の件は金曜日から日曜日あたりの日本経済新聞だったと思うので、各自で確認して下さい。
Re:このようなこともあろうかと (スコア:1)
C# と VB.NET の入門サイト [wankuma.com]