エイベックス音楽配信サイトが不正侵入を受ける 47
ストーリー by yoosee
現在問題ないならば原因くらいは教えてほしい 部門より
現在問題ないならば原因くらいは教えてほしい 部門より
sinobi 曰く、 "
asahi.com、YOMIURI ONLINE、RBB TODAY等の記事によると、エイベックスの運営する音楽配信サイト「@MUSIC」に不正侵入があり、一時閉鎖された様子です。不正侵入による被害は音楽販売用ページへの不正な英語メッセージの掲載で、現在は復旧しており、個人情報の流出などは無いとしています。
avex group holding.からプレスリリース(PDF)が出ていますが、その後に出ている@MUSICからの発表と変わらず「HTMLが不正にアップロードされた」という説明のみで詳細はありません。個人情報に関しては侵入を受けたものとは別サーバに保存されており、そちらへの侵入は無いとしています。
報道記事によると、サイトは6時間(8/3 14:00~20:00)の閉鎖後に復旧したそうです。"
W2K+IIS5.0だって (スコア:2, 興味深い)
(ネタ元・セキュリティホールmemo [ryukoku.ac.jp])
普通~~に穴突かれちゃっただけ、だったりして。
Re:W2K+IIS5.0だって (スコア:2, 参考になる)
TOTORO(トトロ)の自堕落 日記 (2005-08-03) [hatena.ne.jp]
経由で
日本のWEB改竄状況 [fearoot.com]
Re:W2K+IIS5.0だって (スコア:1)
に問い合わせ中ということです
あの~(オフトピ) (スコア:1)
ネタ元の「セキュリティホールmemo」に行けません。
チェック、お願いします。
--------
溶解する妖怪
リンクがtarget指定で切れているので (スコア:1, 参考になる)
クラック当時のミラー置いてあるサイト [zone-h.org]
セキュリティホールmemo [ryukoku.ac.jp]
# すらどではtarget属性の指定はサポートしてないので注意が必要ですね。
Re:リンクがtarget指定で切れているので (スコア:0)
フォローさんくすです。
目的のために手段がある (スコア:2, すばらしい洞察)
Re:目的のために手段がある (スコア:0)
↓そのコメントを見る
えっ?何?iTunesミュージックストアがどうしたの????
↓ググる
お!日本版オープンしてるんじゃん!スゲー!ついにかよ!
Re:目的のために手段がある (スコア:0)
↓どんな曲があるか漁ってみる
ぅわ!エイベックスいっぱいあるじゃん!!
じゃあ、商売は平気か!?
(違...
Re:目的のために手段がある (スコア:0)
半月以上前のビッグニュース [itmedia.co.jp]をお伝えします。
Re:目的のために手段がある (スコア:0)
こういう対応って・・・ (スコア:2, おもしろおかしい)
Minder
Re:こういう対応って・・・ (スコア:1)
htmlって、直書きあんまりしないので
Minder
Re:こういう対応って・・・ (スコア:1)
うーむ、おもしろおかしいをもらってしまった。 素で間違えていただけに恥ずかしいぞ・・・
Minder
Re:こういう対応って・・・ (スコア:1)
Minder
Re:こういう対応って・・・ (スコア:1)
やっぱ、ここまで恥さらしたから、最後までorz プレビューでも飛べるんですね・・・
Minder
危機管理能力ってのは、事件を未然に防ぐ能力だけじゃ (スコア:1)
対応マニュアルの完備。社員への周知徹底。対策メンバーの選定(各部門ごとの責任者を明確に)。24時間の連絡体制。事前に準備できることはいくらでもあるはず。
価格コムにせよ、この件にせよ、まったく予想外でどたばたしている内情がありありと見て取れる。徹底的に対策をして、事件を起こさないという発想は、いわゆるレピュテーションリスクという観点からはまったく不十分。
セキュリティのコンサルなんかでこういったアドバイスのできるところってないのかね。そもそも需要がないか。
Re:危機管理能力ってのは、事件を未然に防ぐ能力だけ (スコア:0)
事後対策のCS活動の殆どは、普通のリスクマネジメント的範囲でカバー出来ると思う。
結局、情報のディスクローズをどうするかって
Re:危機管理能力ってのは、事件を未然に防ぐ能力だけ (スコア:1)
馬鹿なんじゃなくて、金融機関なんかと違って、評判が直接経営に響かないから軽視されるんだろうね。
ここいらへんが不誠実だね (スコア:1)
じゃなくてさ、
また、個人情報等を管理するサーバーは、別途セキュリティレベルの高い別サーバーにて管理しているため侵入はなく、個人情報の流出を含め不正にデータにアクセスされた形跡等は私どもの調査では一切ないものと考えております。
って書こうね。だって、rootとられてlog改竄されてたり、という可能性は否定できないわけでしょ?で、後で「やっぱりやられてました」って書くはめになったら、二重の意味で消費者を欺くことになるからね。責任逃れをあらかじめ考えた文章の書き方は気をつけようね。役人はうまいんだけどね。
詳細って (スコア:0)
「HTMLが不正にアップロードされた」じゃダメで、もっと具体的に手口を説明しなくちゃいけないってことなのかな?
逆に質問、こういったサイトをハックされた場合、利用者に対して「どんなお知らせ」をすればいいんだろう?
Re:詳細って (スコア:0)
あ、当たり前だけど、何が原因なのかが「詳細」ね。
どこがどういう風にアクセスログの話になるのかがわからん。
そりゃもちろん (スコア:0)
Re:詳細って (スコア:0)
A : HTMLが不正にアップロードされました
は全然問題無いんですけど、
Q : なぜ不正にアップロードされたのでしょうか?
にセキュリティ上問題の無い範囲で答えてくれないと、
「HTMLが不正にアップロードされただけだよ」を信じていいものかどうか疑問。
まぁ
CNET でも記事に (スコア:4, 参考になる)
改竄されたこの http://atmusic.avexnet.or.jp/baltic.htm は
そのまま残った状態でトップページが「緊急メンテナンス」の表示
だったのには本当にびっくりした。「侵入されたのは判っているし、でも詳細は不明なんだろ、カカクコムみたいにウイルスを感染させる加害者になる危険とか、考えないのかよ!」と思った。
→ いくらパニックっているとはいえ、技術力&危機管理能力に関して「信じらんね~や」ってレベルだなと思った。これじゃ証拠保全とかはしてないだろう、と思った。
Re:CNET でも記事に (スコア:3, 興味深い)
> 技術力&危機管理能力に関して「信じらんね~や」ってレベル
技術者はどうすれば良いかはおおむね判っていたが、技術の判らない管理職が「サイト停止がどれほど経営にインパクトを与えるかも判らないお前が私の指示に反対するのか? 最短時間で直ちにサイト再開だ、これは命令だぞ!!」と会議机を拳で叩いたためにああなった、に一票。
Re:CNET でも記事に (スコア:2)
- エイベックス側はサーバ管理者日誌 [nantoka.com]さんの所で、自社サーバー侵入の件が話題にされている事を把握していた(すなわち、誰かが気づいて報告していた)
- サーバ管理者日誌さんに、Windows 2000 + IIS5.0 が Apache2.0.52+PHP4.3.7 に変わった事を指摘された。
- 「これは痛い指摘をされた!」という事になった。サーバーの種類を変えるというのは、「クラックされました」とPRしているような物だからだ。これでは「緊急メンテナンス」で押し通すという作戦が頓挫する。
- それで慌てて、とにかくWindows 2000 + IIS5.0に戻したのだろう。 (もしかすると、侵入されたサーバーをそのまま接続し、トップページだけ「緊急メンテナンス」にして、必死で調査を続けていたのかも)
- 改竄されたこのページ http://atmusic.avexnet.or.jp/baltic.htm が再び見れる状態になったのは・・・やはり、うっかり削除せずに戻したというより、すぐに再侵入された、の確率が高いと思う。
いずれにせよ、自社名が「日本のWEB改竄被害状況」に載っているという緊急事態にエイベックスの誰も気がつかず、せっかく指摘してもらってもうまく対応できなかったという事であれば、セキュリティーの専門知識のある会社にお金払って頭を下げて知恵を請い、教わった通りに実行する、という以外にセキュリティー向上の即効薬は見出せないかな、と思います。Re:CNET でも記事に (スコア:0)
Re:詳細って (スコア:1)
ぶ、部長!パスワードは人に教えるなとあれほど(ry
> 「利用していたCMSにXSS脆弱性があって」とか、
部長!だからセキュリティ上問題ないと何度も何度も(ry
> 「○○をアップデートしてなくて」とか、
部長をバージョンアップしてくださいorz
# よくありそうな例でした。
1を聞いて0を知れ!
Re:詳細って (スコア:0)
ぶ、部長!パスワードは人に教えるなとあれほど(ry
うちの部長よりセキュアな部長さんですね。
うちの部長はディスプレイの左上にポストイットでパスワードが貼り付けてあります。
Re:詳細って (スコア:1)
公表できないだけのような気がするんですけど。
Re:詳細って (スコア:0)
本当に顧客情報の漏洩はないの?
他のプログラムファイルをちょっと改造してアップして実行すれば、情報の表示なんて簡単だったんじゃないの?
ログが残ってないから、漏れたかどうかわからないだけじゃないの?
Re:詳細って (スコア:0)
それは別にAvexに限らず、あらゆる所でそうです。
「現在、このサイトはハッキングされている可能性があります。
ログには何
Re:詳細って (スコア:0)
もちろんそんな業者とは御仕事を続けられませんが、
Re:詳細って (スコア:0)
ハックされてるみたいだから、電話で報告したけど無視に近い扱いだったってのが、まず存在してるんじゃない?記事には書いてないけど…
そこまで無視されたら、いやがらせでなくても、
Re:詳細って (スコア:0)
>ハックされてるみたいだから、電話で報告したけど無視に近い扱いだった
これはどこから出てくる情報なのかな?
Re:詳細って (スコア:0)
Re:詳細って (スコア:0)
Re:詳細って (スコア:0)
それは信憑性が高いのですか?
(#777668)のACは、それも含めて全部妄想だといってるんじゃないのかねぇ?
Re:詳細って (スコア:0)
「一切」と書かれてるだけで胡散臭くなる (スコア:0)
Re:「一切」と書かれてるだけで胡散臭くなる (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:「一切」と書かれてるだけで胡散臭くなる (スコア:0)
"嘘っぽいな~本当に無いんだろうな?"という発言が出るので
どっちにしろ嘘っぽく感じる人への対処方法はございません。
#ああいえばこういう、の典型パターン。
Re:「一切」と書かれてるだけで胡散臭くなる (スコア:0)
つまり、ログには残ってませんでした、ということです。
ええ、ログには。
# それ以上言うのは野暮なのでAC
Re:「一切」と書かれてるだけで胡散臭くなる (スコア:0)
Re:「一切」と書かれてるだけで胡散臭くなる (スコア:0)
まだまだネットと現実(私生活)世界は切り分けて行動するべきものだ。
餅は餅屋(ふれーむのもと) (スコア:0)
#iTMSが餅屋とは思えない&iPodユーザ以外無視なのでAC(だったら書くな)