豪警察が捜査中にハッカーに「逆襲」される

豪警察が捜査中にハッカーに「逆襲」される 31

ストーリー by hayakawa 2009年08月22日 13時07分
さて、どこからツッコミを入れればいいんでしょうかねぇ…… 部門より

あるAnonymous Coward 曰く、

本家/.で取り上げられているが、あるハッカーを追っていた警察が、逆にハッカーによって攻撃を受けるという事件がオーストラリアで起きていたそうだ。

豪警察は、ハッカーフォーラム「r00t-y0u.org」の管理者の家宅捜索を行い、このフォーラムの管理者アカウントを使った極秘捜査を開始したとのこと。だが、家宅捜査に入られていたことを知っていたフォーラムメンバーに見破られ、逆にハックされてしまったそうだ。さらに警察のMySQLデータベースにはルートパスワードが設定されておらず、SQLインジェクション攻撃が仕掛けられたとのこと。警察の発表によると、「アクセスされたのは捜査用のスタンドアロンマシンであり、既に信頼性の低い証明書類や虚偽のIDである」とのことだが、ハッカーらが公開したスクリーンショットには、虚偽のIDやクレジットカード番号に加えて警察のサーバー情報も含まれていたとのこと。

フォーラムに掲載されたハッカーのメッセージによると、「警察がWindowsを使っている上、MySQLのパスワードが設定されていなかったことに、笑いが止まらなかった」とのこと。ハックにかかった時間は3～40分程度であり、「あんなに笑わなければもっと短時間でできた」とのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索31コメント Log In/Create an Account

誤用 (スコア:5, おもしろおかしい)

by Anonymous Coward on 2009年08月22日 13時22分 (#1627205)

クラックです。
- Re:誤用 (スコア:5, おもしろおかしい)
  
  by Anonymous Coward on 2009年08月22日 15時07分 (#1627238)
  
  いえ、ハッカーたちは誤用にはならなかったんだと思います。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  まずあなたが技術的優位性を示してから言わないとなんら説得力がない。
あやしい (スコア:3, 興味深い)

by phenix (31258) on 2009年08月22日 14時48分 (#1627229)

信頼性の低い証明書類や虚偽のIDを仕込むってことは、こういう事態を想定していたのでしょうが、
それにも関わらずMySQLのルートパスワードを設定しないとか、ちぐはぐすぎやしませんか？
ハニーポットだとしても、弱いパスワードでも設定しておけば、そのぶん罪に問えるでしょうし・・・
本当に取られても問題ない情報だったんでしょうか・・・
新手のセキュリティ対策へのヒント？ (スコア:3, おもしろおかしい)

by Anonymous Coward on 2009年08月22日 21時40分 (#1627349)

＞「あんなに笑わなければもっと短時間でできた」とのことだ

つまり、もっと笑わせればよかったんだ！
＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)

by Anonymous Coward on 2009年08月22日 13時31分 (#1627210)

ごめん、ちょっと意味が分からない。スタンドアロンマシンにどうやってアクセスされたのだ？
- Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, 興味深い)
  
  by Sakura Avalon (12557) on 2009年08月22日 14時49分 (#1627230)
  
  「はい、ちょっとごめんなさいよ。」と警察署にお邪魔して当たり前のように捜査用PCの前に座り込みキーボードをポチポチっと。誰も不審に思わず身分証などもチェックしなかっただけでなく、署のコーヒーまで振る舞っていた。…だとか。(嘘です。)
  
  ＃でも役所とか文化施設とかで「市民に開かれた」状態にあるところでは結構ありがち。
  ＃しかもそんな状態で置いてあるPCの方が無防備だったりする事もありますし。
  
  シェア
  
  親コメント
- Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, おもしろおかしい)
  
  by sakamoto (8009) on 2009年08月22日 18時27分 (#1627290) 日記
  
  ネットワークに繋がったマシンにアクセス　→　クラッカー
  スタンドアロンのマシンにアクセス　→　ハッカー
  
  --
  -- 哀れな日本人専用(sorry Japanese only) --
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    確かに、スタンドアロンなホストにリモートでアクセスできたなら
    立派に文句なしの「ハッキング」だと思う。
    - Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)
      
      by sekia (38775) on 2009年08月23日 11時08分 (#1627532)
      
      人智を超えてるので「チャネリング」あたりが適当な気もします
      
      --
      言ってないことに反論するなよ
      
      シェア
      
      親コメント
- Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:1, 参考になる)
  
  by Anonymous Coward on 2009年08月22日 22時08分 (#1627359)
  
  この場合の "stand-alone" は，操作用のコンピュータが
  「Internet に接続されていない」わけじゃなくて，
  「署内システムの他のコンピュータに接続されていない」
  という意味じゃないでしょうか。
  侵入されたのは1台だけで重大な機密情報は漏れていない（ということにしたい）ので，
  強調されているのだと思います。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  未熟を認めるならそれなりのお金を出して勉強をするべき。
  こんなところでスーパーテクニックさらす人はいないよ。
  まあ、貴方の知らない世界がある、と言うことだけは覚えておきなよ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    未熟を認めるならそれなりのお金を出して勉強をするべき。
    こんなところでスーパーテクニックさらす人はいないよ。
    まあ、貴方の知らない世界がある、と言うことだけは覚えておきなよ。
    はいはい、なつだねぇ。宿題は終わったのかい？
    「スーパーテクニック（笑）」
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      相手が幼い子供であることにツッコミをいれるのなら、自分は紳士的に大人の態度で振る舞わないと…
      アナタまで相手と同レベルの幼稚な子供だと思われちゃいますよ！
      # そんな俺も幼児並の精神年齢なのでAC
  - あなたの知らない世界 (スコア:0)
    
    by Anonymous Coward
    
    > 貴方の知らない世界がある、と言うことだけは覚えておきなよ。
    へぇ，あれ最近もやってるんですね。
    夏休みの定番だったなぁ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    どこに月謝を振り込ませるつもりなんですか？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  捜査用にはいろんな接続をする必要があるから
  署内の他のマシンにはつながっていない、外部ネットワーク専用マシンがあるのだろう、
  ぐらいは想像しましたが…
  
  そんなマシンでなんのためにDBを使っていたのかとか考えると私にも意味がわかりません。
自動攻撃ツールで破られるというのは弱い (スコア:2)

by Technical Type (3408) on 2009年08月22日 13時38分 (#1627212)
Retina [scs.co.jp]でも、他のツールでもいいけど脆弱性チェックをすべき。もちろん、考えずにサーバーを設置してから脆弱性スキャンツールを使うのではなく、最初からセキュリティを考えてサーバー立てるべきだけど。そもそも
- 月に一回パッチを当てて再起動しなけりゃいけない
- アンチウイルスソフトが無ければ無防備状態
な OS でサーバー立てるんだったら、よっぽど考えとかないといけないのですが、考え無しに立てるとこうなるという反面教師でしょう。

ところでパスワードがかかっていなかったなら、クラックしたというのでしょうか。ドアを開けっ放しにしていたら空き巣に入られたようなものですから、こういう人たちがサイバー犯罪捜査なんて確かに笑えますね。日本の京都府警がWinnyで個人情報流出 [impress.co.jp]の件を思い出しました。まあ、あれは交番勤務の巡査でしたが。
- Re:自動攻撃ツールで破られるというのは弱い (スコア:3, すばらしい洞察)
  
  by Anonymous Coward on 2009年08月22日 14時10分 (#1627221)
  
  ちょっと待った
  どんなＯＳでも外部から接続される可能性があるサーバを立てるなら「よっぽと考えて」なきゃだめでしょ
  
  シェア
  
  親コメント
ノーガード戦法 (スコア:2, 参考になる)

by ghost-q (18023) on 2009年08月22日 22時14分 (#1627362) ホームページ

原文
http://www.theage.com.au/technology/security/hackers-break-into-police... [theage.com.au]
から引用すると、
"The attacker has discovered that the server didn't have a password for its database application and he has logged on ... and, using a technique called SQL injection, he created a PHP file on the disk and browsed through that PHP file to get complete control of that particular server," he said.
ということらしいので、警察の使ってるシステムのセキュリティの設定がダメだってことですな。このような操作が出来ると言うことは、
* アプリケーションが接続する際に利用するMySQLのアカウントがFILE権限を持っている。
* mysqldがWebサーバーの利用しているディレクトリに書き込めてしまう。
という条件が揃っている必要がある。（恐らく両者ともrootユーザーだったのではないだろうか。前者はMySQL上のrootで後者はUNIX上のroot）その上MySQLのrootパスワード無しとなると、「それ何てノーガード戦法？」と言わざるを得まい。
ハニーポットは甘い (スコア:0)

by Anonymous Coward on 2009年08月22日 13時25分 (#1627207)

油断すればするほど犯人は足を残すというものだ。
良くあるじゃないか、さっさとトドメをさせばいいものを
勝った気になって演説していた悪役がどんでん返しで逆の立場になるということが。
本件は、世の中そんなお約束と言うのは現実には山とある、と実感する事件だったりする。

#実は掴まえずわざと泳がしてたりね。(笑)
- そして次は警察のターン (スコア:0)
  
  by Anonymous Coward
  
  どんな一手が飛び出すのか非常に気になります。
  逆クラックで炙りだすか？経路から居場所を突き止めるか？
  それとも...
  # おーっといきなり踏み込んでチェックメイトかーっ！？
  - Re:そして次は警察のターン (スコア:1)
    
    by renja (12958) on 2009年08月22日 18時46分 (#1627296) 日記
    
    マイクロウェーブバスターウイルスを送り込みましょうｗ
    
    --
    
    ψアレゲな事を真面目にやることこそアレゲだと思う。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    こういうのって特定より証拠固めが大変で
    その証拠を進呈してるんじゃないの？
ソーシャルハック (スコア:0)

by Anonymous Coward on 2009年08月22日 15時36分 (#1627244)

＞家宅捜査に入られていたことを知っていたフォーラムメンバーに見破られ
この時点でNG
- Re: (スコア:0)
  
  by Anonymous Coward
  
  わざと漏らすという手を使う場合もあるのだよ？
  一網打尽する為に。
  
  #あるいは犯人を匿ったという件で逮捕するのが目的だとか。
  #(さてどっちの刑が重い？それとも累計主義だっけ？豪州は)
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    何か違うと思います。
    一網打尽にする為に泳がせる事はありますが、わざと漏らす事ってあるんでしょうか？
    わざと漏らす場合はけん制・警告の為とかでしょう。
    - Re:ソーシャルハック (スコア:1)
      
      by brightlight (33350) on 2009年08月23日 19時02分 (#1627673) 日記
      
      わざと漏らした時点で追跡を開始しており、
      連絡を取る（何処かに逃げ込む）先をまとめて捕まえる、
      という手法は映画などでもたまに見ますね。
      実際有効なのかはわかりません。
      
      シェア
      
      親コメント
一瞬、目を疑った。 (スコア:0)

by Anonymous Coward on 2009年08月22日 23時14分 (#1627377)

「裏警察が捜査中にハッカーに『逆襲』される」
どこの馬鹿編集者が書いた記事かと思った。
馬鹿は、俺だ。
- Re:一瞬、目を疑った。（オフトピ） (スコア:2, おもしろおかしい)
  
  by Anonymous Coward on 2009年08月23日 0時06分 (#1627390)
  
  近所に「裏道具屋」という農機具や大工道具などを扱っている店があります。
  子供の頃は看板見るたびにドキドキしたもんですw
  ＃「裏」という名字の方が営んでいる道具屋
  
  シェア
  
  親コメント
  - 裏道具屋 (スコア:1)
    
    by masakun (31656) on 2009年10月12日 21時50分 (#1652710) 日記
    
    ＞＃「裏」という名字の方が営んでいる道具屋
    あまりに気になったので調べてみましたが、宇陀市大宇陀区かいわい [asahi.com]にあるお店でしょうか。たしかに変わった苗字ですね。
    
    --
    モデレータは基本役立たずなの気にしてないよ
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

豪警察が捜査中にハッカーに「逆襲」される 31

豪警察が捜査中にハッカーに「逆襲」される More ログイン

誤用 (スコア:5, おもしろおかしい)

Re:誤用 (スコア:5, おもしろおかしい)

Re: (スコア:0)

あやしい (スコア:3, 興味深い)

新手のセキュリティ対策へのヒント？ (スコア:3, おもしろおかしい)

＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)

Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, 興味深い)

Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, おもしろおかしい)

Re: (スコア:0)

Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)

Re:＞「アクセスされたのは捜査用のスタンドアロンマシン (スコア:1, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

あなたの知らない世界 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

自動攻撃ツールで破られるというのは弱い (スコア:2)

Re:自動攻撃ツールで破られるというのは弱い (スコア:3, すばらしい洞察)

ノーガード戦法 (スコア:2, 参考になる)

ハニーポットは甘い (スコア:0)

そして次は警察のターン (スコア:0)

Re:そして次は警察のターン (スコア:1)

Re: (スコア:0)

ソーシャルハック (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:ソーシャルハック (スコア:1)

一瞬、目を疑った。 (スコア:0)

Re:一瞬、目を疑った。（オフトピ） (スコア:2, おもしろおかしい)

裏道具屋 (スコア:1)

スラド