ワームなどによるWebサイト改ざん対策の特効薬「FTPパスワードの強制変更」 43
ストーリー by hylom
そしてまた同じパスワードを設定、という例がありそうな件 部門より
そしてまた同じパスワードを設定、という例がありそうな件 部門より
あるAnonymous Coward 曰く、
So-netセキュリティ通信によると、GumblarなどのワームによるWebサイト改ざん対策として、国内のとあるISPが全ユーザーのFTPパスワードを強制的に変更する対策を行ったそうだ。これにより、被害やワームの拡散を大幅に減らすことができたそうだ。
セキュリティに詳しい人から見ればなんだかなぁ、という感じかもしれないが、確かに有用そうな対策ではある。
一時凌ぎにしかならないのでは……。 (スコア:2, すばらしい洞察)
変更後のパスワードもしばらくしたら漏洩するんじゃ?
この方法で効果がある場合って、
1)Gumblarに感染したが駆除に成功して、
2)なおかつパスワードは変更しなかった
場合だけじゃないのかなぁ。
感染していることに気が付けない人の再発は時間の問題だろうし、
感染に気付いたら普通はパスワード変えると思うんだけど。
Re:一時凌ぎにしかならないのでは……。 (スコア:5, すばらしい洞察)
んで、顧客がそれに気づかず、かつページの更新もしないならば、例えその顧客のPCが感染し続けていたとしても「そのISPでの、その顧客のアカウントでの」改竄活動は止まったままです。
ページを更新しようとした顧客はお知らせを見るとか、ISPに問い合わせる等の行動をするはずで、その際、ある程度はウイルス対策をしてくれると期待できます。
この時点で感染を放置して更新し続ける困ったちゃんはかなり絞られるので、個別に対応するなど、やりようはあるはずです。
対症療法に過ぎないというのはその通りですが、「お知らせを目に付かせやすい」「最も困る顧客から順に個別対応をできる」それなりに有用な策だと思います。
Re:一時凌ぎにしかならないのでは……。 (スコア:4, 興味深い)
いやー実際にカスタマ対応の経験から言って、注意の対象の方達は「お前のISP使って感染したからお前らの責任だ」なんておっしゃるくらいのリテラシしかないんですよ(実話)。
次に言うことは「お前たちのシステムが悪いからパスワード漏洩したんだろ」って(実話)。
そんな人達ににあなたのパソコンが感染した可能性がある、って言ってごらんなさい。涙涙です。
あ、あくまでも匿名で。
Re: (スコア:0)
こんな大きな騒ぎになっているのに、顧客にセキュリティ対応を徹底出来ない所は
逆に信用できないと思うが。
放置すれば顧客の損害にもなるんだから、怒鳴られてもいいからちゃんと説明しなよ。
Re: (スコア:0)
> 放置すれば顧客の損害にもなるんだから、怒鳴られてもいいからちゃんと説明しなよ。
説明するにも時間と人件費がかかってるんだよ。
#あんたみたいに説明しなければそんなことも分からない客が多いからブツブツ……
Re: (スコア:0)
その説明が足らないから顧客が怒ってるんちゃうの?
本当にカスタマーなんかしら。ただの電話番の間違いじゃない?
Re: (スコア:0)
はっきり見解を示せば済む事だと思うが、そう出来ない理由って何?
御客様の考え違いをご無理ご尤もで承るから後で泣きを見るんじゃないの?
それで補償を求められても平気なほど儲かる商売なの?
Re: (スコア:0)
「お客様は神様」をはき違え、金を払う側が絶対的立場という傲慢な消費者が居るから。
>御客様の考え違いをご無理ご尤もで承るから後で泣きを見るんじゃないの?
無理を聞く同業者がいるから。
セキュリティ的な善悪ではなく、自分の利便性のみで声高に叫ぶ消費者がいるから。
>それで補償を求められても平気なほど儲かる商売なの?
やらずに今(悪評を立てられ、客を失い)死ぬか、やった後(補償を求められ)死ぬか。
Re: (スコア:0)
自分で考えてものを言うことが許されてない奴隷だからでしょ? そして客のほうもそれを十分わかってるから思う存分ストレスのはけ口にする。
# その後で「お前じゃ話にならん上司を呼べ」となる
Re:一時凌ぎにしかならないのでは……。 (スコア:2, 興味深い)
改竄活動が停止しても既に改竄されたものはそのままバラマキつづけるので、パスワード変更で増えなくなることはあっても減るというのはおかしい
合わせて公開停止措置等をとったとみるべき。
それより記事が事実だとすると「国内のとあるISP」一社で日本の85%、世界の17%をばらまいてたことになるとかどんだけ。
日記に詳細
日本のISP一社で国内の85%、世界の17%のガンブラーを撒き散らしていた? [srad.jp]
あと、ガンブラーは日本でしか流行ってないという話も。理由は不明。
一般人はともかくweb製作者さえセキュリティ対策してれば広がらないはずだが。
ガンブラーは日本固有? [srad.jp]
ガラホー (スコア:0)
単なるFTPで更新するほぉむぺぇじがまだこんなに流行っているのも日本だけなんですよきっと。
日本の主流は日記帳としてのblogから先にいってない。mixiはmixi会員じゃないと見えないのでその役割を置き換えられない。
海外ではほぉむぺぇじといえばもはやMyspaceとかFacebookとかでしょう? それ以上の複雑な用途にはもうSSHとかSCPとかで多機能CMSあげて編集するスタイルが定着しているのでは。
Re:一時凌ぎにしかならないのでは……。 (スコア:1, 興味深い)
それで、NTTのフレッツなんだかには、ウイルスバスターのようなものが付いてくるのかな。
ウイルスに感染したのは、プロバイダが説明してない、というのはある意味真実で、
簡単にインターネットできます。と説明しているのはどちら様でしょうか。
ポルノだ出会いだとかフィルターしてる暇があったら、ウィルスブロックしてやんなさいよ。
そしてFTPを使わせてる部分は「お前たちのシステムが悪い」。
顧客がPC管理できてないの知ってるなら、「有料オプションで追加申込みが必要です」。
とかいってないで、標準パックにウィルス対策いれたらどうなの。
標準で入ってても「安心インターネットコース4,500円」か「通常コース3,000円」でお選びいただけます。
みたいに書いてあって、どうせ、安い方しか選ばない。
・プロフェッショナル向け、同時接続数8台まで 4,500
・一般向けウィルス対策サポート付き、同時接続数2台まで 4,500
とかなら、どっちにしようかなっておもうけど。
NTTについては、セキリティ対策が光系契約が標準装備で、ADSL/ISDNが「付加サービス」なのは逆だろとおもう。
分かってない人向けサービスなんだから、わかってない人が選ぶプランにつけようよ。
業者「光は早いしTVも見れます。セキリティも標準装備で安心です」
顧客「安いしあまり使わないからADSLでいいです」
業者「ADSLだとセキリティがついてません。オプションです」
顧客「有料オプションならいらないです」
#価格競争と顧客争奪戦しか考えてないから、客に逃げられるようなプランを作れないという現実はある。
ワームが作るセキュリテーホールが (スコア:2, おもしろおかしい)
Re:ワームが作るセキュリテーホールが (スコア:1)
Re: (スコア:0)
え?
ドミニオンがα宇宙域に『秩序』をもたらしに来るのではなくて?
なんだかなぁ (スコア:1, 興味深い)
詳しいというか管理する側ですが、むしろやりたいぐらいです。
すさまじい数の苦情でサポート部が落ちるので、やれませんが…。
Re:なんだかなぁ (スコア:4, 参考になる)
私は海外の無料サービスを使っていますけど、数ヶ月に1回パスワードが勝手に変わります。
最初はなんだコリャ、と思いましたけど、FTPってキックするときでも結構色々なメッセージを送信できるんですよね。で、クライアントの通信欄に「パスワード変更しました。○○で新パスワードを確認してください」って書いてあったので、特に不便な感じはしませんでした。
1回実験してみて、苦情の数をカウントしてみると、案ずるより生むが安しって感じかもしれませんよ。
Re:なんだかなぁ (スコア:1, 興味深い)
ユーザ名の先頭がaから始まる→事前告知メール→パスワード変更→事後告知メール
ユーザ名の先頭がbから始まる→事前告知メール→パスワード変更→事後告知メール
以下続く
Re: (スコア:0)
> むしろやりたいぐらいです。
そうそう。
「軍隊だとこういうの必須」みたいな噂は聞くけど、やっぱ本当なんだろうなあ。
パスワードの定期的な変更はセキュリティの基本だから。
ちなみに某銀行のログインパスワードは数ヶ月ごとに変更を促されます。
まあ当然だけど。
Re: (スコア:0)
> パスワードの定期的な変更はセキュリティの基本だから。
既にウィルスに感染しているマシンでパスワード変更の操作をしても無意味です。
Gumblarに関していえば、各種ソフトウェアの脆弱性をついてマシンに保存されているパスワードを盗むわけですし、
ユーザーが定期的にパスワードを変更していても対策にはなりません。
> ちなみに某銀行のログインパスワードは数ヶ月ごとに変更を促されます。
これもありがちな設計だけど、「促すだけ」にどの程度の意味があるのかは疑問です。
効果があるのは、既にパスワードが漏れている場合のみですよね。
何もしないよりはマシなのかな?
Re: (スコア:0)
で、1年に1回しか使わないようなシステムのパスワードでも
3ヶ月毎に変えさせようという天才が登場するんですね
(それは、うちの社内システム)
# さらに過去に使ったパスワードを覚えていて「それもこれも駄目」といい続けて
# こっちのパスワード記憶システムを破綻させるのやめてくれませんかね…
Re: (スコア:0)
そんなことするくらいなら (スコア:0)
素人向けでFTPと同じように扱えるGUIあるでしょ。
自分がユーザだったら、パスワード勝手に変えられるよりは
別のソフト使ってくださいって言われるほうがましだと思うけど。
Re:そんなことするくらいなら (スコア:1, 参考になる)
ログインするための端末がウイルスに感染している場合、別のプロトコル使おうが別のソフトウェアを使おうが何の解決にもなりません。
クライアントソフトでパスワードを保存していれば、たとえ暗号化してあっても
オープンソースなら容易に(クローズドでもリバースエンジニアリングすれば何とか)パスワードを解読できますし、マスターパスワード方式で暗号化をかけてもキーロガーが仕込まれていればマスターパスワードがバレます。
#だいたい、既にログインパスワードが洩れてるかもしれないのに同じパスワードを使わせつづけたら、攻撃者がログインプロトコルを変更するだけで不正アクセスできてしまう。
Re: (スコア:0)
POP before SMTPみたいに。で、認証後に当該のアカウントのFTPを受け付けると。
アプリは独自に作って、まあ大規模なところは相手側に対策されちゃうけど小規模
なところは相手にしないでしょうから。コストもあまりかからないような気がするけど。
Re: (スコア:0)
>アプリは独自に作って
やめてーWindowsオンリーにするつもり!?><
# もっと危ないとは言ってませんが、利便性は損ねる...
Re:そんなことするくらいなら (スコア:1)
>やめてーWindowsオンリーにするつもり!?><
なんでFTPかというと、たいていのOSで動くし、クライアントソフトウェアもそれなりにあるからなんですよね。
その独自に作ったアプリを「使い慣れているFTPクライアントに実装せよ」とか言われるのがオチだったりしそう。
DOS プロンプトからftp.exeでとかの場合、面倒なことになりそうな予感。
Re: (スコア:0)
Re:そんなことするくらいなら (スコア:1)
それをどう「使っている人の環境に組み込む」かが問題なんだよね。
長年、同じ手順でやっていて手順だけ継承されているなんてケースはざら。
Javaで作ったら組み込んでくださいとかいったら、「じゃ、うち来てやってくれや」
で相手の環境を調べたり直したり、直したらメンテしろと...
そして、実装するだけでも、相手の環境が一昔前のミニコンで、JAVAすらなくて、
そしてその環境は実は誰も触れないけど、動いているから使っているだと、きついだろうね。
「じゃ、うちにある20年前に入れた東芝のミニコンに実装してくれ」とかね。
Re: (スコア:0)
オンラインバンクのように、トークン配布してパスワードを1回限りの使い捨てにすれば全OS、全FTPクライアント対応にできる(別にFTPでなくても可)
個人向けには非現実的ですが、企業向けなら可能かと。
#この方法でもログインをした瞬間にセッションをウイルスが奪えば書き換えできますけど、攻撃できる機会は非常に減ります。
Re: (スコア:0)
「ただし金は払わん」って言われたらおしまいじゃないですかね。
Re: (スコア:0)
Re: (スコア:0)
PKIのUSBキー的なものになってほしい。
Re: (スコア:0)
link.plバグ? (スコア:0)
link.plが返すHTMLのリンクが、
になってるからじゃないかな。
それにしても403返す謎のページに飛ばされるってw
Re:link.plバグ? (スコア:2, おもしろおかしい)
ログアウトしてAC状態でリンクを踏むと
http://srad.jp/link.pl?url=http%3A%2F%2Fwww.so-net.ne.jp%2Fsecurity%2Fnews%2Fview.cgi%3Ftype%3D2%26amp%3Bno%3D2278
に何段階かクッションおいて403になる。
変でおもしろおかしいですね。
# iehttpheader の出力をコピペしようとしたらURL多すぎとおこられちゃったので貼るのあきらめます。
Re:link.plバグ? (スコア:1, 参考になる)
link.pl で余分 に html encode しているみたいですね。
リンク先では ${no}.html に転送してるけど パラメータ "amp;no" が 2278,"no" は未定義と解釈されて
いるんでしょう。
403 になるのは Apache サーバなら /^\.ht/ にマッチするファイルを Deny from all にするのはよく
ある設定だし。
大丈夫なのかな (スコア:0)
リンク先が403帰ってきて、詳細は確認できないのだけど
法人ユーザとかいたら、下手したら、返金問題になるんじゃないの?
騒いでたのは日本だけらしい (スコア:0)
上半期の2大トピックとして、グーグルへの中国の攻撃とガンブラーを挙げて、日本の技術者が、外人はガンブラーって知らないんだよねーていう面白いネタを話していました。
地域限定で流行るウイルスは普通にあるでしょうが、ガンブラーは特に日本人をターゲットにしてたとも思えず、なぜだろ?と不思議だった。
Re: (スコア:0)
発音が悪いだけだったりして。
Re: (スコア:0)
改竄もされなきゃ使えもしない (スコア:0)
パスワード変えられたんじゃつかえねえじゃん。
FTPパスワードの定期的変更を強制しては (スコア:0)
いかがでしょうか。
あとそれか、ワンタイムパスワードを使わせるとか。。。