パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

サウンドハウス、情報流出について詳細な経緯を公開」記事へのコメント

  • 要するに (スコア:3, 興味深い)

    by Anonymous Coward
    長いので要点を抽出してみました。たぶん社長はここを一番言いたいんじゃないかなと。

    お客様からは、「サウンドハウスの個人情報管理が甘かったのではないか」という管理責任を問う声を頂きました。(略)それに対して弊社の率直な答えは、通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言われるレベルでもない、ということです。(略)

    弊社のWEBサイトは全て自社開発をしており、セキュリティ面に関しましては、24時間体制のシステム管理者が、外部のアドバイス、指導を受けて構築してきております。そのシステムのセキュリテ

    • Re:要するに (スコア:5, 参考になる)

      by Anonymous Coward on 2008年04月18日 18時01分 (#1332755)
      >2008年の時点でSQLインジェクションを知らなかった

      全く知らないのでなく、セキュリティには金を払っているのだから、
      これで防げるのではないかと思っていたという事でしょ。
      技術の専門家で無かった自分は「ハッカーセーフ」とやらの謳い文句が、
      十分投資に見合った体制だと思っていたと20ページ目に書いている。
      技術の専門家だったら責めるのも解るけど、エンドユーザーの態度としては、
      こんなもんじゃないかなあとも思うんだけど。

      >知らなかったのは行政のせいだなんて

      この会社、この社長の発言全てを弁護するわけじゃないがOffice氏の事件以降、
      善意の第三者が危険な状態になっている事をお知らせというのは激減している。
      そこに、セキュリティ情報の提供が難しくなっている背景があると思う。

      「2006年6月19日に名指しされていた」事が、当時の社長に伝わらなかった。
      そしてその間、効果があると思っていた「ハッカーセーフ」に頼り切っていた。
      これは、セキュリティの生々しい情報(攻撃側の最新情報
      、防御装置の防御範囲)が
      表に出てこないからで、素人は学ぼうにも限界があったという事でしょう。

      ・生々しい情報を公開する

      これを言いだしっぺの法則でやってから、注文してる態度は評価してもいい。
      それでエンドユーザーの無知ばかりを責めたてるのは得策とは思えない。

      例えば、それぞれのセキュリティソリューションの実効性をチェックして公開とか、
      各社セキュリティプランの保護領域を比較してくれる第三者機関とか、
      エンドユーザーが望む情報がエンドユーザーが危険を冒すことなく、
      エンドユーザーの知識で理解できて、コストの不安が無い仕組みが提供できるとすれば、
      行政という言葉になってしまうのじゃないかな。
      IPAでも情報は公開しているけど、サウンドハウスのようにある程度、
      ソリューションを導入していると「ウチに限って」と思い込むのはありうるし、
      「ハッカーセーフ」を提供した会社だって「これじゃ不安です」とは言わない。
      親コメント
      • Re:要するに (スコア:4, 興味深い)

        by keita (844) on 2008年04月18日 19時09分 (#1332802) 日記
        >技術の専門家で無かった自分は「ハッカーセーフ」とやらの謳い文句が、
        >十分投資に見合った体制だと思っていたと20ページ目に書いている。

        ここ不思議ですよね。「ハッカーセーフ」というのはSQLインジェクションの脆弱性の診断もやってくれるのだそうですが。

        http://www.hackersafe.jp/product/point.html [hackersafe.jp]

        「中国のブログ」の記述では、SQLインジェクションの脆弱性をスキャンツールで発見しているようですから、このサービスも当然脆弱性を見つけていたのではないかと思うのですが。どうなんでしょう。
        親コメント
        • Re:要するに (スコア:2, 参考になる)

          by Anonymous Coward on 2008年04月18日 21時37分 (#1332849)
          たぶんだがね、

          HackerSafeのやってるSQLインジェクションチェックは、
          サードパーティ製品などに見付かっている既知の問題クエリとかで、決まったパターン。
          で、今回問題だったのは、サイトカスタムなSQLインジェクションで、決まってないパターン。

          まぁ、売る側からすれば「SQLインジェクション」診断してますと言うが、
          実際には無駄なパターンを数多くたれ流しているだけに過ぎず、いざというときの役に立たない。

          安かろう、悪かろうな典型だわな。
          だがこれは、別にHackerSafeが悪いわけじゃない。

          問題は、正しくリスク分析ができなかった連中が悪いんだ。

          今回の件くらいの規模のリスクが発生することを見越していれば、
          定期的に人力で診断するなりなんなり出来たはずだろう。
          親コメント
          • by Anonymous Coward
            >だがこれは、別にHackerSafeが悪いわけじゃない。
            >問題は、正しくリスク分析ができなかった連中が悪いんだ。

            そうかなあ?じゃあ正しいリスク分析って誰がどうやってやるんだろう。
            もちろん大手SIerにでも振れば、重厚長大な圧倒的ソリューションで、
            守ってくれるかもしれないけど、実際サウンドハウスのような事業主さんだと
            情報価値を分析して、実際の脅威(この情報を知るのが難しい)に即しているか
            売ってる技術の中身を検討して買いに来いといわれたら困るんじゃないかな。

            「WEBサイトの安全証明」
            「365日休まずWEBサイトを診断することでハッキングのリスクからウェブサイトを守ります
            • by Anonymous Coward
              >技術者がろくに説明しない事がインチキセキュリティがのさばる要因だと思われる。

              どこの技術者が誰に向かってどういうときにする説明の話?

            • by Anonymous Coward
              > そうかなあ?じゃあ正しいリスク分析って誰がどうやってやるんだろう。

              CISOがやるべきだろ。
              居ないなら、外部コンサルを雇え。
              その方が安い。
      • Re:要するに (スコア:2, 参考になる)

        by Anonymous Coward on 2008年04月18日 22時10分 (#1332867)
        一か所だけ反応します。

        >Office氏の事件以降、善意の第三者が危険な状態になっている事をお知らせというのは激減している。

        そのOffice事件を受けてIPAやJPCERTなどの取り組みが制度的に整備されました。
        そののち、それまで問題点を発見しても誤解されることを恐れて通報を躊躇していた善意の第三者の皆さんは、多少の不安も感じながらそれらの取り組みに加わっています。
        したがって、善意の第三者が直接「問題のある組織団体」や「ネット上」へ危険な状態になっている事をお知らせというのは激減していますが、それは当たり前のことで、むしろ通報する側される側とも余計なリスクを負うことが無くなったことは歓迎すべきだと思います。
        IPAやJPCERTもJVN準拠で処理されており、その線で情報公開も行われています。
        また自分がかかわった案件の経緯をブログ等で公開している開発者もいます。
        脆弱性情報が閉ざされたり闇に葬られるようになったわけではありません。

        サウンドハウスも企業としてIPAにきちんと報告しています。
        その結果、経産省のヒアリングを受けますが、これは単なるご説明ではなく、多量流出案件に対するペナルティの意味を有しています。
        つまり単なる情報流出事件ではなく、流通と金融に係るトラブルであると経産省が認識しているのであり、外郭団体と中央省庁の連携がきちんと機能していることを表しています。

        Office事件は通報者自身の不手際もあり逮捕者も出しましたが、その教訓はきちんと生かされているのではないでしょうか。
        親コメント
        • Re:要するに (スコア:2, 興味深い)

          by Anonymous Coward on 2008年04月19日 18時29分 (#1333162)
          >そのOffice事件を受けてIPAやJPCERTなどの取り組みが制度的に整備されました。
          (略)
          >その教訓はきちんと生かされているのではないでしょうか。

          レスありがとうございます。
          この部分、自分でも最後まで触れずにいようかと思いましたが、やはり触れることにしました。
          このようなツッコミが入る程度には、IPAの活動は周知されているのか、普通にOffice事件から
          進展がないと受け止めている人が多いのか解らなかったからです。

          あれ以降、確かに軽微なものはリスクを負う事無く報告されるようになりました。
          そして問題が起きた後のインシデントレスポンスの体制は整ったかもしれません。
          しかし、今回の経緯 [srad.jp]を見て、そして自分が通報したときの経験からすると充分といえません。

          ・「海外における善意の第三者」の通報には対応していないか、窓口が知られていない
          逆に一見日本語が提供されていても、グローバル企業、日本以外に本拠点のあるサイトへの対応は弱い
          ・今回のような脆弱性を全個所(SQLインジェクション以外の部分)報告する事は歓迎されない
          そこを糸口にした影響範囲を調査する事は逆に制限がついている
          ・報告しても放置が多いのに全く公開されず公開できず、その間ユーザーは危険に晒されつづける
          具体的事例を蓄積しているはずなのに、統計的にしか知ることが出来ない

          という問題を依然抱えているように思えるからです。

          >Office事件は通報者自身の不手際
          これがたまたま、比較的オープンな集会であったために発覚しましたが、今回のようにアンダーグラウンドで
          取引されているような脆弱性情報 [impress.co.jp]のような、
          即警察にも動いて欲しい事案を報告するにはIPAの窓口だけでは不足です。
          (場所によっては、裏切り者となって殺されるリスクがあるかもしれません)
          そして、ソフトウェア事例ですが一太郎の脆弱性が、シマンテックのブログで公開された事例について
          高木浩光氏 [takagi-hiromitsu.jp]も「一太郎zero-day攻撃のニュースは、
          次のように、いつも Symantecの blog が一次情報源になっている。」と書いています。
          (まあ、氏のblogなので、やや煽り気味である表現があるのは無視して読むことが必要ですが)
          要するに、海外の善意の第三者は依然Office流とも言える対応をしているし、悪意のある人間は尚更です。
          日本国内の善意の第三者だけが守るような取り組みで、その善意の示し方も慎重なやり方に制限されています。
          結果的に、通知された側は本当のリスクが見えなくなっています。

          脆弱性を通知された組織の側から、間近に問題がどう受け止められたかを見た事もあります。
          私は当該アプリケーションの実装もしていなければ、何か決定する権限が与えられている訳では
          ありませんが、他に誰もその脆弱性報告がどういう攻撃をされるのに利用されて、
          一番大事な所ですがビジネスリスクになるのが解らないという事で相談された事があります。
          IPAからの報告は、技術者に届かなければ意味が通じず効果がないという事なのです。
          統計的なデータ [security-next.com]だけでは、わが社に限って狙われることは無いと思ったりするのです。
          特にクロスサイトスクリプトのようなものは、「これまでにこれでこういう事例があった」
          みたいな一時報告者は知らなくてもIPAが蓄積しているであろう具体的なソースを提示しないと、
          すぐにエスカレーションされる機会が殆ど無いのです。

          例えばSQLインジェクションでは、会員の情報を抜いて見せて報告をすればいいのですが、
          一度そういう報告をすると「これ…訴えられるかもしれないよ」とお叱りを頂きます。
          だからシングルクォートを入れたらSQLエラーが画面に出た、程度の情報で報告します。
          では、そこからIPAが相手と同意をとって検証して、会員情報リストが抜ける形を示して
          くれるかというとそうでは無いので、よほど日頃からセキュリティ事情に関心をもっている、
          CIOでも置いていない限りビジネスリスクとして認識してくれません。
          オフショアに丸投げにして作られたものなどは、解っていても「契約外、仕様外」といって、
          直すのに新規構築に負けないくらいの金と労力がとられるので躊躇する場面もあるようです。

          まあ、SQLインジェクションは、もはや名前だけが一人歩きするようになっているので、
          「とにかく対策しなければ」と思う人のほうが多いと思ってしまいます。
          しかし、44件残っているうち1年以上放置されているのが20件 [nikkeibp.co.jp]というのが実情です。
          しかも、今回のような事案の場合、「この欄に'を入れたらエラーが出たよ」どまりの報告では、
          抜本的な対策を取る事無く別欄のインジェクションで攻撃されている不安が残ります。
          ラックさんとの協力でツールを公開 [atmarkit.co.jp]してくださったようですが、
          これは複数台サーバーにわたる膨大なログを定期的に自動処理出来ないので実行コストが嵩みます。
          すると、結局元々意識の高い会社が「ああやっぱり攻撃されてなかったね、よかったね」という確認を
          自主的に行って安心する程度になってしまう可能性が高いです。

          これまでの、「統計的な取り組みは評価に値する」「あの頃に比べれば改善したと思う」という意味で、
          その認識は貴方と同じですが、今回の事例からハッカーセーフを導入するようにはなったが、
          しかしそのソリューションが一体何を守っているのか解っていないでやっているという実態が
          明らかになり、ウェブをやってるのは技術者がいる会社だから技術者に解る内容で公開すればいい、
          という性善説的な従来の限界、日本国内ルールの限界が見えてきたと思います。

          IPAの実効性に論点が膨らみすぎましたので、Office事件後と事件前の話だけに絞りましょう。
          Office氏のやった事は、発表の場とプロセスが悪かったにせよ具体的なプレゼンでありました。
          あれ以降、IPAに報告をすることで、具体的なプレゼンを必要としなくなってはいるが、
          それだけに充分相手に伝わらなくなっている
          という事です。
          親コメント
          • Re:要するに (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2008年04月19日 19時30分 (#1333174)

            例えばSQLインジェクションでは、会員の情報を抜いて見せて報告をすればいいのですが、 一度そういう報告をすると「これ…訴えられるかもしれないよ」とお叱りを頂きます。
            当たり前だ。それは違法行為だ。

            君の言っていることは、窃盗の危険を示すために実際に窃盗して見せるという行為で、到底社会が許す行為ではない。これは日本だけじゃなくて、欧米諸国でも同じ。侵入してもおとがめなしなのは中国くらいなもんだ。

            親コメント
            • Re:要するに (スコア:1, 参考になる)

              by Anonymous Coward on 2008年04月19日 21時14分 (#1333203)
              ですね。
              ただIPAに期待したいのは脆弱性がある可能性があるという報告をするだけでなく、
              それがどの程度危険なのか、回避策も含めた業者紹介も含めた総合的なアナウンスというか説得作業等で相手を意識改革をさせる事でしょうか。

              ぶっちゃけ現状のIPA、一度届けるとIPA越しになるのでレイテンシが長くなる上に、こちらのメールを直接送付じゃないのか話がねじれて非常に「邪魔」です。

              無謀な人、社会的に失う物が少ないと思える人は訴訟リスクを取るかもですね。
              だって実例の方が説得力は圧倒的に増しますからね。

              # エラー画面から、攻略手順を1から10まで書いて仮想通貨の搾取が可能ですよとメールした事があるのでAC
              # 結局向こうはSQLどころかデータベースすらちゃんと解ってなかった・・・コピペ・サンプル・解説本の罪なんですかね。
              親コメント
          • by Anonymous Coward on 2008年04月20日 18時23分 (#1333510)
            改めて当時の出来事をトレースしていましたが、
            久保田理事がこんなことを言ってたんですね。

            レンタルサーバー会社の安全性を認証する第三者機関を~ACCS久保田理事
            http://internet.watch.impress.co.jp/cda/event/2004/09/30/4793.html

            「レンタルサーバーを借りるときに、きちんとそのサーバー会社がセキュリティに対して適切な体制を整えているかをチェックしないと、実際に情報が漏洩した際にそのサーバー会社を選んだことに対して委託元としての法的な管理責任を問われる可能性が高いが、個々の企業にはそのようなチェックを行なうノウハウがないために実質的にはチェックは困難」と指摘。「そのような問題を避けるためにも、サーバー会社が適切な管理を行なっているかどうかを認証する第三者のチェック機関が必要だ」と訴えた。

            これがサウンドハウスの社長を含めて一般的な経営者の感覚そのものなのでしょう。
            そして、その感覚は過去も現在も変わっていない、と。
            ホスティング会社に限らずセキュリティサービスを提供する企業の格付けが必要であることは間違いないでしょうが、ではそれをどこの誰がやるのかが問題になります。
            それについてなにかアイディアをお持ちでしょうか。

            ご指摘のとうり、IPAやJPCERTの枠組みは完璧ではありませんが、改善させることは可能です。
            また格付けそのものではなくガイドラインのような形式でもよいのかも知れません。
            いずれにしても、実務経験から得られた問題点や改善点についてのご意見や提案をおもちなのでしたらそれらは公の場に問うてみてはいかがでしょうか。
            ひとりでぐちぐち悩んでいるよりは問題意識を共有している方々と前向きに取り組んでみてはいかがでしょうか。

            (#1332755)の内容には大筋で同意しますし(#1333162)の内容は大方は理解できます。
            ただ、正式なセキュリティ監査案件で受注したのではなく当事者間の口約束みたいなことで相談に乗る、というは内部統制(セキュリティ管理統制)の面で問題ありすぎなので、用心にされた方がよろしいかと。
            技術屋としての良心というかお気持ちはわかりますが、そのような場合には、やはりきちんとしたセキュリティベンダーへ相談することを勧めるにとどめるのがIT分野のプロとしてのたしなみではないでしょうか。

            約10万件、カード会社二社からの通報で発覚と言うことは既に流出したカードが悪用されていたことになります。
            決済時期が国内使用とずれる海外で悪用されていたことが発覚すればカード会社は金融庁の聴取を受けることになるでしょう。
            クレジットカード (日本) - Wikipedia
            http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AC%E3%82%B8%E3%83%83%E3%83%88%E3%82%AB%E3%83%BC%E3%83%89_%28%E6%97%A5%E6%9C%AC%29#.E6.97.A5.E6.9C.AC.E3.81.AB.E3.81.8A.E3.81.91.E3.82.8B.E3.82.AF.E3.83.AC.E3.82.B8.E3.83.83.E3.83.88.E3.82.AB.E3.83.BC.E3.83.89.E3.81.AE.E6.B3.95.E8.A6.8F.E5.88.B6
            カード会社は加盟店契約を行う場合に審査を行いますが、セキュリティ面での対応が適切であるかどうか技術的なことまでは踏み込みません。
            恐らくカード会社はサウンドハウスはハッカーセーフを導入していたことから優良加盟店として認識していたのではないかと思われます。
            そのうちクレジット会社主導でセキュリティ格付け制度が立ち上がるかもしれません。
            親コメント
      • Re:要するに (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2008年04月19日 18時42分 (#1333164)

        Office氏の事件以降、 善意の第三者が危険な状態になっている事をお知らせというのは激減している。 そこに、セキュリティ情報の提供が難しくなっている背景があると思う。
        知ったかのようなことを言ってますがデタラメですね。Office事件以前に、「善意の第三者が危険な状態になっている事をお知らせ」なんてものはほとんど存在しなかったのに、「激減」だって? 思い込みでテキトーなこと言うなや。
        親コメント

日々是ハック也 -- あるハードコアバイナリアン

処理中...