(昨日の記事の続きなんだな。)
CSさんは、昨日のアサヒ・コムの記事を私たちに見せた。
---
データベースを攻撃、外部から支配 カカクコムHP事件
「価格.com」事件で、製品情報などを管理するデータベースが乗っ取られたのが原因だったことが、関係者の話でわかった。コンピューターの基本ソフト(OS)などの欠陥を突いて侵入する通常のサイト攻撃とは違い、ソフトの不備ではなく、データベースの安全設定が不十分だった点を悪用された。
今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。
---
価格コム。4年前に周辺機器購入の際に、ちょっとお世話になった。けど、メイン事業としている割には、あまりにもダサダサの「HPデザイン+レイアウト」だったので、小規模団体か個人が運営している善意のサイトだと思ってた。
そしたら、日本最大という修辞文句が付く、上場企業だったのか。うわー。
この記事を読んだバイトくんは、「なるほど、通常のサイト攻撃とは異なっていたんですね」と唸った。
あれ?と思った私は、「『データベースの安全設定が不十分だった』って価格コムの落ち度が明示されてますね」と言うと、CSさんは、「Webアプリケーションにおいては、SQLインジェクションを許可してるところで、欠陥が明確です」とキッパリ。
SQLインジェクション。
あー、入力されたデータからデータベースへの問合せの際に攻撃用コードが含まれちゃってるっつー、攻撃方法の一つね…。許しちゃってるのね…。
CSさんは話を続けた。
「価格コムはサイバーノーガード戦術を用いてたんじゃないか、とも言われてますよね」
思わず噴出す私。GYAOで配信中の『あしたのジョー』を、毎日見てるの。
今ねー、力石徹とリングで戦ってるところだよ。
♪行け 荒野を おいらボクサー (力石徹のテーマ)
プロボクサーのジョーは、ノーガード戦法からの一撃必殺クロスカウンターを武器に、勝ち続けていく。クロスカウンターに持ち込むためには、相手からストレートに殴りかかって来てもらわないといけないので、わざとディフェンスをしないで両腕をだらりと下げて無防備な姿をさらし、ストレートパンチを誘発する。これがノーガード戦法。
「そう。ジョーがやっていたように、自らの無防備さをさらす戦法なんです。例えば、
『当サイトにはいくつか、セキュリティ上の問題があります。でも当方は直すつもりはございません(お金がかかるもん)。ですが、その脆弱部分について攻撃をするようなことがあれば、不正アクセス禁止法などの該当する法律に基いて、裁判所へ訴えることを含む対応をさせていただきます』
なんてTOPページで明記しちゃってる感じで」
わははははは。セキュリティ、放り出しちゃってるよ。
「だけど、実際にこれが事件として起こってみたらどうでしょう? 昨日の例で考えるとやっぱり攻撃を仕掛けた側が悪い、で終わっちゃいますよね。だって、『但し書きを掲載した』ってことで裁判所はサーバ管理者が手段を講じたと見ますからね」
なるほど、必殺クロスカウンターだ!!
漏洩したのが個人情報だとサーバ管理者も痛手を負うけど、そうでなければこれほど安くて簡単なセキュリティ方法はないぞ!!
だけど、こんな方法をとっているサイトは……私たちの業界じゃなくっても総スカンでしょう。安心してネットショッピングなんかできない。どうなのよ?! 価格コムさん。
>「価格コム 暫定まとめサイト」
情報の流出先は2chだそうなので、2chのスレをまとめたものも侮れないかな……と。
CSさんは、昨日のアサヒ・コムの記事を私たちに見せた。
---
データベースを攻撃、外部から支配 カカクコムHP事件
「価格.com」事件で、製品情報などを管理するデータベースが乗っ取られたのが原因だったことが、関係者の話でわかった。コンピューターの基本ソフト(OS)などの欠陥を突いて侵入する通常のサイト攻撃とは違い、ソフトの不備ではなく、データベースの安全設定が不十分だった点を悪用された。
今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。
---
価格コム。4年前に周辺機器購入の際に、ちょっとお世話になった。けど、メイン事業としている割には、あまりにもダサダサの「HPデザイン+レイアウト」だったので、小規模団体か個人が運営している善意のサイトだと思ってた。
そしたら、日本最大という修辞文句が付く、上場企業だったのか。うわー。
この記事を読んだバイトくんは、「なるほど、通常のサイト攻撃とは異なっていたんですね」と唸った。
あれ?と思った私は、「『データベースの安全設定が不十分だった』って価格コムの落ち度が明示されてますね」と言うと、CSさんは、「Webアプリケーションにおいては、SQLインジェクションを許可してるところで、欠陥が明確です」とキッパリ。
SQLインジェクション。
あー、入力されたデータからデータベースへの問合せの際に攻撃用コードが含まれちゃってるっつー、攻撃方法の一つね…。許しちゃってるのね…。
CSさんは話を続けた。
「価格コムはサイバーノーガード戦術を用いてたんじゃないか、とも言われてますよね」
思わず噴出す私。GYAOで配信中の『あしたのジョー』を、毎日見てるの。
今ねー、力石徹とリングで戦ってるところだよ。
♪行け 荒野を おいらボクサー (力石徹のテーマ)
プロボクサーのジョーは、ノーガード戦法からの一撃必殺クロスカウンターを武器に、勝ち続けていく。クロスカウンターに持ち込むためには、相手からストレートに殴りかかって来てもらわないといけないので、わざとディフェンスをしないで両腕をだらりと下げて無防備な姿をさらし、ストレートパンチを誘発する。これがノーガード戦法。
「そう。ジョーがやっていたように、自らの無防備さをさらす戦法なんです。例えば、
『当サイトにはいくつか、セキュリティ上の問題があります。でも当方は直すつもりはございません(お金がかかるもん)。ですが、その脆弱部分について攻撃をするようなことがあれば、不正アクセス禁止法などの該当する法律に基いて、裁判所へ訴えることを含む対応をさせていただきます』
なんてTOPページで明記しちゃってる感じで」
わははははは。セキュリティ、放り出しちゃってるよ。
「だけど、実際にこれが事件として起こってみたらどうでしょう? 昨日の例で考えるとやっぱり攻撃を仕掛けた側が悪い、で終わっちゃいますよね。だって、『但し書きを掲載した』ってことで裁判所はサーバ管理者が手段を講じたと見ますからね」
なるほど、必殺クロスカウンターだ!!
漏洩したのが個人情報だとサーバ管理者も痛手を負うけど、そうでなければこれほど安くて簡単なセキュリティ方法はないぞ!!
だけど、こんな方法をとっているサイトは……私たちの業界じゃなくっても総スカンでしょう。安心してネットショッピングなんかできない。どうなのよ?! 価格コムさん。
>「価格コム 暫定まとめサイト」
情報の流出先は2chだそうなので、2chのスレをまとめたものも侮れないかな……と。
こういう「クロスカウンター戦術」、個人的にはかなり興味深いです。
むしろ、「うちのセキュリティを破ったのだから」と、攻撃側をセキュリティ担当として迎え入れる手もあるかも…
(『同じ穴の狢』的発想)
>HDDのないPC
そういう荒業もありですか~。
それでも「USBメモリでデータを持ち歩いて紛失」ってオチは避けられるわけでもないし…
やっぱり難しいものですね。
この戦術は、口八丁でかなりウケました。あはははは。結構有名な戦術らしいです。
> 攻撃側をセキュリティ担当・・・
そうそう思い出しました。
世界規模で開かれてる「ハッカーの集会」というのがありまして、そこで己の技術を自慢しあうそうです。で、この集会で高い評価を得た人は、なんと一流IT企業からスカウトが来るんです。
ハッカーは自分の技術を人に教えるのが好きな人が多く、一人で悪さをする「クラッカー」とは違うんだとか。「マトリックス」のネオは、クラッカーですね。