2005年08月06日() << 前の日記 | 次の日記 >>
これまでの08月06日 編集

■1 続・エイベックスネットワークが運営するアットミュージックに侵入?[http://www.nantoka.com/~kei/diary/?200508a&to=200508033#T200508033][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

HP サイト「@MUSIC」不正アップロードについて[http://www.avex.co.jp/j_site/press/2006/050804.pdf] としてプレスリリースが出ている。改竄では無くて不正アップロードらしい。
当社100%子会社であるエイベックス ネットワーク株式会社が運営するサイト 「@MUSIC」HP に対して、昨日(2005 年8 月3 日)、HTML テキストファイル情報が 不正にアップロードされました。
これを受け、原因究明とメンテナンス作業を含め、一時「@MUSIC」HP を閉鎖いたし ました。この結果、不正アクセスは1件であり、不正アップロードの事実が確認され、 適切な措置を行い、セキュリティー対策並びに安全が確認されたため、同HP は現在再開 をしております。
また、個人情報等を管理するサーバーは、別途セキュリティレベルの高い別サーバーに て管理しているため侵入はなく、個人情報の流出を含め不正にデータにアクセスされた 形跡等も一切ありません。
疑問に思ったポイントが2つある。
まず、「不正アクセスは1件であり、不正アップロードの事実が確認され、適切な措置を行い、セキュリティー対策並びに安全が確認された」としているけれども、「不正アクセスが1件」であった確証はどうやって得たのだろう。
この手の事例を扱うといつも思うのだけれども、現に不正な処理(今回はアップロード)を行われたという事実があるので、何らかのセキュリティホールが原因になっていたことはほぼ確かだろう。ここで、発見した攻撃があるセキュリティホールを使っていたとして、そのセキュリティホールを潰せば安心だとは結論できないのが難しいところである。
一般に優秀な侵入者ほど、自分の侵入痕跡を残さない様に注意をするし、本当に隠された場合、実際のところ何が起きたのかを後から検証するのは困難な作業になる。
サイトの書き換えなどと言う形で、一般の利用者に分かる様な被害が出ることは、侵入者にとっては作戦の終了を意味するのではないかと考える必要がある。つまり、そのサイト上で自分が興味を持ったことは全てやり尽くして発見されても良いと考えたから、最後に侵入に成功したことをアピールするために「侵入した証拠」だけを残したのでは無いかと考えることができる。
今回の様なケースでは、現にページの書き換えが起きているのだから、侵入者からすると全てが終了した後だったとも考えられる。こう考えると、「不正アクセスが1件」と確信するためには、例えば、侵入や改竄が行われてないと確信するに足る何か別のシステムで取られたログ位の情報は必要である。
残念ながら、私のこれまでの経験では、実際に不正侵入が行われてしまったケースで、信用するに足るログが別途保管されていたということは無かったが、これだけの短期間で「セキュリティー対策並びに安全が確認され」るのだから、相当のシステムが構築されているのだろう。非常に興味深い。
もう1点の方も「信用するに足る別のシステム」に関連するのだけれども、「個人情報等を管理するサーバーは、別途セキュリティレベルの高い別サーバーにて管理しているため侵入はなく、個人情報の流出を含め不正にデータにアクセスされた形跡等も一切ありません」に登場する、「別途セキュリティレベルの高い別サーバー」はどの様なものなのだろう。どうして、Webはそのサーバに比べて、不正アップロードを許す様なセキュリティレベルの低い状態で運用されているのだろうか。
ところで、今回のプレスリリースだけれども、 見出し[http://www.avex.co.jp/j_site/press/] に出てくる他のプレスリリースと異なった性質を持っていて、 上場企業の適時開示情報[http://www.tse.or.jp/glossary/gloss_t/tekijikaiji.html] として、 東京証券取引所の適時開示情報閲覧サービス[http://www.tse.or.jp/disclosure/index.html] にも登録されている。
不正アクセス等の事故をうやむやにして隠してしまうことが許されない社会になりつつある。

エイベックスの音楽配信サイトに不正侵入[http://www.asahi.com/national/update/0804/TKY200508040345.html]:

8月7日付記。

「不正アップロードに関するお詫び」[http://atmusic.avexnet.or.jp/kokuchi/index.html]:

8月7日付記。

■ 関連記事

■2 滋賀県のサーバに不正アクセス[http://www.itmedia.co.jp/news/articles/0508/05/news097.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

テストアカウントが盗用された事件だけれども、これに類する話で「保守用アカウント」の問題も、実は水面下にたくさんあるのでは無かろうか。
どの客先でも同じパスワードだとか、エクセルのシートに入力されて社内共有フォルダーに入っているとか、想像すると恐ろしい。想像するだけだけど。

■ 関連記事

■3 [和書]ITエンジニアの「心の病」―技術者がとりつかれやすい30の疾患[http://www.amazon.co.jp/exec/obidos/ASIN/4839917116/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1][book]<< 前の記事 このエントリーをはてなブックマークに追加

個別の症状に対する解説も参考になるのだけど、その部分についてはさらに詳しい他の本が色々ある。むしろ、IT業界とそこで働く人を取り巻く厳しい状況について、心の健康を保つ立場から分析した、「Part1『心の病』を知る」が一番の読みどころだった。
業界で働いている人が心を病みやすいのは、業界が未成熟なところにも原因の一つがありそうだ。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年08月 翌月
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project