2010年08月06日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(10) - 動かないコンピュータ[http://www.nantoka.com/~kei/diary/?20100802S1][電子自治体][LibraHack] このエントリーをはてなブックマークに追加

日経コンピュータ2010年8月4日号[http://ec.nikkeibp.co.jp/item/backno/NC0762.html] の、「動かないコンピュータ」に、「岡崎市立中央図書館 - 検索システムが過負荷でダウン 利用者が逮捕される」として、本件の記事が出ている。
MDISに対して取材したのかどうかは、はっきりとはしないけれども、
MDISがまず取った対策は、新着情報ページのファイル名の変更だ。
動かないコンピュータ 岡崎市立中央図書館, 日経コンピュータ 2010年8月4日号
次に試みたのが、外部アクセスのブロックだ。ログを調べたところ、大量アクセスは常に一つのIPアドレスからだった。そこで3月31日、同アドレスからのアクセスをブロックした。
動かないコンピュータ 岡崎市立中央図書館, 日経コンピュータ 2010年8月4日号
と、MDISの対応について触れているので、少なくとも間接的には取材を行っている様だ。
で、あれば、専門誌たる日経コンピュータなのだから、技術的におかしいと感じたところはぜひ掘り下げて聞いて欲しかった。
例えば、記事中の、
DBサーバへのリクエスト件数が、ピーク時で10分間に2000件に達していた。通常の20倍以上というアクセスによって、DBサーバが過負荷状態に陥った。
動かないコンピュータ 岡崎市立中央図書館, 日経コンピュータ 2010年8月4日号
という記述。
この記述だけ読むと、中川氏が10分間で2000件のアクセス(秒間3アクセス強)を行ったかのように誤解する読者がいるかも知れない。
様々な情報から、実際のアクセスは1アクセス/秒程度のものだったという事が分かっており、上記の数字が約3倍になっているのは、恐らく、1回のアクセスに対して、書誌情報、所在情報、予約件数を表示するために、3回のDBリクエストが発生していたということだと考えられるが、「10分間に2000件」という数字を出す以上、ここは確認をして欲しかった点だ。
また、DBサーバについては「Oracle9i」としているが、ここでのDBに対するクエリは、全文検索等では無く、INDEX可能なキーに対するクエリーのはずで、戻り件数もせいぜい数件と言ったクエリのはずだ。 *1
「Oracle9i」のデータベースサーバに、INDEX可能なキーに対して戻りが数件というクエリを、10分間に2000件流すと過負荷状態に陥った という内容になっているのだが、これは事実なのだろうか。事実だとすれば、一体どういう事情でそういうことになったのか。
一般的なRDBMSでは、100万件からのINDEX付きキーでの抽出は、ハードウェアにも依存するにせよ、毎秒数千のオーダーの処理が可能だから、10分に2000件(=秒間3件強)とは、文字通り、桁が違う。3桁も違う。
記事の後段の方では、
中川氏のアクセスによってDBサーバがダウンしたのは、システムに問題があった可能性もある。
動かないコンピュータ 岡崎市立中央図書館, 日経コンピュータ 2010年8月4日号
としているが、この可能性をより深く掘り下げた続報に期待したい。

警察以外への相談:

JPCERT/CCに連絡すれば良かったという指摘がされていて、図書館の担当者はその存在を知らなかったので警察に連絡するしかなかったという解説がされているのだが、図書館の担当者は知らなくとも仕方が無いとして、保守を担当しているMDISは知っていても当然なのでは無かったかと思う。
もっともこのケースの場合、JPCERT/CCに相談しなくとも、 さくらインターネットのabuse担当[http://support.sakura.ad.jp/page/abuse] に連絡を取っていれば、対応してもらえていたのでは無いかと思われる。
IPアドレスから利用者を調べることをしているのだから、さくらインターネットの利用者だというところまでは確認していたのだと考えられる。
そこまで分かっていながら、なぜ、 「さくらインターネット 迷惑行為」[http://www.google.co.jp/search?hl=ja&client=firefox-a&hs=SNq&rls=org.mozilla%3Aja%3Aofficial&q=%E3%81%95%E3%81%8F%E3%82%89%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88+%E8%BF%B7%E6%83%91%E8%A1%8C%E7%82%BA&btnG=%E6%A4%9C%E7%B4%A2&aq=f&aqi=&aql=&oq=&gs_rfai=] 程度の検索をしてみなかったのか、残念でならない。
*1: 文献コードをキーとして、書誌、所在、予約件数を取得するクエリで、書誌、予約件数は戻りは恐らく1件。所在情報は数件あるかも知れない。

■ 関連記事

詳細はこの日の詳細から

2005年08月06日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・エイベックスネットワークが運営するアットミュージックに侵入?[http://www.nantoka.com/~kei/diary/?200508a&to=200508033#T200508033][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

HP サイト「@MUSIC」不正アップロードについて[http://www.avex.co.jp/j_site/press/2006/050804.pdf] としてプレスリリースが出ている。改竄では無くて不正アップロードらしい。
当社100%子会社であるエイベックス ネットワーク株式会社が運営するサイト 「@MUSIC」HP に対して、昨日(2005 年8 月3 日)、HTML テキストファイル情報が 不正にアップロードされました。
これを受け、原因究明とメンテナンス作業を含め、一時「@MUSIC」HP を閉鎖いたし ました。この結果、不正アクセスは1件であり、不正アップロードの事実が確認され、 適切な措置を行い、セキュリティー対策並びに安全が確認されたため、同HP は現在再開 をしております。
また、個人情報等を管理するサーバーは、別途セキュリティレベルの高い別サーバーに て管理しているため侵入はなく、個人情報の流出を含め不正にデータにアクセスされた 形跡等も一切ありません。
疑問に思ったポイントが2つある。
まず、「不正アクセスは1件であり、不正アップロードの事実が確認され、適切な措置を行い、セキュリティー対策並びに安全が確認された」としているけれども、「不正アクセスが1件」であった確証はどうやって得たのだろう。
この手の事例を扱うといつも思うのだけれども、現に不正な処理(今回はアップロード)を行われたという事実があるので、何らかのセキュリティホールが原因になっていたことはほぼ確かだろう。ここで、発見した攻撃があるセキュリティホールを使っていたとして、そのセキュリティホールを潰せば安心だとは結論できないのが難しいところである。
一般に優秀な侵入者ほど、自分の侵入痕跡を残さない様に注意をするし、本当に隠された場合、実際のところ何が起きたのかを後から検証するのは困難な作業になる。
サイトの書き換えなどと言う形で、一般の利用者に分かる様な被害が出ることは、侵入者にとっては作戦の終了を意味するのではないかと考える必要がある。つまり、そのサイト上で自分が興味を持ったことは全てやり尽くして発見されても良いと考えたから、最後に侵入に成功したことをアピールするために「侵入した証拠」だけを残したのでは無いかと考えることができる。
今回の様なケースでは、現にページの書き換えが起きているのだから、侵入者からすると全てが終了した後だったとも考えられる。こう考えると、「不正アクセスが1件」と確信するためには、例えば、侵入や改竄が行われてないと確信するに足る何か別のシステムで取られたログ位の情報は必要である。
残念ながら、私のこれまでの経験では、実際に不正侵入が行われてしまったケースで、信用するに足るログが別途保管されていたということは無かったが、これだけの短期間で「セキュリティー対策並びに安全が確認され」るのだから、相当のシステムが構築されているのだろう。非常に興味深い。
もう1点の方も「信用するに足る別のシステム」に関連するのだけれども、「個人情報等を管理するサーバーは、別途セキュリティレベルの高い別サーバーにて管理しているため侵入はなく、個人情報の流出を含め不正にデータにアクセスされた形跡等も一切ありません」に登場する、「別途セキュリティレベルの高い別サーバー」はどの様なものなのだろう。どうして、Webはそのサーバに比べて、不正アップロードを許す様なセキュリティレベルの低い状態で運用されているのだろうか。
ところで、今回のプレスリリースだけれども、 見出し[http://www.avex.co.jp/j_site/press/] に出てくる他のプレスリリースと異なった性質を持っていて、 上場企業の適時開示情報[http://www.tse.or.jp/glossary/gloss_t/tekijikaiji.html] として、 東京証券取引所の適時開示情報閲覧サービス[http://www.tse.or.jp/disclosure/index.html] にも登録されている。
不正アクセス等の事故をうやむやにして隠してしまうことが許されない社会になりつつある。

エイベックスの音楽配信サイトに不正侵入[http://www.asahi.com/national/update/0804/TKY200508040345.html]:

8月7日付記。

「不正アップロードに関するお詫び」[http://atmusic.avexnet.or.jp/kokuchi/index.html]:

8月7日付記。

■ 関連記事

■2 滋賀県のサーバに不正アクセス[http://www.itmedia.co.jp/news/articles/0508/05/news097.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

テストアカウントが盗用された事件だけれども、これに類する話で「保守用アカウント」の問題も、実は水面下にたくさんあるのでは無かろうか。
どの客先でも同じパスワードだとか、エクセルのシートに入力されて社内共有フォルダーに入っているとか、想像すると恐ろしい。想像するだけだけど。

■ 関連記事

■3 [和書]ITエンジニアの「心の病」―技術者がとりつかれやすい30の疾患[http://www.amazon.co.jp/exec/obidos/ASIN/4839917116/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1][book]<< 前の記事 このエントリーをはてなブックマークに追加

個別の症状に対する解説も参考になるのだけど、その部分についてはさらに詳しい他の本が色々ある。むしろ、IT業界とそこで働く人を取り巻く厳しい状況について、心の健康を保つ立場から分析した、「Part1『心の病』を知る」が一番の読みどころだった。
業界で働いている人が心を病みやすいのは、業界が未成熟なところにも原因の一つがありそうだ。

■ 関連記事

詳細はこの日の詳細から

2001年08月06日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 New Variant of "Code Red" Worm[http://www.jpcert.or.jp/at/2001/at010019.txt][セキュリティ] このエントリーをはてなブックマークに追加

Code Redに亜種が出たようなので、ログをチェック。
kei@nantoka[208] grep XXXXXXXXXXX /usr/var/log/httpd-info.log | wc
   13869  241194 6930294
最初に出てきたのは、4日の19:38。
同じ期間で、以前のCode Redの方は、
kei@nantoka[214] grep NNNNNN /usr/var/log/httpd-info.log | wc
    2033   35380 1020491
新種の方が感染速度が相当速い様です。

■ 関連記事

詳細はこの日の詳細から

以上、9 日分です。

指定日の日記を表示

前月 2020年08月 翌月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project