« kakaku.comの改竄 | メイン | kakaku.comの改竄(続々?) »
2005年5月18日
kakaku.comの改竄(続)
カテゴリー:
[ネットワーク]
5/11以降3日間も,公開を続けた理由について,ちょっと考えていました.侵入経路を調べるためだったということなので,何か理由があったのかと思ったんですが,どう考えてもやっぱり変です.
修正が間に合うからOKだと思っていたとしても,改竄は侵入の結果として起こった事象の一つにすぎないわけです.改竄だけ修正したって意味がない.侵入の経路も分からないし,改竄以外に何をされているのかも分からない.その状態で,黙って公開を続けるのはやっぱりどう考えても変ですよ.
報道を見る限り,攻撃がやまなかったから,仕方なく全面閉鎖したということですから,改竄だけ手で直して,肝心の穴は空きっぱなしだったのでしょう.侵入自体が解決していないのにも関わらず,改竄だけ修復したって,また改竄されるだけです.
穴は閉じたけど,また別のセキュリティホールをつかれたという考え方もあるかもしれませんが,そんなに使える穴がたくさんあるのだったら,それはそれで大問題です.
普通,侵入されたら進入経路の証拠なんて残っていないでしょう.まあ,残っている場合もあるでしょうけど,残せるように作ってあるならともかく,必ずしもログにも残る性格のものじゃありません.第一,ログに残っているようなものなら止めてから調べればいいわけです.残っていないのなら動かし続けたって意味がないでしょう.
ファイアウォールとかのせいで,バックドア等の便利な入り口を仕掛けられなくて,毎回同じセキュリティホールから入り込んでいた,とかなら事後でも瞬間を捉えることができる...のかな?
そうでない場合,何らかの別の監視システムで,侵入の瞬間を記録するような準備があったのでなければ,侵入されてしまったあとでシステムを動かし続けたとしても,原因なんてわからないと思います.
ようは,こういうときのための準備が万全だったとしたら止めればいいし,準備が万全じゃなかったら,もうその時点で負けなわけで,動かし続けたメリットっていったい何なんだろうと思ったわけです.
まあ,事情は推測することしかできないですし,さらに私はこの手の専門家ではないですし,クラッキングの方法もちゃんと勉強してない(?)ので,妄想するしかないのですが.
でもやっぱり,事態の把握に時間がかかったとしても,3日間も公開状態のままにしておくのは,おかしいですよ.
他のサイトでも,同様のトロイの木馬を仕掛ける改竄が頻発しているみたいですから,ちゃんとWindowsUpdateはやっておいた方がいいでしょうね.
投稿者 shingo : 2005年5月18日 02:46
トラックバック
このエントリーのトラックバックURL:
http://isolinear.info/cgi-bin/mt/mt-tb.cgi/108
コメント
警察に通報したと言うことなので、
警察側が犯人を泳がせて捕まえたかったってのも
ありだとは思いますが…
実際の所どうだったのか??
投稿者 i0 : 2005年5月18日 08:52
> 警察側が犯人を泳がせて捕まえたかったってのも
> ありだとは思いますが…
私も,それは思いました.というか,一番あり得ると思いました.
でも,3日もかけてますからね.改竄を見つけ次第修正していた,ということなので,不正アクセスをとらえる機会には不自由しなかったと思いますが (^^;
# 「見つけ次第修正」=「監視」の悪寒 (^^;)
泳がせるといっても,せいぜいアクセス元を割り出すのが関の山でしょう.それも,おそらく踏み台...
しかし,いったい何で動かしたままで侵入経路や侵入手法を探ろうなんて話になったんだろう.
> 実際の所どうだったのか??
で,結局,その辺は妄想するしかないわけで (^^;)
投稿者 shingo : 2005年5月18日 09:47