Lucrezia Borgia の Room Cantarella

はぁい。はじめまして。ルクレツィア ボルジアのカンタレラ部屋へようこそ。
主人のルクレツィアです。
簡単に、この部屋の主旨を。
この部屋は、コンピュータ技術関係のお話をするところなの。っていうかあたしの雑感を書いてるってほうが正確かしら?
あたしの主観で書いてるから、内容には要注意よ。原典と自分の意見くらい、きちんと自分で処理してね。あたしが処理して上げられるのはがちむちイケメンの殿方の下半身くらいのものよ。
カンタレラ、ってのはとっても素敵なお薬のこと。興味があったらGoogleにでもいって調べてみて頂戴。か弱い女に頼りっぱなしじゃだめよ。
名前のとおり、この部屋に書く内容にはたっぷり毒をまぶす予定だわ。即効性も遅効性も含めて。あま〜〜い、毒をね。

最近の見出し

2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 05 | 06 | 07 | 08 | 09 | 10 | 11 |
2007 | 05 |
2008 | 01 | 11 |
<< 2005/07 >>
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
プロフィール

Lucrezia

あら? あたしの事をそんなに知りたいのかしら?

 | 

2005-07-07

大切な思いを短冊に託して。素敵な風習だわ。でも、その思いは「天に住まう方々に願うにふさわしい」ものなのかしら?

そこは秘密の花園よ?

SQLインジェクション関連の続報よ。

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050706/164098/

http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050706/164102/

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050706/164098/ より

価格.com不正アクセス犯の一人? 警視庁が容疑者逮捕

あらあら。よろしくないんじゃなくってかしら?

これってやっぱり「価格.com SQLインジェクション説」っていうデマを流布しかねない、危険なタイトルよ?


そうして、さらにまずい記事をあたしは見つけてしまったの。

http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050706/164102/ より

【緊急インタビューSQLインジェクション攻撃に気づかない企業は山のようにある

7月6日中国人留学生(27歳)が不正アクセス禁止法違反で逮捕された。「カカクコム」を含む14社のWebサイトから、52万件にのぼる個人情報を盗んだと見られている。その際に用いたのは「SQLインジェクション」と呼ぶ手口。この手口による被害は、企業Webサイトで急増している。

まって〜。待ってちょうだい!!

「「カカクコム」を含む」って…あなた、それじゃまるで「SQL インジェクションだった」って言ってるようなものじゃない!?

きっと事実は違うはずなんですけれども、この文脈からだとそんな風に感じ取れてしまうわ?

危険よ。これは危険な発言よ?


それにしても。最近、中国で「SQLインジェクションを叩く」ツールが出回ってるって言うじゃない? 個人情報が「お金になる」ことを前提に考えると、とても危険なお話だわ。

そろそろ、企業達も、自分達の情報が「腹を減らした狼達に狙われている、丸々と肥えた羊だ」ってことを認識してもよいころじゃなくってかしら?

随分と複雑な天秤なのかしら?

http://news.goo.ne.jp/news/asahi/shakai/20050707/K2005070702500.html

ニュース自体は「中国な方の個人情報ゲット系クラック」のお話なんですけれども。

かなり違うところでちょっと引っかかっちゃったわ。

この手のURLはいつ404になるかわからないから、ちょっと長めに引用するわよ。いいわね?*1 *2

http://news.goo.ne.jp/news/asahi/shakai/20050707/K2005070702500.html より

旅行会社「クラブツーリズム」のサイトへの不正侵入事件で逮捕された中国人留学生カカクコムから会員のメールアドレス約9万件を抜き取っていたが、同庁は、この件については不正アクセス禁止法違反容疑での立件は困難と判断した。

ハイテク犯罪対策総合センターの調べなどによると、カカクコムサイトは5月11〜14日に集中的に攻撃された。同社のサイトを閲覧すると別のサイト勝手に接続され、「トロイの木馬」と呼ばれるウイルス感染するプログラムが仕掛けられていた。

センターカカクコムサーバーの接続履歴を調べたところ、この攻撃の中には中国国内にあるサーバーから発信されたものもあった。このため、同センターは中国当局に対し、接続履歴の解析などの協力を求め、所有者などの情報も得たいとしている。

一方、中国人留学生の郁華容疑者(27)はカカクコムが集中攻撃される前の4月中旬と5月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。

これは一体どういうことかしら?

要約すると

  • 容疑者は「そこらへんに転がってる」不正ツールを使ってアタックを仕掛けた
  • アタックの結果個人情報を取得。その情報に対して「売却する」という不正利用にまで駒を進めるに至った
  • ただ、該当の会社のサーバの状態は「利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強い」ために、不正アクセスでの立件は難しいと判断した

ってことよね?


ほっほっほ。大丈夫よ。きっと「ちゃんと立件」できてよ。安心して「全てを裁判所に委ねる」といいわ?

報道されている通りに「SQLインジェクションによるホール」だとするならば、そんな操作、当然のことながら、管理者にとって「想定外」の操作よね?

だとすれば

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より

本件CGIファイルおよび本件ログファイルURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGI脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。そうすると、本件の各特定利用ができたのは、プログラムの瑕疵または設定上の不備があったためにすぎないのであり、アクセス管理者が本件アクセス行為のようなかたちで特定利用することを誰にでも認めていたとはいえない。よって、本件においても、本件CGIおよび本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる

っていう判例がすでにあるくらいですもの。大丈夫よ。「CGI脆弱性を利用したものであり」「あえてその方法を管理者が認める必要はなく、想定もしていなかったもの」である以上、「プログラムの瑕疵または設定上の不備があったためにすぎない」のだから、当然の帰結として「本件CGIおよび本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる」はずですもの。

それに

http://japan.cnet.com/news/sec/story/0,2000050480,20082116-2,00.htm より

『そうすると、本件サーバCGIおよび本件ログファイルを閲覧するためには、プログラムの瑕疵や設定の不備がなければ、FTPを介してIDパスワードを正しく入力しなければならないところを、被告人は、HTMLファイルの内容を書き換えることにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動させることで、IDパスワードを入力することなく、本件CGIおよび本件ログファイルを閲覧したということができる』

これにも非常に近い状態だわ。FTPDBMSに置き換えればOKって感じね。


それにしても。この「判断」ってやつをしたのはどなたなのかしら? また、それは「公式な発表」なのかしら?

ちょっと興味の尽きないところね。


*1:きゃぁ。ピンク色の人がイヤリング爆弾投げるシーンを思い出しちゃったわ(笑

*2:あ、あら。あたしは別に現役でなんか見てやしないわ。再放送の再放送の再放送くらいを見たお兄様からお話で聞いてるだけよ。本当よ??? ドキドキ

カレーな人カレーな人 2005/07/09 03:34 まかせんしゃい!

根津 研介根津 研介 2005/07/11 00:43 私はこの記事をみて、価格.comのサイトが不正アクセス防止法でいうところの「アクセス制御機能により特定利用が制限された電子計算機」の要件を満たしていないのではないかと思いましたが・・・。つまり、たとえばアクセス制御されたネットワークサービスが無かったのではないでしょうか?DBもパスワードがなかったとか・・・。そうでなければ、office氏事件も有罪確定したこのタイミングで「不正アクセス禁止法の要件を満たさない可能性が高い」等という判断はないと思うのですが・・・。

|| 2005/07/11 09:24 価格.comのサーバ構築ではFTPのポートを使っていなかったから、というジョークがあります。

LucreziaLucrezia 2005/07/20 17:55 そうねぇ。…FTP使ってないとかDBのパスワードがないとか。もうひとつ「笑い飛ばしきれない」のが寒いわ…

トラックバック - http://d.hatena.ne.jp/Lucrezia/20050707
 | 

楽しんでいただけたかしら?
いつか、あたしの事も楽しませてね

そうそう。最後に一つ。このPage、どうもIEで見るとインデントがおかしくなるみたいなのよねぇ。でも、あたしはOperaとFirefoxの人間ですし、そもこのテンプレートもはてなさんが用意してくださってるものなの。
インデントが汚いってかたは、ぜひあなたのその「汚いブラウザ」を乗り換えなさい。そうすれば見易くなってよ?