ブログトップ 記事一覧 ログイン 無料ブログ開設

TOTOROの自堕落 日記 このページをアンテナに追加 RSSフィード



2003 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 09 |
2012 | 05 | 06 | 07 | 08 | 09 | 11 | 12 |
2013 | 01 | 02 | 03 | 04 |
2016 | 06 |
あわせて読みたい


このページでは、ページ維持のためアクセス解析を行っています。
お仕事等のご相談は、info@network-forensics.info までご連絡下さい。
Twitterはじめました。@totoromasaki にてつぶやいてます。
 | 

2004-08-16 はぁ・・・・・

某ネットバンクでのお話 06:21 某ネットバンクでのお話を含むブックマーク 某ネットバンクでのお話のブックマークコメント

某所で、お金を大量に扱う、WEBアプリに関する開発案件が有ると

聞いたので、出向いてみたところ・・・。下記の様なやりとりをし

ました。

まぁ、知らない人ってのは、こんなものなのかもしれない。

  • このシステムで取り扱う物は?
    • 主に、顧客の預金に関するやりとりです。
  • てことは、有る程度セキュリティは、考えてますよね?
    • 当然です。最低限、私たちに非が有るような状況は避けないと。
  • まぁ、それはそうでしょうけど。
  • 具体的には?
    • SSLを用いて、顧客との通信を暗号化する。
  • ほかには?
    • そのほか、何が必要だというのだ?
  • SQLインジェクションに対するサニタイジングは?
    • SQL?インジェクション?何だねそれは。
  • まぁ、簡単に申しますと、外から他人の口座をハックして、情報を取り出すことです。
  • この情報には、「預金残高」も含まれてます。
    • そんなこと、本気で出来ると思ってるのかね?
    • そもそも、そんなことができるなんて話は聞いたことがないぞ。
  • えっと、念のために確認しますが、この会議ってのは、○○のシステムリプレースですよね?
    • そうだが?
  • 現状のシステムでは、その様な事は無かったと言うことでしょうか?
    • きみぃ、馬鹿にして貰っては困るよ。今までログを監査していたが、今までその様な事は無かったぞ
  • はぁ、じゃ、試しにやってみましょうか。

ここで、現行システムの実験環境をプロジェクタで大写しにしてもらう

  • まずですね、ソースを見ましょうか
  • ここにですね、xxxxxがありますよね、これをxxxxxxxxに変えてローカルに保存します
  • 次に、このローカルに保存したファイルを開きまして・・・・
  • ここで、このように・・・・・・

実作業については、以下略

  • と、この様にしますと、他人の口座を見ることが出来ました。
  • この状況に至までのログを追いかけてもらえますか?
    • ログには何も残ってない・・・・
  • この様に、ログに残さないように他人の口座から預金を引き出すことも、
  • 振り込むことも出来る訳ですが、、、これでもこの様な対策をする必要はないと?
    • きみねぇ、、こんな事が出来るという、実験は解った。
    • しかし、これが現実に起きているという確証はない。
    • 君のような事をする者が他に居るとでも言うのか?
  • 少なくとも、数年前には無かった事例ではありますが、情報の改ざん、情報漏洩などの問題の1要素にはなっているとおもいますが。
    • 君の言い分はよくわかった、しかしながら、入られるかもしれないと言った、アバウトな状況だけでシステムを作り変える必要は無いんじゃないか?
  • では、今後この様な状況に陥らないと?
    • 陥るも何も、今までこの様な事は無かったし、ログにも記録されていない。
  • ですから、先ほど私の行った実験でも、ログを残さずに他人の口座を見ることが出来ました。
  • それでも、過去に発生していないと?
    • そらまぁ、原理的には可能なんだろうけど、ねぇ・・・・
  • では、今後この対策は行われないと?
    • ま、そうなるかね?

えっと、んーと、この会社の作ってきた銀行から預金を引き上げる事

にしました。ええ。怖すぎです。

高すぎ! 06:21 高すぎ!を含むブックマーク 高すぎ!のブックマークコメント

http://www.yomiuri.co.jp/national/news/20040816i206.htm

42度って、、、、

人倒れませんか?

hasegawayosukehasegawayosuke 2004/08/16 14:50 開いた口が塞がらない…。ダメ杉…。

怖わぁ怖わぁ 2004/08/16 15:15 どこだか分かっちゃった…、確かに此れは怖いなぁもう

68K68K 2004/08/16 16:07 折り入ってご相談があります。とりあえず、一旦海外へ出ましょう。

magisystemmagisystem 2004/08/16 16:12 そういうことは、よしなさいって

h-fujitah-fujita 2004/08/16 18:27 なんちゅー担当や。。。。というより、なんでそんな認識なんだ、、、

TMTM 2004/08/16 21:19 >そもそも、そんなことができるなんて話は聞いたことがないぞ。
「今時,このくらい常識ですよ.まさかIPAまでもが嘘を付いていると言うつもりではないでしょうね?」
と言って次のページを見せるとか.
http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01_main.html
お役所がこの程度のことをまとめてどれほどの意義があるのかと思ってたけど,こういう時は便利かも.

名無し名無し 2004/08/16 21:55 チーム組みません?そしたら、みんなで、金持ちになれるよ?

ちょびひげちょびひげ 2004/08/16 23:32 開いた口が、じゃなくて、開いた口座が塞がらない、ってことで。

感動感動 2004/08/16 23:36 ちょびひげさんに座布団二枚

KennyKenny 2004/08/17 12:00 いっぺん本当に事故らないとお偉いさんが自覚しない会社なんていくらでもありますよ。最近だと関西電力なんかがそうでしょ。

通りすがりの福島人通りすがりの福島人 2004/08/17 20:03 ひええええ、お願い、その[某ネットバンク]晒してください。
引きこもりもいいところのSOHO事業者なので、ほとんどの資産がネットバンキングなんです・・・

tamtam 2004/08/17 23:23 「本当に事故らないとお偉いさんが自覚しない」国だから…

yumanoyumano 2004/08/17 23:32 その会社ってうちが関係ありそうな・・・先にあやまっときます。ごめんなさ〜い(T-T

carnotcarnot 2004/08/18 02:58 まさかあの銀行...?そんな大手がこんなやり取りを?そことは違うところですが私もネットバンキングしているので、やめちゃったほうがいいのでしょうか?

tactac 2004/08/18 03:16 ネットバンクに財産のほとんどって、この話も結構すごいね。
IDとPASS抜かれるのって、カード+パスや通帳+印鑑盗まれるのより、遥かに簡単でそ。

suisui 2004/08/18 08:41 経済雑誌PRESIDENTの2004.7.5号(http://www.president.co.jp/pre/20040705/index.html)に紹介された記事で、経済小説家の黒木亮がHSBC(香港上海銀行)に持ってる預金口座と、同じく妻のHSBCに持ってる預金口座の当座預金や貯蓄口座から見知らぬ人の口座に出金されていたという話があった。この担当が自分の銀行にこういうことがなければセキュリティ見直さないのかな。

h-fujitah-fujita 2004/08/18 08:52 個人レベルで出金の話が合っても動かないでしょう。うごかないところは。 銀行の場合、本当に動かすためには取り付け騒ぎになりえるくらいにしないと動かないところもあるんじゃないでしょうか。

orz-3orz-3 2004/08/18 11:20 出来ればどこの銀行か伏字でも教えて欲しいです。
場合によっては私も全額引き上げ・・・。

.. 2004/08/18 15:34 ネットバンク利用してるのって、ネット情報に敏感な人が多いだろうし、これで名前が出たら会社潰れちゃうくらいデカイ話だね。是非名前を出してもらいたいな、ここじゃヤバイだろうし別のとこでコソっとね。

hanazukinhanazukin 2004/08/18 15:54 やじうまウォッチから飛んできてみました(w

uzeleuzele 2004/08/18 16:27 どこの開発会社が作ったのかヒントを今月か来月オフラインで・・・(謎

magisystemmagisystem 2004/08/18 16:31 んと、明日甘味料ツアーをやりたいと思ってみたり。
明日参加すれば、どこの開発だったか解るかも。

rt@lrt@l 2004/08/18 17:11 甘味屋がコミケ会場のように溢れかえる・・・それはそれで面白そう

uzeleuzele 2004/08/18 17:23 甘味ツアー参加したいけど明日だときついです
もう少し早くいってくれれば・・・

magisystemmagisystem 2004/08/18 17:32 そんなもん、決まってるじゃないですか・・・。
参加者数を絞るために、前日発表するんですよ。

luminlumin 2004/08/19 16:51 こんなもんだから、架空口座にたくさん送金して、マネーロンダリングするだけで数百億の金を不正に気づかれること無く動かすことが出来るんですよね。そんな人たちにPacketBlackHoleをよろしく。これだけの情報でどこの銀行か分かっちゃうから気をつけましょうね.

yoshiaki99yoshiaki99 2004/08/20 11:51 冗談抜きで、会社名知りたいです。自衛のために。お願いします。

.. 2004/08/21 14:41 守秘義務がありますから(あります...よね?)あんまり無理にお願いするのは・・・>会社名

mokyamokymokyamoky 2004/08/22 03:32 ネットバンクっていったらあそこしかないじゃん

manabumanabu 2004/08/23 03:43 技術者ではない、クライアント側の担当がXSSだのSQLインジェクションだのって問題自体を知らないのは、しょうがないと言うか、むしろ当然の様な気もします。
もちろん、問題があるのをデモされた後にそれでも対応しないというのは論外ですが、そもそもこういった開発の時に、設備・環境に依存するわけでもないWebアプリ側のセキュリティ対策に関して、特殊文字のサニタイジングします?しません?なんてクライアントに伺いを立てるものなのですか?
アプリ側でのセキュリティ対策は全て開発側が行っていて当然というものではないの?
昨今情報の改ざん、情報漏洩などの問題は、結局はクライアントの無知や問題意識以前に開発側のレベルの低さこそが一番の問題なのでしょうから、開発会社の責任問題についてあまり表に出ていない気がして何となく

snow_snow_ 2004/08/25 20:56 会社関係者ですか?お疲れ様ですw

qq 2004/08/26 13:09 読む限りでは、専門用語をまくし立てる偉そうな技術者にカチンときた担当者が意地を張ってしまっただけにしか見えない。

mariccimaricci 2004/08/27 21:00 開発側が行っていて当然だから予算をとってくれるように頼むんですよね?それなりにコストはかかりますよ、と。
じゃあ根拠を示せと言われればこんな会話になるわけで。

carnotcarnot 2004/08/27 23:26 ネットバンキング、解約してきました。

agonyagony 2004/08/29 01:58 Request値のエスケープ処理に、別コストで見積もり出すんですか?そりゃ自動車買ったらブレーキは別売りみてーなひどい話ですね。

tokmintokmin 2004/09/12 14:41 ネットバンクっていくつかあるのわけですが、
ネット専業バンクといえば、あれとあれとあれなわけで、
で、ぶっちゃけどこなんでしょうか?
私も引き上げの検討にはいろうかと・・・。
上、真中、下で言えばどこでしょうか?

mariccimaricci 2004/09/26 18:06 >agonyさん 別予算で、ではないですよ。「こんなに高いのはなぜだ。以前のところはこんなに費用はかからなかった」と無知なクライアントが言ってきたときに根拠を示すために説明するんです。安くしろとしか言わない客に、開発会社が費用どおりの作業しかしないのはしかたないんじゃないかと思いますけどね。(わかってない開発会社が無茶な値段で仕事しちゃうのが一番悪いんですが)

style_bluestyle_blue 2004/09/27 17:11 今月(9月発行)のサイゾーを見て思わずニヤっとしちゃいました。もっとニュースになってもいいんですけどねぇ…

トラックバック - http://d.hatena.ne.jp/magisystem/20040816
 | 
このサイトは自堕落日記です。
苦情等は一切受け付けておりません。
Map