- 1 名前:自作自演 [2001/08/07(火) 00:26]
- クボ○のファースト鯖を使ってるんだが、ヤバイね。
ここに乗り換えた時からウィルスメールが来るようになった。
変だから、いろんなメアド作ってみたら全部のアドレスにくる。
Webに表示しなくても来る。作ったその日から来る。
情報漏れてんじゃない?
ファースト鯖では、ウィルスメール駆除の有料サービスが開始された。
自作自演かよ!
- 415 名前:名無しさん@お腹いっぱい。 [04/01/22 23:06]
- >>411
www.askaccs.ne.jp/ より:
ACCSに対する提言
今後のホームページの運営に際しては、
ホームページの製作・運営等を外部に委託する際の基準の策定、
委託先の再検討、
などを行うべきである。
- 416 名前:名無しさん@お腹いっぱい。 [04/01/22 23:11]
- これ漏れたらACCSの比じゃないよな。
その会社のダメージは計り知れない。
しかし、徹底的にこの件に関しては無視の体制だな。
ACCSのコメントを読んだが、これが本来の企業(ACCSは
企業ではないが)のあるべき姿じゃないか?
現時点でわかる情報を提示して、すこしでも不安を解消する
姿勢。外部の調査による原因の究明、その対策。
これをみて、ファースト鯖は恥ずかしくないのだろうか。
- 417 名前:名無しさん@お腹いっぱい。 [04/01/22 23:51]
- 今日の白い巨塔を見て思ったのだが、及川ミッチーがやっていた弁護士のような顧問弁護士が
ファースト鯖にいてドラマと同じようにいろいろ小細工したり指示したりしているんだろうな
って想像してしまったよ。
- 418 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/23 00:11]
- 顧問弁護士って儲かるの?
大変なわりにあんまり儲からない感じ
- 419 名前:名無しさん@お腹いっぱい。 [04/01/23 00:18]
- 顧問弁護士といえば、あそこの鯖屋だな
- 420 名前:名無しさん@お腹いっぱい。 [04/01/23 00:21]
- >>393
>予見出来ない。
>そういう意図を持った奴は出来るが、
>一般的な使い方をしていたら、個人情報が読める状態にならない。
そんな理屈が通るなら、セキュリティホールは全部「予見できない」で済ませちゃうよ。
「一般的な使い方をして個人情報が読める」ケースはセキュリティホールじゃなくて、堂々公開なんだからね。
「セキュリティホール=予見できない」なんてことになっていいの?
牛乳が腐ってたのも「予見できない」で済ませるし、
卵が腐ってたのも「予見できない」で済ませちゃうね。
凄腕弁護士にかかると。
- 421 名前:名無しさん@お腹いっぱい。 [04/01/23 00:44]
- 技術的な点で言うと、今回の穴は十分予見できるものだったと言える。
XSSやインジェクション系の穴ならば、そこそこ専門知識か経験がないと判別できないとも言えるかもしれないが、
今回の穴は、もろにファイル名を指定する引数があっただけだからね。
ファイル名に絶対パスや相対パスで別のファイルを指定したらどうなるかなんて、
素人でも考えることだし、CGIプログラム開発の基礎中の基礎。
実態として、次の画面のファイル名をCGIの引数で指定できるようになっているCGIはけっこう、まだ
あちこちで散見される。けして珍しい構造じゃない。
だけど、そこに任意のファイル名を指定して、そのファイルが得られるようになっているかは、
確かめてみないとわからない。
対策されていれば、特定のファイルしか見れないようになっているはず。
そこに適当なファイル名を入れて試しちゃうと不正アクセス禁止法違反になるかもしれないので、
誰も試してないわけ。office氏以外。
つまり、今回の件は、
通常のシステム屋には予見できない高度な欠陥をoffice氏に見つけられてしまった
という話ではなくて、
通常のシステム屋に予見できている(が管理者以外による検証は違法なので検証されていない)
よくある構造の欠陥の可能性を、恐れそ知らぬoffice氏が検証してしまった
ということなのですよ。
> そういう意図を持った奴は出来るが、
> 一般的な使い方をしていたら、個人情報が読める状態にならない。
不正アクセス禁止法の構成要件の議論ならそういう論理も出てくるだろうが、
欠陥を予見できたかの議論で、その理屈を持ち出すのは場違いだろう。
- 422 名前:名無しさん@お腹いっぱい。 [04/01/23 01:08]
- >>393
>予見出来ない。
>そういう意図を持った奴は出来るが、
>一般的な使い方をしていたら、個人情報が読める状態にならない。
○○乳業社長:
一般的な飲み方をしていたら、牛乳が腐っているかわからない。
予見出来ない。
- 423 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/23 02:31]
- つーか、「予見できない」なんて主張するわけがない。
そんなこと言ってみろ、
こんな超初歩的なセキュホさえ予見する能力のない鯖屋だと
自ら宣言することになるぞ。
- 424 名前:名無しさん@お腹いっぱい。 [04/01/23 03:25]
- ファースト鯖も
www.office.ac
のように逃げの一手で乗り切る腹づもりです
- 425 名前:名無しさん@お腹いっぱい。 [04/01/23 08:05]
- ASKACCSはたいしたもんだ。
ちゃんと何が起こったか説明している。
相談者に心配をかけないように。
でも何か変じゃないか?
ACCSは腐った牛乳が最初に見つかった量販店みたいなもんだ。
だからってなんでACCSが全部被って説明してるんだ?
ACCSだけなのか?
ttp://www.askaccs.ne.jp/ より
> なお、調査委員会は、この脆弱性の内容についてはより詳細に
>事実を確認しているが、その内容をここで明らかにすると、他の
>ホームページで同様の被害が生じるおそれがあるため、ここでは
>これ以上詳細には示さないこととした。
ACCSにできることはここまでだろう。
あとはファーストサーバがやることじゃないのか?
ACCSはofficeの名もファーストサーバの名も伏せて自分達の責任
について果たそうとしている。
officeはいずれ逮捕されて追及されるだろう。
ファーストサーバだけがそしらぬ顔でのうのうと生きている。
何か変じゃないか?
- 426 名前:名無しさん@お腹いっぱい。 [04/01/23 18:37]
- 2004年1月22日
ファーストサーバ サポートセンター
暫定版CGI削除作業終了のお知らせ
平素よりファーストサーバをご利用頂き誠にありがとうございます。
さて、昨年12月16日に弊社にて置換え作業を実施し致しました暫定版CGIを
先般よりご案内申し上げておりました通り削除させていただきましたので削除
作業終了のご報告を申し上げます。
■削除実施日 : 2004年1月22日 13時30分 作業終了
■削除対象となったCGI:2003年12月16日にお送りいたしましたご案内メールを
ご参照ください。
なお、本ご案内は昨年12月16日に弊社にて暫定版CGIに置換え作業を実施致しま
したお客様すべてにお送りしております。既にお客様で削除されている場合には
無用なご案内となりますが何卒ご了承いただきますようお願い申し上げます。
■ご不明な点については、弊社サポートセンターまでご連絡いただきますよ
うお願い申し上げます。
今後ともファーストサーバをよろしくお願い申し上げます。
- 427 名前:名無しさん@お腹いっぱい。 [04/01/23 22:19]
- 今後ともファーストサーバをよろしくお願い申し上げます。 m( )m
- 428 名前:名無しさん@お腹いっぱい。 [04/01/24 03:34]
- www.itmedia.co.jp/enterprise/0401/23/epn14.html
- 429 名前:名無しさん@お腹いっぱい。 [04/01/24 11:34]
- >なお、当該Webサーバを運用していたレンタルサーバ会社からは、
>この問題について、プレスリリースなどの公的なアナウンスは
>いっさいなされていない。
をいをい。とうとうマスコミにまで突っ込まれているぞ。
ファースト鯖の中の人190の言い分からすると、これでも
まだ世間的には認識されていないから問題ないのかな。
- 430 名前:名無しさん@お腹いっぱい。 [04/01/24 12:18]
- デヂエのセキュリティは「うちにまかせてもらえればええねん」と言うからには、
森川君の作った標準CGIの件を公表できないだろ ヘ(゜◇゜)ノ~ウケケケ・・・
- 431 名前:名無しさん@お腹いっぱい。 [04/01/24 13:44]
- マジレスすると、信頼を得るには、原因を公表して、今後は起きないと信じられるだけの根拠を発表すべきだな。あたりまえだけど。
ただそうすると、今回の件に責任があったと認めることになる。
信頼をとるか責任回避をとるか…
- 432 名前:名無しさん@お腹いっぱい。 [04/01/24 14:40]
- 早く公表すれば信頼もとれたし責任回避も出来たかもしれないのにね
もはや信頼回復も責任回避も出来ないでしょ
- 433 名前:名無しさん@お腹いっぱい。 [04/01/24 15:17]
- うがった見方をすれば、事実を公表すると別のまずい部分が
出てきてしまい、ファースト鯖にとって致命的なことになって
しまうという、シナリオを勝手に妄想してしまう。
- 434 名前:190 [04/01/24 19:44]
- 主張の要約。
・確かな証拠も無く「黒」と言い切る人には疑問を感じる。
・ファーストサーバさんは説明責任を果たしていないと考える。
・真相が明らかになるよう、捜査の進展に期待し、この事件が
広く周知されることを望む。
補足
過去、ファーストサーバさんが「白」と断言した覚えも全く無い。
しかし、憶測を超えた根拠無き誹謗を賛成する気には到底なれない。
- 435 名前:名無しさん@お腹いっぱい。 [04/01/24 20:55]
- >>434
馬鹿皿仕上げ
確かな証拠はあるだろ。ファーストサーバが標準スクリプトとして配布したブツが原因で漏れた。
必死で無かった事にしたい様子だが事実は事実(笑
新標準スクリプトへの差し替えを薦めるメールにも旧標準を使っても良いとしていた。
普通スクリプトの差し替えにはコストがかかるため継続利用できるならそうするという選択も充分
ありえるものとなる。ACCSのケースがまさにそれだ。
ファーストサーバがろくに説明しなかったことが客を危険に晒し、実際にASKACCSで被害が出た。
ファーストサーバは説明責任を果たしていないと考える?
考えなくてもわかるだろ。説明責任を全く果たしていない。
ACCSは説明責任を果たしている。俺はACCSの対応を評価するね。
真相が明らかになるよう捜査の進展に期待?
捜査の手が入るまではダンマリってか。おめでてーな。
どうやったらそんな推測を超えた根拠無き妄想を垂れ流す事ができるんだか。
ファーストが白と断定した覚えが無い?
だろうな。断定してしまうと嘘をついたことになるからな(笑
そろそろ透明あぼーんの時期か?
- 436 名前:名無しさん@お腹いっぱい。 [04/01/24 21:35]
- >新標準スクリプトへの差し替えを薦めるメールにも旧標準を使っても良いとしていた。
この時期は、データ漏洩の恐れには気がついてなかったと思われ。
変なファイルが作成されるかもしれないぐらいにしか思ってなかったと思うぞ。
で、あの脆弱性が発見されたのは最近だろ。
それでfsvがどうのってのに直接影響はないとは思うが、、、
セキュリティホール=バグと考えている漏れにとっては損害賠償責任が発生するとは思うのだが、マイクロソフトの前例を考えると、この業界、セキュリティホールに賠償責任はないみたいだ。
今後ファーストサーバの全責任で提供CGIを運営していくという対策をとったということで、マイクロソフトがやってるUPDATEと同様に一般的な責任はとったことになるだろ。
ユーザからの損害賠償がASKACCSにあるかどうかには無関係でASKACCSがファーストサーバに損害することには何の問題もない、そっから先は個別の民事訴訟。
- 437 名前:名無しさん@お腹いっぱい。 [04/01/24 21:37]
- 誤:損害することには何の問題もない、
正:損害賠償請求することには何の問題もない、
- 438 名前:名無しさん@お腹いっぱい。 [04/01/24 21:51]
- >>436
>>新標準スクリプトへの差し替えを薦めるメールにも旧標準を使っても良いとしていた。
>この時期は、データ漏洩の恐れには気がついてなかったと思われ。
>変なファイルが作成されるかもしれないぐらいにしか思ってなかったと思うぞ。
スクリプトについては気が付いていたかどうかではなく、原因となったかどうかが問題ね。
故意にそんなスクリプトを作ったわけじゃないだろうとは思うけど、それに気づいていなかったのは単にショボいだけのこと。そんなの理由にならないよ。
原因となってしまったならちゃんとフォローすればいいだけのことだけど、ファーストサーバはだんまり逃げを決め込んでる。それはどう考えても賛同できることじゃない。
ミスは誰にでもあるんだし、過剰に責めても意味は無い。
>で、あの脆弱性が発見されたのは最近だろ。
>それでfsvがどうのってのに直接影響はないとは思うが、、、
テクニカルな部分では、ずいぶん古い手法。hidden フィールドの書き換えはWEBアプリの古典的攻撃手法だと思う。
スクリプトそのものに存在することはofficeと森川のメールとやらを信じるなら昨年八月くらいにわかったと思われる。
セキュリティホールを完全に防ぐ事は事実上不可能だと思うんだよね。あとは見つかったときにどうするか。その対応なのよ。
>今後ファーストサーバの全責任で提供CGIを運営していくという対策をとったということで、
>マイクロソフトがやってるUPDATEと同様に一般的な責任はとったことになるだろ。
今度から気をつけます、なんてのが通じるのは小学校くらいまでだと思うよ。
始末書書かされるってのは賞罰でいうところの罰にあたるわけで。人事考査の対象だったりする。
ファーストサーバはそれに相当することをしていないよな。ACCSは報告書の形で出したけどファーストサーバはメディアに名前が出てないのをいいことに息を潜めてる。
ファーストサーバのスクリプトに責任をかぶせるんじゃなくて、ファーストサーバの対応がなってないってことなのよ。
説明責任を果たして、それから改善すればいい。今のファーストサーバは何も説明してないし、どんな改善をするのかなんてことも当然わからない。
それが一番の問題だと認識してる。
- 439 名前:名無しさん@お腹いっぱい。 [04/01/24 22:18]
- >>434
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-=" ぁぁそうでっかそうでっか
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ なるほどね・・・
| ) ヽノ |. ┃`ー-ニ-イ`┃
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━━┛/ \\
/ \ ト ───イ/ ヽヽ
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ ・・・で?
| ) ヽノ |. ┏━━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\
/ \_/\\ ┗━━┛/|\\
/ \ ト ───イ/ ヽヽ
- 440 名前:名無しさん@お腹いっぱい。 [04/01/24 22:33]
- >原因となってしまったならちゃんとフォローすればいいだけのこと
ちゃんと状況を報告すると真似するやつがでてくるでしょ。
そのアタリが難しいとこだと思うが、どうなんだろうな。
ワシとしては、一言いっておいてくれたらワシのユーザへの対策を余裕を持って出来たとは思うが、まねするやつの存在を考えたらダンマリもやむをえないかもしれない。
>テクニカルな部分では、ずいぶん古い手法。hidden フィールドの書き換えはWEBアプリの古典的攻撃手法だと思う。
んーと、この部分に気がついたので、ソース未公開バージョンをリリースしたんだと思うぞ。
で、シャレにならない脆弱性が隠れていた。
(最新版の一歩手前までシャレにならない部分の対策できてたか否か非常に興味があるなぁ。。。W)
>今度から気をつけます、なんてのが通じるのは小学校くらいまでだと思うよ。
だからわしもそう思うんだが、この業界では、マイクロソフトがそれを押し通したので免罪符になっとるんだわな。
>それが一番の問題だと認識してる。
ん。。。。っと、
まあ、
firstserver.co.jp/info/privacy.html
ここの3.あたりに、ことの成り行きと今後の対策を書いておくべきではあるな。
旧来は弊社提供CGIの改変をお客様に許可しセキュリティホール発見後の迅速な対応に障害がありましたがが、今後は提供CGIの運営責任を持つための、ソース未公開とします。
くらい書いてもいいと思うぞ>しゃちょー
- 441 名前:名無しさん@お腹いっぱい。 [04/01/24 23:00]
- > ソース未公開とします。
よけい危ない。
- 442 名前:名無しさん@お腹いっぱい。 [04/01/24 23:04]
- ソースっか。(爆
- 443 名前:名無しさん@お腹いっぱい。 [04/01/24 23:05]
- >>440
>>原因となってしまったならちゃんとフォローすればいいだけのこと
>ちゃんと状況を報告すると真似するやつがでてくるでしょ。
ASKACCSがやったレベルでいいとおもうよ。
それにもう対策済みのブツに差し替えのはずだし、旧版にしか通じない攻撃手法を説明してもさしたる問題じゃない。
>ワシとしては、一言いっておいてくれたらワシのユーザへの対策を余裕を持って出来たとは思うが、まねするやつの存在を考えたらダンマリもやむをえないかもしれない。
非公開のつもりでも詳細な手法は知られているよ。
発見者が一人居たら、三十人くらいは攻撃方法知ってるやつがいると思ってもいいんじゃない?
>んーと、この部分に気がついたので、ソース未公開バージョンをリリースしたんだと思うぞ。
>で、シャレにならない脆弱性が隠れていた。
乗り換え推奨のときにちゃんと説明されていたなら問題ないと思うよ。
「新しいの出たよ〜」だけだったら、乗り換えない奴も出るでしょ。「何故」の部分がないと。
この後に書くけど、説明をそこそこやっときゃユーザの運用に責任を移せるんだし。
>(最新版の一歩手前までシャレにならない部分の対策できてたか否か非常に興味があるなぁ。。。W)
同じく。どんなスクリプトだったのか、現物見てみたいなあ。
>>今度から気をつけます、なんてのが通じるのは小学校くらいまでだと思うよ。
>だからわしもそう思うんだが、この業界では、マイクロソフトがそれを押し通したので免罪符になっとるんだわな。
技術的な詳細は、鯖屋ならユーザには渡したほうがいいと思うけど、一般向けには必要無いと思う。考えられるリスクを指摘して、対策版への乗り換えを促すくらいかな。
ゲイツんとこはユーザが多すぎるから「お知らせ」なんかやってらんなくて自動アップデートで対策してるんだろう。オフィシャルやメルマガでも情報公開してるし。
ある程度説明しておけば、危険性があるってことを公知にできる。公知にできるってことは、それでも使う奴が悪いって言える。さっき書いたユーザへの責任移行ができるんよ。
パッチ(対策版)を出したなら、ちゃんと説明して移行を促すべきだよ。
- 444 名前:名無しさん@お腹いっぱい。 [04/01/24 23:30]
- >旧版にしか通じない攻撃手法を説明してもさしたる問題じゃない。
ファーストサーバが認識してないユーザが改変したものは問題がでるでしょ。
多分、そういった指摘があったから、場所を移したり名前を変えたりして逃げ回っているソースを一生懸命探して消したんだと思うけど。
また、データを抜かれないにしても、無駄にトラフィックが増えるし。
>発見者が一人居たら、三十人くらいは攻撃方法知ってるやつがいると思ってもいいんじゃない?
その理屈で考えたら、説明メールの本数の30倍の連中が余計なことをしてまいますな。
で、そもそも、ファーストサーバのユーザディレクトリ構成を知らなかったら、ややこしいことをしないとデータを抜くことが出来ないので、ファーストサーバユーザに通知することは事が無駄に重大になりますな。
でもまあともかく、なにか発表しといたほうがいいかとはおもうぞ>しゃちょー
- 445 名前:名無しさん@お腹いっぱい。 [04/01/24 23:32]
- 攻撃方法知っているのは一万人くらい。
ていうか、知らないやつがCGI作ったら危ない。
技術者なら知っているのが当然。
隠すのは文系。
- 446 名前:名無しさん@お腹いっぱい。 [04/01/24 23:52]
- >>444
あ、いやだから詳細な攻撃手法を公表する必要性はまず無いと思うのよ。
で、ユーザがカスタマイズした部分に対応するためには、自社のユーザに対してパッチっつうか
「もとのソースのここがヤベーから直せよ」くらいには連絡してもよかろうと。
そのほうが探し回って消してっていうより楽で確実。
・対策済みを配布
・問題点を(少なくともユーザに)告知
・ユーザに警告
ここまでやっときゃそれでも使う奴はリスク背負えよ、って言えるでしょ。
ファーストサーバとしてそれ以上手を書ける必要はなくて、提供するスクリプトを堅牢にすればいい。
確かに情報公開とリスクについては未だに議論の分かれるところで一概にこうとは言えないんだけどね。
でも、「ファイル抜かれる可能性があるから差し替えれ」くらいはユーザに言ってもよかったはずなのよ。
とりあえず、ファーストサーバは立場表明っつうか意見表明くらいしたほうがいいと思うけどねえ。
- 447 名前:名無しさん@お腹いっぱい。 [04/01/26 10:23]
- ファーストサーバーの表明まだあ?
- 448 名前:名無しさん@お腹いっぱい。 [04/01/26 11:38]
- www.momo.dyndns.org/~genius/
- 449 名前:名無しさん@お腹いっぱい。 [04/01/26 11:43]
- www.momo.dyndns.org/~genius/
- 450 名前:名無しさん@お腹いっぱい。 [04/01/26 22:33]
- https://www.netsecurity.ne.jp/article/1/12105.html
一方、ACCSでは、「cgiファイルはCSV形式で残るが、そのファイルについては定期的に廃棄するなど、
個人情報保護の取り組みはしていた。しかし、今回はCSV形式のファイルとは別個に、ログファイルが
残っていて、そこから個人情報が入手可能となっていた。レンタルサーバを利用しているが、
そのことに関しての情報を得ていなかった」とコメント。サーバを管理していたのは、クボタ系列の
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
レンタルサーバ会社・ファーストサーバである。同社によれば、「問題となったのは、当社で標準cgiと
呼ばれるもので、2003年初めより、すでに提供は中止し、新たなバージョンに切り替えていた」という。
- 451 名前:名無しさん@お腹いっぱい。 [04/01/26 22:59]
- やはりクボタは危険性を承知していたのに知らせなかったのですな。
- 452 名前:名無しさん@お腹いっぱい。 [04/01/27 22:17]
- セキュリティ関係の商売している会社が、平気で「定期的に廃棄するなど、個人情報保護の取り組みはしていた。」とは、よくいったもんですな。。。
- 453 名前:名無しさん@お腹いっぱい。 [04/01/27 22:18]
- 恥ずかしくないんだらうか…
- 454 名前:名無しさん@お腹いっぱい。 [04/01/28 11:06]
- ACCSの個人情報だけどやっぱり流出していたよ
ttp://up.isp.2ch.net/up/27aa7f56c0eb.ppt
ttp://pc.2ch.net/test/read.cgi/sec/1074115212/217-
- 455 名前:鵜飼裕司 mailto:info@ad200x.net [04/01/28 11:29]
- >>454
上記ファイルはACCSに寄せられた個人情報が含まれています。ダウンロード
なされないよう、お願い申し上げます。また、ダウンロードされた方は速や
かに削除してください。
- 456 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/28 11:40]
- ,:::-、 __
,,r::::::::::::〈:::::::::),,,,,,,,,,,,ィ::::::ヽ
〃::::::::::::;r‐''´:::::::::::::::::::::ヽ::ノ
,'::;'::::::::::::::/:::::::::::::::::::::::::::::::::::
l::::::::::::::::::l:::::::::::●::::::::::::::●:::j うんうん
|::::::::::::::::::、::::::::::::::( _●_):::::,j: それは熊った事になったね。
}::::::::::::::::::::ゝ、:::::::::|∪|::::::ノ;!
. {::::::::::::::::::::::::::::`='=:ヽノ:::::/
';::::::::::::ト、::::::::::::::i^i::::::::::::/
`ー--' ヽ:::::::::::l l;;;;::::ノ
- 457 名前:名無しさん@お腹いっぱい。 [04/01/28 12:35]
- おーい、190どこ行った〜
- 458 名前:名無しさん@お腹いっぱい。 [04/01/28 12:40]
- この状況でもファーストサーバーはだんまり
- 459 名前:(゚∀゚) mailto: [04/01/28 14:21]
- おっと。ダウソする気なんてなかったのにクリックしたら
何かが勝手に落ちてきますた( ゚∀゚)アハハ
- 460 名前:名無しさん@お腹いっぱい。 [04/01/28 14:36]
- >>459
おいおい。それ見ちゃったらOfficeと同罪だぞ。
きちんと削除しろよな。
- 461 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/28 14:41]
- >>460
ただ見たのと売名のために公表したのとは全く次元が違うぞ
- 462 名前:名無しさん@お腹いっぱい。 [04/01/28 14:48]
- >>460-461
同罪ではないにしろDLしたりしないほうがいいだろうね
本格的な捜査とかになったら当然DLした人間も調べられるだろうし
しかし、この状況になっても黙っているファーストサーバーって会社は一体なんなんだろう?
- 463 名前:名無しさん@お腹いっぱい。 [04/01/28 14:51]
- >>462
ほら、それは「お客様の管理責任」だからだろ(藁
セキュリティホールを「お客様」に知らせてから管理責任を擦り付けてよ>ファースト鯖
- 464 名前:(゚∀゚) mailto: [04/01/28 15:06]
- では、わたくしはきっと
クリック禁止法違反
でタイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!
されます。
- 465 名前:名無しさん@お腹いっぱい。 [04/01/28 15:24]
- >>464
オマエがタイーホされるのは別にかまわないけどこれを発端に2ch潰しがはじまると
遊び場が無くなって困る
特に個人情報ネタは今はヤバイしな
- 466 名前:名無しさん@お腹いっぱい。 mailto: [04/01/28 16:13]
- >>462
調べられるのはうpしたヤシですよ。
- 467 名前:名無しさん@お腹いっぱい。 [04/01/28 16:19]
- >>466
型どおりであればそうだろうね
でも、今回は新聞にも取り上げられたりセンセーショナルに扱われているので
徹底した捜査がなされないとも限らない
そうなると流出範囲の特定という意味でダウンロードしたやつまで捜査が及ぶ
可能性も無いとは言えないかもね
特にダウンロードしましたとか書いたら普通にダウンロードした人間よりも
追跡はしやすいだろうしね
それにしてもファーストサーバーはこの期に及んでまだ何もしないつもりかね?
- 468 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/28 16:20]
- A.D.200Xでダウンロードした奴は調べられなかったのはどうしてだろう
流出がなかったとすればオフィス当人がうpしたとも考えられるが
- 469 名前:名無しさん@お腹いっぱい。 mailto: [04/01/28 16:30]
- ダウソしてもなんの罪にもならないからだよ。
法的に問題ない。
ダウソしたファイルそのものが違法なら話は別だけどね。
(例えば割れ、MP3)
- 470 名前:名無しさん@お腹いっぱい。 [04/01/28 17:09]
- ファイルはアップローダーから削除されたっぽいな
- 471 名前:名無しさん@お腹いっぱい。 [04/01/28 17:23]
- それにしても今回の件に関しては全てがファーストサーバーが提供しているCGIの脆弱性を把握していながら
それを利用者に告げずに新しいCGIを提供することで以前のCGIも継続利用することの問題の告知を
怠ったことが原因だと思われるのだが、それでもこのまま何も公表しないのだろうか?
俺の目から見ればデータを引き出したofficeやそれを公開する場を提供したADの問題は大きいと思うが
ACCSは完全にファーストサーバーに嵌められた被害者にしか見えない
以前、ここを利用していて今は違うサーバーに乗り換えているがもしかしたらデータを抜かれる被害に
合ったのが自分のところだったかもしれないと考えると(提供されていたCGIは利用してなかったけど)背筋が寒くなる
そもそも、ファーストサーバーがCGIの脆弱性を正しく利用者に伝えていたらこんな事件は起きなかっただろうしね
- 472 名前:名無しさん@お腹いっぱい。 [04/01/28 19:43]
- なんかこれで逆にファースト鯖は釈明のチャンスが完全に
なくなった気がするよ。今、事実関係を説明しても二次流出が
起きた後では何も意味がないし、批判を浴びるだけ。
このまませこく、黙り続けるに1カノッサ。
あとは真実が出てくるのはOfficeの裁判までないでしょう。
ACCSは今が踏ん張り時。がんばれ。こんなくそ鯖の尻拭いは
いやだと思うが、今回の件で唯一まともな対応をしている
ところなだけに、事件をうやむやにしないためにも応援してる。
- 473 名前:名無しさん@お腹いっぱい。 [04/01/28 22:09]
- ちなみにAD200Xのヘタレが監視していたスレ
pc.2ch.net/test/read.cgi/sec/1074115212/
- 474 名前:名無しさん@お腹いっぱい。 [04/01/28 22:28]
- www.ad200x.net/20040128.html
今回の件の二次流出のADの言い訳だけど、ここでも
ファーストサーバーとちゃんと名指しで書かれているね。
さて、これもファースト鯖は黙認かな。
- 475 名前:名無しさん@お腹いっぱい。 [04/01/29 10:33]
- >>471
>それにしても今回の件に関しては全てがファーストサーバーが提供しているCGIの脆弱性を把握していながら
>それを利用者に告げずに新しいCGIを提供することで以前のCGIも継続利用することの問題の告知を
>怠ったことが原因だと思われるのだが、
ちょっと違う。
古いCGIのバグは、「hiddenパラメータをいじられたら、変なファイルが変なとこに作成される」
「ファーストサーバのユーザだったら既存ファイルを改変される可能性があるけどそれはないだろ。」
と思っていた。
で、だれでもその気になったらhiddenパラメータに関係なくデータ漏洩がある可能性は、実際に指摘されるまでわからなかった。
これが現実だと思うぞ。
どっちにしろ
>それでもこのまま何も公表しないのだろうか?
これが問題だな。
- 476 名前:名無しさん@お腹いっぱい。 [04/01/29 10:44]
- > で、だれでもその気になったらhiddenパラメータに関係なくデータ漏洩がある可能性は、実際に指摘されるまでわからなかった。
> これが現実だと思うぞ。
でも森川はofficeに一昨年(2002年)の時点で脆弱性を把握していたと伝えてたわけでしょ?
officeが指摘したのが昨年(2003年)の11月なのだからそれは違うと思うぞ?
- 477 名前:名無しさん@お腹いっぱい。 [04/01/29 11:20]
- 「知らなかったといえないエンジニアの定め。」の可能性もあるが(W
hiddenパラメータの問題と、しゃれにならない脆弱性、この2つの問題を把握した次期は全く違うと思うんだが。
前者はインターネットから業界に入ったエンジニアが気がつきやすい問題、後者はUNIX出身プログラマなら簡単に気がつく問題。
- 478 名前:名無しさん@お腹いっぱい。 [04/01/29 11:22]
- わかりやすくかくと、2002年の時点では、hiddenの問題しか気がついてないだろ。
- 479 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/29 11:28]
- officeが使った穴も“hiddenの問題”なわけだが.
- 480 名前:名無しさん@お腹いっぱい。 [04/01/29 11:48]
- >前者はインターネットから業界に入ったエンジニアが気がつきやすい問題、
>後者はUNIX出身プログラマなら簡単に気がつく問題
出鱈目も甚だしいなあ。文系の生半可な知識での判断ですか? 法学部出身とかはこれだから困る。
後者はUNIXに関係がない。インターネットから業界に入ればすぐ気付く。
むしろ前者の方がUNIX知識に依存しているかもしれん。(前者の穴がどういうものだったか知らんのでわからんが。)
- 481 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/29 12:01]
- > 古いCGIのバグは、「hiddenパラメータをいじられたら、変なファイルが変なとこに作成される」
direct unix shell command injection vulnerability のこと?
- 482 名前:名無しさん@お腹いっぱい。 [04/01/29 12:07]
- もまえら、ほんまにシャレにならん方の脆弱性を知らんやろ。
それをわからせないように、うやむやにしようとファーストサーバが考えて、沈黙をしてんdろうが、
企業として、これ以上の沈黙がいいわるいか微妙なとこやぞ>しゃちょー
- 483 名前:名無しさん@お腹いっぱい。 [04/01/29 12:09]
- 別に、このスレで何か書けといってるんではないので、為念 > しゃちょー
- 484 名前:名無しさん@お腹いっぱい。 [04/01/29 12:18]
- >別に、このスレで何か書けといってるんではないので
社長はともかくとして社員はたくさん書いてるだろうな(w
- 485 名前:名無しさん@お腹いっぱい。 [04/01/29 12:57]
- 社員が必死なスレはここでつか?
- 486 名前:名無しさん@お腹いっぱい。 [04/01/29 13:13]
- ファーストサーバーの顧問弁護士がインターネット系では有名な弁護士だという噂を聞いたのですが本当なんでしょうか?
- 487 名前:名無しさん@お腹いっぱい。 [04/01/29 17:46]
- >>486
ファーストサーバーって大阪本社だよね?
そこの顧問弁護士でインターネット系というとすごく絞られるよ
その噂の真偽はわからないけどね
- 488 名前:名無しさん@お腹いっぱい。 [04/01/29 18:32]
- >>486
業界の実力者
- 489 名前:名無しさん@お腹いっぱい。 [04/01/29 19:24]
- www.askaccs.ne.jp/
ACCS、キターーーーーーーーー!
- 490 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/30 03:00]
- itpro.nikkeibp.co.jp/free/SI/NEWS/20031112/2/
サーバー業者によれば,今回問題となったCGIプログラムの問題は,最新版では修正されている。
また,問題がある古いバージョンのCGIプログラムは,ASK ACCS以外には稼働していないという。
ASK ACCSのCGIプログラムが最新版に更新されていなかった原因については調査中である。
- 491 名前:名無しさん@お腹いっぱい。 [04/01/30 04:11]
- 【補足】
本文中に「また,問題がある古いバージョンのCGIプログラムは,
ASK ACCS以外には稼働していないという。」とありますが,
これは,サーバー業者が,12日0時30分頃から未明にかけ,
ACCS以外のユーザーが使用している旧バージョンCGIのすべてを,
緊急暫定対策版のCGIに置き換えるという措置を行ったことによります。
ACCSだけ放置しやがったのか(笑
ひでえ会社だな。ここ使っててトラブルに巻き込まれると放置されるのか。
しかも事後になっても何ら釈明や説明も得られない。
ACCSはよくやったよ。著作権はウゼェがACCSの対応そのものはたいしたもんだ。
ファーストサーバはどうするんだろうね(・∀・)ニヤニヤ
- 492 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/31 07:22]
- 巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-=" ぁぁそうでっかそうでっか
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ なるほどね・・・
| ) ヽノ |. ┃`ー-ニ-イ`┃
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━━┛/ \\
/ \ ト ───イ/ ヽヽ
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ ・・・で?
| ) ヽノ |. ┏━━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\
/ \_/\\ ┗━━┛/|\\
/ \ ト ───イ/ ヽヽ
- 493 名前:名無しさん@お腹いっぱい。 mailto:sage [04/01/31 15:55]
- ニュー速
ACCSから漏えいした個人情報が2ちゃんねる上に流出
news4.2ch.net/test/read.cgi/news/1075467010/l50
- 494 名前:名無しさん@お腹いっぱい。 [04/02/02 12:18]
- 公表まだ〜?
- 495 名前:名無しさん@お腹いっぱい。 [04/02/02 12:45]
- 嵐の前の静けさという感じですな。
- 496 名前:名無しさん@お腹いっぱい。 [04/02/04 12:11]
- 逮捕されちゃった・・・
ここだよね?
- 497 名前:名無しさん@お腹いっぱい。 [04/02/04 12:14]
- ああ、ここの件だよ
- 498 名前:名無しさん@お腹いっぱい。 [04/02/04 12:22]
- 逮捕されても
ファースト鯖はまだコメントなし。
うーん
- 499 名前:名無しさん@お腹いっぱい。 [04/02/04 13:24]
- とりあえず、事情聴衆を受けてあらいざらい喋るはずだから、
事実関係がこれで時系列にわかってくるだろう。
そのときにファースト鯖の悪行も芋ズル式に......。
- 500 名前:名無しさん@お腹いっぱい。 [04/02/04 15:20]
- ここだけ、蚊帳の外でつな。みんなACCSのほうに目が行っちゃっている。
本当の悪は、ここにいるのにな(´・ω・`)
- 501 名前:名無しさん@お腹いっぱい。 [04/02/05 10:23]
- >>500
>本当の悪は、ここにいるのにな(´・ω・`)
「本当の悪」って何ですか?
- 502 名前:名無しさん@お腹いっぱい。 [04/02/05 10:40]
- はっぴーはっきんぐで逮捕される時代なんでつね。。。
ォォコゎ
- 503 名前:名無しさん@お腹いっぱい。 [04/02/05 10:54]
- これはハックじゃなくてクラックですよね。
- 504 名前:名無しさん@お腹いっぱい。 [04/02/05 10:55]
- あのウルサイ香具師が急に居なくなったよな(w
逮捕もされたし何か指示あったか?
それとも・・・・・
- 505 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/05 11:04]
- コメントまだー?
- 506 名前:名無しさん@お腹いっぱい。 [04/02/05 11:09]
- 悪意を持たずにセキュリティホールを見つけて自慢しただけだから、はっくだろ。
システムを破壊したわけじゃないし。。。
って、逮捕されたやつは、ファイルを改ざんしたのか?
まあ、はっきんぐというレベルかどうかは、問題点の認識レベルにより意見が分かれるとこだとは思うが。
- 507 名前:名無しさん@お腹いっぱい。 [04/02/05 11:12]
- で、こうなる(ハッカーが逮捕された)と、コメントは出せないやろなぁ。。。
- 508 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/05 11:14]
- システムを破壊しなくても改竄しなくても罪
それが不正アクセス禁止法
- 509 名前:名無しさん@お腹いっぱい。 [04/02/05 11:18]
- ttp://www.asahi.com/national/update/0205/007.html
>さらに協会のサイトに相談を寄せた数人の氏名や住所、相談内容などの個人情報を会場のスクリーンに映し出した。
このことが逮捕理由かな?
- 510 名前:名無しさん@お腹いっぱい。 [04/02/05 11:22]
- >>508
法律がどうとかいっていうるのではなく、ハッカーかクラッカーの定義についてです。
で、ハッカーが逮捕されるってこわい世の中だなと思っただけ。
- 511 名前:名無しさん@お腹いっぱい。 mailto:sage [04/02/05 11:24]
- 今時ハッカーとクラッカーの定義ってあんたw
- 512 名前:名無しさん@お腹いっぱい。 [04/02/05 11:32]
- >>511
ぶひっ
そりゃそうや。
で、ハッカーの集会で「こんな穴みつけたよ」と言ったら逮捕されたわけだ。
怖くない?
個人情報を会場のスクリーンに映し出したのが逮捕理由だとしたら、別の法律のような気がするし。
- 513 名前:名無しさん@お腹いっぱい。 [04/02/05 15:04]
- >>509
それじゃ直接の逮捕理由じゃないだろう。
ファースト鯖が管理しているASKACCSのページから個人データを
抜いたのが不正アクセス法にひっかかるということだろう。
>>510
なんで怖い世の中なの?窃盗と同じ事をしたんだから逮捕されて当たり前
じゃないの?
- 514 名前:名無しさん@お腹いっぱい。 [04/02/05 17:58]
- 朝日新聞社会面の記事(ネット上には出てないようなので)
プログラム開発会社欠陥の詳細、未公表
欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへの移行を顧客に促してきた。
しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。
事件から約3ヶ月がたった今も移行していない顧客がいる。
- 515 名前:名無しさん@お腹いっぱい。 [04/02/05 18:11]
- >>514
続きがあるぞ。
事件から約3ヶ月がたった今も移行していない顧客がいる。
プログラムの欠陥については、経済産業省情報セキュリティ政策室も調査を進めている。
「サイトの安全管理について、プログラムの利用者を含めて指導や注意喚起も検討する」という。
|
 |
