編集部はご難続き SCAN編集部騒動記(1)
======================================================================
特集
特集
編集部はご難続き SCAN編集部騒動記(1)
− もちろん、本稿の内容はすべて架空のものです。お間違えなきよう −
======================================================================
●SCANの情報公開原則
ご存じない方も多いと思うが、当編集部には情報公開原則というものが存在する。これはネット上でも公開されているだけでなく、毎号マガジンの末尾にURLも記載されている。
「改ざん情報」とか「セキュリティホール情報」など、そのまますぐに公開するとヤバイ情報についても公開基準を掲載したものである。
編集部は基本的にこの原則にのっとってヤバイ情報の掲載判断を行っている。
しかしながら、この原則はスポンサー企業からお金をいただいている企業とは思えないような内容になっているため、さまざまな問題をまきおこすことがある。
●サイバーノーガード戦法のレンタルサーバ管理ツール群 幻の連載企画
突然であるが、レンタルサーバはまだまだ注意が必要である。
おそらく比較的ちゃんと管理されているOCNサーバ群も弊社が毎年調査を実施するたびに、いろいろ見つかってしまったりする。
OCNレンタルサーバサービスに情報漏洩など複数のセキュリティ問題
(2003.5.26)
http://old.netsecurity.ne.jp/article/1/9999.html
もちろん、OCNはかなりちゃんと管理をしていると思う。
他の事業者は、「問題」じゃなくてしゃれにならない「事件」になってしまうことも少なくない。
編集部では、一時期、こうしたレンタルサーバのセキュリティ実態を調査するために、実際にレンタルサーバを契約し、利用者としてその内容を確認する試みを行おうとした。、
いわゆる「レンタルサーバ・クラッキング」のテストである。
レンタルサーバ・クラッキング脆弱性のもつ2つの危険性(2002.5.8)
https://www.netsecurity.ne.jp/article/1/5044.html
ところがこの試みはなんと最初のテストの段階で大きくつまづくことになってしまった。
テストとライティングをお願いしたA氏が、レンタルサーバ管理ツールに対して、初歩の初歩、それこそ企業サイトで「co.jp」のあとに「co.jp/data.csv」とつけてみるようなことをしてみたら、別世界が広がってしまったのである。「co.jp/data.csv」と入れたら個人情報が画面いっぱいに表示されたようなものである。
もちろん、これはある種の人々にとっては桃源郷=パラダイスであるが、まっとうな感覚をもつ我々には地獄の入り口のようなものである。しかもごていねいに、A氏はほんとにパラダイスかどうかをさらに試してしまった。
その後の展開は賢明な読者の方にはおわかりと思うが、ひたすら謝る、お詫びする繰り返し。
A氏は当初、あそこまで脆弱なサービスを提供している方が悪いと主張していたが、編集部から「最後まで主張するのであれば、我々もやります。でも、刑事裁判をやる覚悟はあるんですか?」といったら、あっさりひいてしまった。
これぞまさしくサイバーノーガード戦法である。しかも、最初のテスト対象は大手であり、セキュリティにも一定の対策を施してると期待していたのである。編集部の予定では、最初は、あまり深刻ではない問題をとりあげて、じょじょにディープな話に展開しようと思っていたのだが、最初から思いっきりディープな展開となり、とても怖くてこの後のヤバそうなレンタルサーバ業者さんの管理ツールなどいじれない状況になった。
結局、編集部はこの連載企画を断念せざるを得なかった。すでに、個人名で10を超えるレンタルサーバ事業者と契約していたのに・・・
サーバ管理者、経営者に朗報! 安価で安全な新方法論
サイバーノーガード戦法!(2004.2.5)
http://old.netsecurity.ne.jp/article/1/12226.html
サイバーノーガード戦法は寓話ではなく、実際に編集部の身近なところで日々起きているのであった。
●「当社のWEBサーバのIPは非公開となっています」
とはいっても編集部はいろいろなみなさんからいろいろなご意見、お問い合わせをいただいているので、なまじっかなことでは驚かない。
しかし、これはびっくりということもたまにはある。
ISMS取得やISO取得をウリ文句にしている某SI会社さんに、とある事象の検証のため、取材依頼をしたところ、下記のように断られてしまった。
「当社のWEBサーバのIPは非公開となっています」
いや、それは確かにうちはIPアドレスを特定して、問い合わせをしましたよ。しましたけど、IPは非公開だから答えられないって、どういうふうに理解すればいいのだろう???
だって、実際、そのIPアドレスをうちこめばWEBは表示されるわけだし、そのWEBはどこからどうみても御社のものだし、さらにいうなら、DNSには間違いなくIPとホストが登録されているわけだし・・・
問題のIPアドレスを知りたい方は編集部まで・・・?
関連情報
能力のないサーバ管理者
サーバモンキーはネットセキュリティの危険因子(2001.10.23)
http://old.netsecurity.ne.jp/article/1/3097.html
●「そちらから攻撃を受けました」 PrisonMEMO 秘話
SCAN編集部には検証用のツールとして自前の「PrisonMEMO」というソフトがある。
PrisonMEMO
http://sw.vector.co.jp/swreg/detail.info?srno=SR038449&site=vg
これはいわゆるプロファイリングツールで簡単な情報収集を効率的に行ってくれる。traceroute、ポートスキャン(数種類)、DNS検索、WHOIS検索、PTR検索、NETBIOS検索、不正中継チェックなどなど。IPアドレスあるいはホスト名を入れるだけで必要とする情報収集を実施してくれる。
大変便利な反面、使い方を誤ると面倒なことも起きる。フルコンタクトのポートスキャンなどをそれなりに防御体制のあるところにかけたりすると深刻なクレームになりかねない。
このツールはもともとは記事の検証用に使う予定だったが、思いのほか便利なので、一般公開している。いろいろ便利な使い方があるので、おためしいただきたい。
自分の利用しているサーバの状況を確認する方法(2002.7.2)
http://old.netsecurity.ne.jp/article/1/5767.html
自分の利用しているサーバの状況を確認する方法 不正中継確認(2002.8.5) http://old.netsecurity.ne.jp/article/1/6212.html
「PrisonMEMO Pro」リリース前のテストで他の部門の営業がためしに使ってみたところ、すぐに電話がかかってきた。不正中継チェックがオンになっていたため、調査対象のメールサーバに対して10以上のテストを実施してしまったのだ。しかも、ごていねいに「試験メールの送信」機能まで実施しようとしてしまったらしい。テストから電話がかかってくるまで、わずか10分間。世の中には防御の固い会社もあったものである。セキュリティベンダではない普通の企業のシステム部の方である。これには編集部一同、かなり驚いた。
もちろん、これはこちらが悪いのでとりあえず平謝り。
世の中には不正中継テストを行っても全く気がつかない団体もあるというのに・・・
財団法人データ通信協会のメールサーバ不正中継問題(2002.8.6)
http://old.netsecurity.ne.jp/article/1/6229.html
財団法人日本産業協会のメールサーバ不正中継問題(2002.8.6)
http://old.netsecurity.ne.jp/article/1/6230.html
関連記事
TraceList の手順(1)(2003.1.31)
http://old.netsecurity.ne.jp/article/1/8295.html
TraceList の手順(2)(2003.1.24)
http://old.netsecurity.ne.jp/article/1/8397.html
TraceList の手順(3)(2003.1.31)
http://old.netsecurity.ne.jp/article/1/8494.html
●「あいつらがやったに決まってる!」某省庁担当の方が吠えた日
ところで、編集部にはさまざまな問い合わせが来る。
セキュリティホールの報告から事故、事件の情報などなど。
ある時、某省庁のセキュリティ関連の監督業務の委託を受けている団体のサーバにセキュリティ上問題のある設定がなされていることを指摘するメールが舞い込んできた。
さっそく編集部で調査、検証を行ったところ、実際にその問題は存在していた。そこで、情報公開原則にのっとって問題の指摘と今後「情報公開原則」にのっとって公開を行う旨、連絡した。なんだかんだあって、対処は完了し、無事に問題は解決したのであるが・・・
後日、某通信社の記者の方がこの問題の追跡記事を書こうとして、当該外郭団体に取材を申し入れたところ、監督官庁の担当者からものすごい勢いの電話が来たそうである。
「あいつらがやったに決まってる!」
善意で問題を指摘しただけの編集部がその問題の設定をついた攻撃を行ったりしていたという濡れ衣である。
ちなみに、この外郭団体のシステムは某大手ベンダが構築していたのだが、あとで聞いた話しでは編集部からの侵入の足跡を発見しようと相当やっきになって調べていたらしい。
そんな時間があるなら、最初からちゃんと設定しておけばいいのにと思うのだが、まあ、八つ当たりでもしないとやっていられない役人根性というものを垣間見た思いがした。
蛇足であるが、大手ベンダにたまたま知人がいたのでこの一件について意見を聞いてみた。
「社内では問題視しているようですが、自分としては外部の方からこうした指摘をもらうのは、むしろありがたいと思ったほうがいいといっています。」
なんてえらいんだろう。こんなリベラルな意見の持ち主が、官僚より官僚的といわれるあの会社にいたとは!
と思ったら、ひとことおまけがついた。
「でも、記事にする必要はないと思いました。当事者への連絡だけしてくれるなら、ほんとにありがたいと思いますよ。」
======================================================================
●支援金募集中! 1,500円で NetSecurityを応援しよう! 支援特典あり!
───────────────────────────────────
http://shop.ns-research.jp/3/12/1183.html
======================================================================
ネットアンドセキュリティ総研株式会社 Scan編集部は、その運営するセキュリティ情報サイトNetSecurityにおいて、同サイト運用のためのカンパを広く利用者から募ることとなりました。
NetSecurity 1日のはページビューが12万PVとセキュリティ専門情報サイトとしては国内トップクラスの利用者を誇っています。しかし、ベンダや企業サイトに批判的な記事が多いことで知られる SCAN 系の WEB サイトであるため広告収入もなく、運用費用が完全な持ち出しとなっています。同じ SCAN 系媒体の多くは有料サービス化していますが、 NetSecurity は有料化を実施せずに運営を続けてきました。
この企画は無料での運営を維持するための試みのひとつとして、心ある利用者からの支援金を募るというものです。
支援金を支払った利用者が希望すると好みの文言(企業名やサイト名など)とリンクを同サイト上に掲載してもらえることができます。
支援金は「がんばれ NetSecurity!」(一口 1,500円/半年間)と「がんばれ! NetSecurity! ゴールド」(一口 10,000円/半年)の2種類。支払い方法はクレジット決済のみとなっています。
「がんばれ! NetSecurity !」申込サイト
http://shop.ns-research.jp/3/12/1183.html
======================================================================
《ScanNetSecurity》