1 :ゴッドファッカーφ ★: 2011/05/02(月) 00:29:33.09

ソニーは2011年5月1日、ネットサービス利用者のアカウント情報などが漏えいした問題について記者会見し、
システムのファイアーウォールが破られていたことを明らかにした。
同社では、認識が甘かったことを認めており、今後、情報管理のあり方が厳しく問われそうだ。

ソニーがプレイステーション向けオンラインサービス「PlayStation Network」と「Qriocity」に対して、
不正アクセスがあったと発表したのは2011年4月27日。
それから4日経って行われた記者会見には、平井一夫ソニー・コンピュータエンタテインメント社長、
長谷島眞時・業務執行役員、神戸司郎・業務執行役員が出席した。


■クレカ暗号化で「不正使用ない」

これまでの経過については、米国で4月19日(日本時間20日)、サーバーに異常な動きを確認したとして、
調査を開始。
翌20日(同21日)には、17日から19日にかけて不正アクセスがあったことがわかった。
そして、ITセキュリティ専門会社に依頼するなどして実態の把握に着手し、27日には「サイバーテロ行為が
行われた」(平井社長)と判断。
個人情報が漏えいした可能性があるとして、web上で報告した。


▼J-CASTニュース [2011/5/ 1 19:56]
http://www.j-cast.com/2011/05/01094635.html
http://www.j-cast.com/2011/05/01094635.html?p=2

▽写真=記者会見に出席した神戸司郎氏、平井一夫社長、長谷島眞時氏(左から、5月1日都内で)
http://www.j-cast.com/images/2011/news94635_pho01.jpg




2 :ゴッドファッカーφ ★: 2011/05/02(月) 00:30:05.09

不正アクセスについては、システムが、ウェブサーバ、アプリケーションサーバ、データベースサーバの3層の
構造になっており、ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、
アプリケーションサーバの脆弱性をついて不正に侵入。
長谷島氏は「かなり巧妙な、高度な技術をもった侵入だったことが徐々にわかってきた」と述べ、米連邦捜査局
(FBI)にも、捜査の依頼をしたことを明かした。

また、27日の発表では、漏えいしたとみられるアカウント情報に住所・氏名、パスワード/オンラインIDのほか、
不正アクセス者がクレジットカード情報(セキュリティコードを除くクレジットカード番号、有効期限に関する
情報)を入手した可能性を「完全に否定することはできない」としていた。

平井社長はこれに対して、クレジットカード登録者は約1000万人いるとしたうえで、「漏えいした証拠はない
(ので可能性があるとしか言えない)が、今のところ不正使用があったという報告は受けていない」。
長谷島氏もクレジットカード情報については「クレジットカード情報は暗号化されているうえ、データベースを
読みにいった形跡がない」と説明した。





3 :ゴッドファッカーφ ★: 2011/05/02(月) 00:30:19.35

■対応の遅れに海外から批判

もっとも、ソニーの情報漏えいについては、判明から発表まで約1週間かかり、対応の遅れに対してとりわけ
海外からの批判が出ていた。

ロイター通信は「日本企業によくみられる経営階層や会議の長さを考えれば、1週間はそんなに遅くはない。
しかし、個人情報が流れた人にとっては、当然のことながら1週間は遅すぎる」とする米テンプル大学教授の
コメントを載せた。
また、米下院エネルギー・商業委員会は4月29日、ソニーに対して、流出の経緯についての説明を求める質問状を
送付している。

発表まで時間を要したことについて、平井社長は「被害が拡大しないようにまずはサービスを停止させた。
その後、調査会社とともに解析する作業に入ったが、(データが)膨大な量で、想定していた以上の時間がかかった。
また顧客に対して、ある程度、確度ができた時点で伝えたかった」と説明。
ただ、26日にソニーは新製品の記者発表会を都内で行っているが、同氏は「26日の段階では(不正アクセスの)
認識はあったが、分析、解析の作業中だった。その段階では、確度のある情報を伝える状態になかった」と語った。

また、情報セキュリティの問題で、業務執行役員の神戸氏は「全世界のセキュリティーチームでさまざまな対策を講じ、
管理体制を行ってきたつもりだったが、もしかしたら向上の余地があったかもしれない。そういう意味で甘かったの
ではと言われれば、認めざるを得ない」と陳謝。
同じ業務執行役員の長谷島氏は今後について、不正アクセスへの対応の仕方を抜本的に見直し、再発を防止すると
弁明に追われた。





6 :名無しさん@十一周年: 2011/05/02(月) 00:31:55.52 ID:rwGs4MU20

ネトゲ界のメルトダウン





9 :名無しさん@十一周年: 2011/05/02(月) 00:33:19.96 ID:tXfqNE1v0

原発の件と併せて、日本政府や企業の隠蔽体質と危機管理体制の甘さを

世界中に強く印象づけてますね。





16 :名無しさん@十一周年: 2011/05/02(月) 00:34:45.26 ID:GZncQY6X0

「かなり巧妙な、高度な技術をもった侵入だったことが徐々にわかってきた」

;select * from userdb;





21 :名無しさん@十一周年: 2011/05/02(月) 00:36:54.74 ID:60kAqJxk0

管理端末とか内部から破られたんじゃないのか・・

正面突破されたとなると厳しいな。。


人ごとに思えない。。





27 :名無しさん@十一周年: 2011/05/02(月) 00:40:26.72 ID:qELMIZ6V0

何があれって会見終了後の

「既知の脆弱性ですか?」

「はい」

ってのが一番あれだよなwww

知ってて放置してたってことだからなwww





28 :名無しさん@十一周年: 2011/05/02(月) 00:41:06.78 ID:Dq0z80lPO

暗号は解かれるものだし

セキュリティは破られるもの

イタチごっこ世界だよ


そういうのを趣味にしてる輩がいるんだから絶対安全なんてない

クレカなんて登録するもんじゃないよ


ソニーはたまたま標的にされて運が悪かっただけで

他の企業でも同じように流出させられるよ





29 :名無しさん@十一周年: 2011/05/02(月) 00:41:31.09 ID:/5hb36SK0

これ穴を指摘されてたんだろ?

なんで企業はそれを知って対策をしようとしないのか理解できんわ。


なんか、構造が日本の原発の推進の論理と似てるな・・・・

絶対安全だから、もしものことを考えることすら許さないっ><





35 :名無しさん@十一周年: 2011/05/02(月) 00:44:06.47 ID:SlRo57Ng0

APサーバクラックされてるなら、

クラッカーの立場なら普通にDBサーバも読みにいってるだろ。

そもそも脆弱性を普通に放置するなよな・・・





38 :名無しさん@十一周年: 2011/05/02(月) 00:44:37.60 ID:pIRDHzUw0

かなり高度で巧妙な既知の脆弱性を付いた攻撃だった





47 :名無しさん@十一周年: 2011/05/02(月) 00:51:27.19 ID:8aeCJcVB0

> データベースを読みにいった形跡がない

何て言ってるけど侵入時のログ消しは基礎中の基礎だし

アクセス権を取られた時点でどうとでもなるわな






51 :名無しさん@十一周年: 2011/05/02(月) 00:52:50.66 ID:wXLnPQxS0

後学のためにどういうシステム構成だったのか

公開してほしいな





54 :名無しさん@十一周年: 2011/05/02(月) 00:54:56.58 ID:fLyoit0t0

>>51

Web <-> WebAp <-> DBだけのシンプルな3層構造ですが・・・

極めて古典的な手で破られているし、あまり参考になる情報はなさそうだけど





62 :名無しさん@十一周年: 2011/05/02(月) 01:01:05.70 ID:1iQn06Tp0

どこに個人情報を保存していたんだろうな


WEB、AP、DBサーバは分離していたみたいだけど、

DMZ内のサーバ上に個人情報を保管していたとかはないよね?

ありがちなのが、DBはDMZにないけどDBから抽出した情報を

一定期間DMZ上に平文で保存しておいたとか


それともまさかまさかのSQLインジェクション??

だとしたらお粗末過ぎる。。。






65 :名無しさん@十一周年: 2011/05/02(月) 01:02:58.29 ID:rNrT5nLH0

>>16

いまどきSQLインジェクションで破られるセキュリティとかねーよw





88 :名無しさん@十一周年: 2011/05/02(月) 01:23:47.05 ID:STen4KAV0

>>65

一般論としてWebのシステムで一番脆弱なのは業務アプリケーション本体。

sqlインジェクションやコマンドインジェクションでやられたというのが

一番ありそうだと思うぞ。





104 :名無しさん@十一周年: 2011/05/02(月) 01:52:09.93 ID:YdO5m+m10

>>65

SQLインジェクション攻撃は増えとるがな。いまどきも何も、

原理的なものを理解している技術者が少ないのだから、いつまでも不滅だよ。





68 :名無しさん@十一周年: 2011/05/02(月) 01:05:51.67 ID:fLyoit0t0

http://www.4gamer.net/games/036/G003636/20110501006/

こっちに資料が載ってるけど、WebAPサーバにツールを配置して

そいつからDBにクエリを投げまくってたっぽいけど。





84 :名無しさん@十一周年: 2011/05/02(月) 01:19:27.54 ID:1iQn06Tp0

ここにはSE&PGがたくさんいるみたいだなw

>>68のサイトを見てきた。

「不正ツールを導入されバックドアを作られた」とかいかにも高度っぽく書いてるけど、

実は単なるSQLインジェクションなんじゃないの?





86 :名無しさん@十一周年: 2011/05/02(月) 01:23:07.59 ID:ADRFreUd0

>>84

それどころか単なるバッファオーバーフローかもしれん。





90 :名無しさん@十一周年: 2011/05/02(月) 01:26:38.15 ID:Jovhg0JM0

>正常なトランザクション中にコマンドを混ぜ込んで

ってやっぱりSQLインジェクションっぽいよな。





110 :名無しさん@十一周年: 2011/05/02(月) 02:02:00.16 ID:Jovhg0JM0

一口にFWと言っても千差万別だからなぁ。

どんな設定になってたのか興味はあるな。





112 :名無しさん@十一周年: 2011/05/02(月) 02:06:33.70 ID:/PbBtY/C0

「甘かった」と言ってる訳だから、設定ゆるゆるにしてたんでしょ

無駄な努力が得意な愉快犯の存在を忘れていたと





125 :名無しさん@十一周年: 2011/05/02(月) 02:47:26.37 ID:q2k+mQgt0

> ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、

> アプリケーションサーバの脆弱性をついて不正に侵入。


いや、それ普通にセキュリティ対策ミスだからw

ファイヤーウォールですべて防げるわけ無いだろ。





164 :名無しさん@十一周年: 2011/05/02(月) 04:25:56.54 ID:dNWQW5TY0

アプリケーションサーバの不具合を突いて侵入って意味が解らないね

外部からの要求が飛んで来るのはまずはWEBサーバだから

WEBサーバが安全だったら情報漏れは無いはずなのだが





165 :名無しさん@十一周年: 2011/05/02(月) 04:35:00.60 ID:yQxOF4f+0

>>164

Webサーバとアプリケーションサーバで要求されるサニタイジングのレベルは異なる。

例えばWebサーバではSQLインジェクションやXSSの一部は素通りで、

APサーバで弾くという動作が普通。

つか今回の脆弱性は恐らくSQLインジェクションだとは思うが。





166 :名無しさん@十一周年: 2011/05/02(月) 04:36:01.80 ID:YdO5m+m10

>>164

アプリケーションサーバが受け取った値をそのままアプリケーションサーバに渡す

Webサーバがあったとしてもそれは普通のことで、言わば「安全」な状態。

けど、その値を元に

・単純な文字列結合でSQL文を組み立てる

・そのままの文字列でコマンドを実行する

・そのままの文字列を実行するor読み込むファイルのパスとして扱う

 (http://で始まる文字列でもそのまま読みに行ったり)

なんてアプリケーションサーバでは問題が生じたりするわけだよ。





170 :名無しさん@十一周年: 2011/05/02(月) 04:41:07.38 ID:ed3WuepY0

APサーバの不具合をついたんじゃなく

APサーバに置かれたウイルスが不具合をついたんだろ?


1.社内PCからAPへ感染

2.APのウイルスがFW内の非武装のDBを漁って外部と通信


じゃねえかな

FW突破して感染するのと、感染サーバがFW経由で通信するのは話が違うわけで・・

「理解不測だったが原因はMS不具合だ」とミスリードさせるのと

「社内PCから感染しました」じゃあ過失割合が違うんじゃねえかなと思うわけで





177 :名無しさん@十一周年: 2011/05/02(月) 04:49:52.50 ID:ed3WuepY0

>>68 ってWEB-FW-AP-FW-DB って図、FW過剰だろ、ねえだろそんなFW配置・・







183 :名無しさん@十一周年: 2011/05/02(月) 04:54:31.23 ID:kMC9uza+0

>>177

そこ俺もすごい気になったけど、

鯖でも一応フィルタリングなり要塞化はしてたのね

って、勝手に読み替えたw





185 :名無しさん@十一周年: 2011/05/02(月) 04:57:43.72 ID:ed3WuepY0

>>183 俺はミスリードの結果だと思う、

FWが間にあるってことは同じエリアにサーバ配置してないってことだろ?

ねえだろ、それとも大企業は普通なのか?

WEBはともかくAPとDBは同じ場所、つか一元管理のが安全だろうと思うわけだが。





193 :名無しさん@十一周年: 2011/05/02(月) 05:12:53.27 ID:3w3M3UMLO

AP鯖の位置がDMZでDB鯖の位置が内部なのかと思ったり

それでもWeb鯖がむき出しなのは判らないんだけども





206 :名無しさん@十一周年: 2011/05/02(月) 06:16:14.51 ID:eLtBVmr50

想定外の通信許してるようじゃロクなFW設定じゃないけど

ユーザー用のダウンロードファイルとかに偽装したのかな

outboundはフリーだったんだろう

IDSついてないの?





226 :名無しさん@十一周年: 2011/05/02(月) 07:38:54.68 ID:NktGDMdsP

ツール置いたりしてるところを見ると、

バッファオーバーフローでExploitコードを仕込むとか、

Qriocityあたりの新しめのWebサービスを狙ったXSSなのでは


「既知の」と言われているところを見ると、かなり前から問題があるのは知っていたのだろう

放置されていたことは、おそらく今後追求されるはず


まあ、今までのSonyプロダクトを見ると、

その辺の意識・技術が高くなさそうなのは容易に想像できるけど





258 :名無しさん@十一周年: 2011/05/02(月) 08:32:34.85 ID:Jovhg0JM0

この図だとまるでDBサーバと直接通信できる状態だった様にも取れるぞ。









261 :名無しさん@十一周年: 2011/05/02(月) 08:41:02.27 ID:S5hLpybv0

>>258

アプリケーションサーバー上の脆弱性をついてネットワーク保守ツールを利用

  ↓

ネットワーク保守ツールで外部からDBサーバの通信経路を確立

  ↓

データベースの管理者パスワードをクラック

  ↓

あとはやりたい放題





269 :名無しさん@十一周年: 2011/05/02(月) 08:50:41.79 ID:9/iBSvqD0

これってソニーのセキュリティーを破る事自体が目的だったのか、

情報が欲しくてセキュリティーを破ったのか、

どちらかによって事情が全然違って来るよね。

前者なら盗んだデータは棄てられた可能性が充分にあるが、

後者なら厄介な事になっちゃうな。





288 :名無しさん@十一周年: 2011/05/02(月) 09:22:45.98 ID:P53Zwj6H0

FBIに協力要請したとか言ってたけど

FBIにはスーパハカーを超えるウルトラハカーでもいるの?


ていうかもし犯人特定出来たとしてもどうにもならねえんじゃねえのこれ?





326 :名無しさん@十一周年: 2011/05/02(月) 11:04:04.66 ID:B/bEjWDJ0

以前にもハッキングされて、その時のハッカーGeohotさんが

あれだけセキュリティーのプロを雇うべきと散々警鐘ならしたのに、

ソニーが実際は雇ったのはハッカーコミュニティを抑え込む弁護士。

忠告を無視したソニーへの見せしめだろうねぇ


スポンサード リンク