【アットウィキ/atwiki】@wikiについて語る Part 11
前スレ>>653から
【何が起こったの?】
@Wikiのサーバーがクラックされた。
現在のところ確定している被害は以下の3つ。公式でも明言されている。
1:各Wiki管理者および登録ユーザーのパスワード(暗号化されてるが比較的簡単に解読可能)とメールアドレスが流出した
2:一部のWikiにリダイレクト(別のサイトに飛ばす処理)をするスクリプトが仕込まれた
3:@wikiの「パスワード再発行ページ」が改竄された
1はパスワードの使い回しをしていなければぶっちゃけ神経質になることじゃない。メルアドを知られることすら嫌なら捨てアド作らなかったお前が悪い。
2はそもそも@Wikiの仕様でページにJavascriptを仕込めること自体に問題があって、クラック以前の問題。見る側もセキュリティはちゃんとしとけ。
一番問題なのは3で、「ユーザー側には弄りようがないファイルを弄られた」ということは、サーバーの管理者権限かそれに近い致命的な権限を奪われたことになる。
そして現在このような状態に対策がなされたのか、今一つはっきりしていない。
クラックそのものの被害と情報流出からの二次被害が混同されたり、サーバーの管理者権限と各Wikiの管理人の権限が混同されたり、
いい加減な知識に基づいた憶測、悪意はあっても証拠はないデマ、運営会社の対応への不信etcによって非常に情報が錯綜している。
【何が問題なの?】
最大のポイントは「@Wikiの対応が信頼しきれず、リスクが推し量れない」という点に尽きる。
そもそもこんなクラックをされること自体が管理のずさんさを物語っているのだが、
こんな重大な問題が起こったのにサービスの一時停止どころか各Wikiトップに告知すらことすらしない運営会社の対応が不信を加速させている。
前述のパスワード再発行ページ改竄のような、サーバーの管理者権限についてきちんと穴が防いだかすら信用できないのが現状。
【何が起こったの?】
@Wikiのサーバーがクラックされた。
現在のところ確定している被害は以下の3つ。公式でも明言されている。
1:各Wiki管理者および登録ユーザーのパスワード(暗号化されてるが比較的簡単に解読可能)とメールアドレスが流出した
2:一部のWikiにリダイレクト(別のサイトに飛ばす処理)をするスクリプトが仕込まれた
3:@wikiの「パスワード再発行ページ」が改竄された
1はパスワードの使い回しをしていなければぶっちゃけ神経質になることじゃない。メルアドを知られることすら嫌なら捨てアド作らなかったお前が悪い。
2はそもそも@Wikiの仕様でページにJavascriptを仕込めること自体に問題があって、クラック以前の問題。見る側もセキュリティはちゃんとしとけ。
一番問題なのは3で、「ユーザー側には弄りようがないファイルを弄られた」ということは、サーバーの管理者権限かそれに近い致命的な権限を奪われたことになる。
そして現在このような状態に対策がなされたのか、今一つはっきりしていない。
クラックそのものの被害と情報流出からの二次被害が混同されたり、サーバーの管理者権限と各Wikiの管理人の権限が混同されたり、
いい加減な知識に基づいた憶測、悪意はあっても証拠はないデマ、運営会社の対応への不信etcによって非常に情報が錯綜している。
【何が問題なの?】
最大のポイントは「@Wikiの対応が信頼しきれず、リスクが推し量れない」という点に尽きる。
そもそもこんなクラックをされること自体が管理のずさんさを物語っているのだが、
こんな重大な問題が起こったのにサービスの一時停止どころか各Wikiトップに告知すらことすらしない運営会社の対応が不信を加速させている。
前述のパスワード再発行ページ改竄のような、サーバーの管理者権限についてきちんと穴が防いだかすら信用できないのが現状。
|
|
|
5 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:22:40.84
【アクセスしちゃったけど大丈夫?】
そもそもウイルス感染とJavascriptのスクリプトによる攻撃とではかなり深刻さが違う。
後者でも危険なサイトにリダイレクトされる可能性はあるが、それでもきちんとしたセキュリティ対策(Flashなどのアップデートetc)をしていればリスクは低い。
Javascript利用で他サービスのアカウント情報を盗み出すような手法もないではないが、真っ当なサイト(この場合は「他のサービス」の方が)なら対策済み。
閲覧だけでウイルスに感染、というのは絶対にありえないとは言えないという程度。
別途「アクセスしただけでウイルスに感染する脆弱性」を突かなければいけないからだ。@Wikiを乗っ取ろうが自前のスペースだろうがこの点は変わらない。
可能性で論ずるならネット自体危ない。
不審なファイルをDLしたり実行したりするなら別だが。
過去には実際「閲覧するだけで感染する」ウイルスが猛威を振るったことはあるが、新たに見つかればそのウイルス単体で大騒ぎになるレベルの大事。
ちょうど同時期に「画像にウイルスを仕込む」という話題も出てきたが、これも画像を見るだけでアウトというようなものではない。
他の攻撃手段と組み合わせて使うか、単体なら精々アンチウイルスソフトが仕込んだコードを検知して騒ぐ程度。
いずれも別に@Wikiに限ったリスクではない。スクリプトによる被害との混同、出来る可能性と実現性の混同が大きい。
そのレベルのヤバイ脆弱性を密かに見つけていたスーパーハカーが便乗犯の中に紛れ、@Wiki乗っ取りを利用して被害を拡大させようとしているというなら話は別だが。
【攻撃の踏み台にされたら逮捕されちゃう!?】
Javascriptによる攻撃も前述のように効果が限定的で、かつブラウザにソースを送らなきゃならないから分かる人にはすぐバレる。
PHP側に攻撃スクリプトを仕込まれたとした場合でも、これで踏み台にされるのは「@Wikiのサーバー」そのもの。
「誤認逮捕」されるとしてもサーバーの運営側。 これを誤認と言っていいのか微妙だが。
【@WikiでWiki借りてたんだけど大丈夫?】
被害そのものよりも、管理のずさんさを露呈したことがヤバイ。今後のリスク的にも風評的にも乗り換え推奨。
今退会処理してもいいかとは思われるが、どうしても不安ならしばらく放置してから退会すべし。
そもそもウイルス感染とJavascriptのスクリプトによる攻撃とではかなり深刻さが違う。
後者でも危険なサイトにリダイレクトされる可能性はあるが、それでもきちんとしたセキュリティ対策(Flashなどのアップデートetc)をしていればリスクは低い。
Javascript利用で他サービスのアカウント情報を盗み出すような手法もないではないが、真っ当なサイト(この場合は「他のサービス」の方が)なら対策済み。
閲覧だけでウイルスに感染、というのは絶対にありえないとは言えないという程度。
別途「アクセスしただけでウイルスに感染する脆弱性」を突かなければいけないからだ。@Wikiを乗っ取ろうが自前のスペースだろうがこの点は変わらない。
可能性で論ずるならネット自体危ない。
不審なファイルをDLしたり実行したりするなら別だが。
過去には実際「閲覧するだけで感染する」ウイルスが猛威を振るったことはあるが、新たに見つかればそのウイルス単体で大騒ぎになるレベルの大事。
ちょうど同時期に「画像にウイルスを仕込む」という話題も出てきたが、これも画像を見るだけでアウトというようなものではない。
他の攻撃手段と組み合わせて使うか、単体なら精々アンチウイルスソフトが仕込んだコードを検知して騒ぐ程度。
いずれも別に@Wikiに限ったリスクではない。スクリプトによる被害との混同、出来る可能性と実現性の混同が大きい。
そのレベルのヤバイ脆弱性を密かに見つけていたスーパーハカーが便乗犯の中に紛れ、@Wiki乗っ取りを利用して被害を拡大させようとしているというなら話は別だが。
【攻撃の踏み台にされたら逮捕されちゃう!?】
Javascriptによる攻撃も前述のように効果が限定的で、かつブラウザにソースを送らなきゃならないから分かる人にはすぐバレる。
PHP側に攻撃スクリプトを仕込まれたとした場合でも、これで踏み台にされるのは「@Wikiのサーバー」そのもの。
「誤認逮捕」されるとしてもサーバーの運営側。 これを誤認と言っていいのか微妙だが。
【@WikiでWiki借りてたんだけど大丈夫?】
被害そのものよりも、管理のずさんさを露呈したことがヤバイ。今後のリスク的にも風評的にも乗り換え推奨。
今退会処理してもいいかとは思われるが、どうしても不安ならしばらく放置してから退会すべし。
6 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:22:49.89
ツイッター見てると短縮URLはやめろってあるけど、
そもそも@wikiに誘導すんなって話だと思うんだが。
そもそも@wikiに誘導すんなって話だと思うんだが。
7 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:23:57.81
大丈夫だと思うなら@wikiを閲覧してもいいし
怪しいと思うなら閲覧しなくてもいい
怪しいと思うなら閲覧しなくてもいい
8 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:25:23.82
ただし何か起きた時は完全に自己責任
ってところだな
ってところだな
9 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:25:30.22
@wiki見て感染するような奴はよそのサイトでも感染するだろ。
ウィルススキャナ入れとけよ。
ウィルススキャナ入れとけよ。
10 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:26:22.47
ウイルススキャナって何?
11 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:27:40.62
みんなはセキュリティソフトは何つかってるの?
@wiki踏んでウイルススキャンかけてウイルス報告出た人いる?
@wiki踏んでウイルススキャンかけてウイルス報告出た人いる?
12 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:29:34.79
13 :名無しさん@お腹いっぱい。:2014/03/11(火) 14:31:14.15
これまでに判明したことのまとめ
・漏洩の対象サーバー
バックドアが仕掛けられてたのはwww1〜www58のすべて
漏洩した可能性は大いにある
・漏洩したものは(1)システム全体に関するSQLと(2)個別ウィキに関するSQLに分かれていた
(1)匿名でアップされていたSQLはシステム全体に関する前者
全ウィキの管理者のメールアドレス、パスワードMD5、登録時のIPアドレスなど
(2)個別ウィキに関するSQLはウィキ数ぶん存在した
そのウィキの編集者のメールアドレス、パスワードMD5、ウィキの過去の版と編集時のIPアドレスなど
個別は数が多いのですべてダウンロードするのは難しいが漏洩した可能性はゼロではない
・漏洩の対象サーバー
バックドアが仕掛けられてたのはwww1〜www58のすべて
漏洩した可能性は大いにある
・漏洩したものは(1)システム全体に関するSQLと(2)個別ウィキに関するSQLに分かれていた
(1)匿名でアップされていたSQLはシステム全体に関する前者
全ウィキの管理者のメールアドレス、パスワードMD5、登録時のIPアドレスなど
(2)個別ウィキに関するSQLはウィキ数ぶん存在した
そのウィキの編集者のメールアドレス、パスワードMD5、ウィキの過去の版と編集時のIPアドレスなど
個別は数が多いのですべてダウンロードするのは難しいが漏洩した可能性はゼロではない