ソニーの情報漏洩に悪用されたSQLインジェクション
1 :名無しさん必死だな:
ttp://pc.nikkeibp.co.jp/article/column/20110530/1032065/?f=ranking
SQLインジェクションとは、ユーザーの要求に応じてデータベースと連携してWebページを表示させるためのWebアプリに潜む
脆弱性を突く攻撃手法で、ユーザーが入力したデータを信じてそのまま使ってしまうことで裏側にあるデータベースに不正な
要求が送られてしまうというものです。注意を怠っていて、不正な要求に応えないプログラミング、設計、構造にしていないのが
原因です。SQLインジェクションという攻撃手法は昔から広く知られていて、これまでに起こったクレジットカードや個人情報の
流出の多くに使われたのが、SQLインジェクションでした。SQLインジェクションを防ぐためには、悪いハッカーが送り込む不正な
要求に応えないようにすればいいのです。
SQLインジェクション以外にもいくつか既に知られた攻撃手法があるのですが、セキュリティ対策に取り組んでいる企業の
Webサイトではそれらの対策は当たり前のこととして行われています。多くのサイトでWeb脆弱性がないかどうかを調べる
脆弱性検査サービスを受けることも一般的なこととして行われています。
SQLインジェクションとは、ユーザーの要求に応じてデータベースと連携してWebページを表示させるためのWebアプリに潜む
脆弱性を突く攻撃手法で、ユーザーが入力したデータを信じてそのまま使ってしまうことで裏側にあるデータベースに不正な
要求が送られてしまうというものです。注意を怠っていて、不正な要求に応えないプログラミング、設計、構造にしていないのが
原因です。SQLインジェクションという攻撃手法は昔から広く知られていて、これまでに起こったクレジットカードや個人情報の
流出の多くに使われたのが、SQLインジェクションでした。SQLインジェクションを防ぐためには、悪いハッカーが送り込む不正な
要求に応えないようにすればいいのです。
SQLインジェクション以外にもいくつか既に知られた攻撃手法があるのですが、セキュリティ対策に取り組んでいる企業の
Webサイトではそれらの対策は当たり前のこととして行われています。多くのサイトでWeb脆弱性がないかどうかを調べる
脆弱性検査サービスを受けることも一般的なこととして行われています。
|
|
|
私の知る限り、これまでにSQLインジェクションで攻撃を受けてしまった多くのWebサイトでは、検査もセキュアな開発も
行われていませんでした。そして、しっかりと検査を受けたり、セキュアな開発に努めていたりしていれば、被害に遭う
ケースはほとんどありません。
私の経験から推測すると、被害に遭ったソニー関連のWebサイトではこれらの基本的な対策が採られていなかった
可能性があります。ハッカーに狙われたらどんなWebサイトでも陥落すると言われることも多いのですが、SQLインジェクション
などの旧知の攻撃手法は高度な攻撃手法ではありませんし、基本的な対策手法は広く知られているのです。
発表にあったように既知の脆弱性が原因だとすれば、その脆弱性だけの対策をするだけでは、そのレベルの攻撃の対
策にしかなりません。さらに高度な攻撃が行われた場合には、再度侵入を許すかもしれないのです。報道によると
再発防止のために様々なセキュリティ対策を施したということですが、現実にはグループ企業のWebサイトが次々と
被害に遭っています。
行われていませんでした。そして、しっかりと検査を受けたり、セキュアな開発に努めていたりしていれば、被害に遭う
ケースはほとんどありません。
私の経験から推測すると、被害に遭ったソニー関連のWebサイトではこれらの基本的な対策が採られていなかった
可能性があります。ハッカーに狙われたらどんなWebサイトでも陥落すると言われることも多いのですが、SQLインジェクション
などの旧知の攻撃手法は高度な攻撃手法ではありませんし、基本的な対策手法は広く知られているのです。
発表にあったように既知の脆弱性が原因だとすれば、その脆弱性だけの対策をするだけでは、そのレベルの攻撃の対
策にしかなりません。さらに高度な攻撃が行われた場合には、再度侵入を許すかもしれないのです。報道によると
再発防止のために様々なセキュリティ対策を施したということですが、現実にはグループ企業のWebサイトが次々と
被害に遭っています。
要するに、ウイルス対策ソフト入れてなかったレベル
古典的すぎて泣ける
個人運営サイトかよ
もうやだこの会社・・・
7 :名無しさん必死だな:2011/05/31(火) 07:39:28.64 ID:4RKfaldu0
セキュリティだけじゃなくて、事実、
ソニー製品ってこういう感じで作られているんだけどけどね
タイマータイマーって言ってるけど、タイマーじゃないんだな、本当にヤワなんだよ
ソニー製品ってこういう感じで作られているんだけどけどね
タイマータイマーって言ってるけど、タイマーじゃないんだな、本当にヤワなんだよ
あるぇー、超高レベルハッカーの仕業って平井さんがー
インジェクションなんてWebアプリ側でサニタイジングで防ぐのは当然として
DB側でWebアプリに最低限の権限しか与えないという
至極まっとうな事をしてれば、漏れる情報なんて高が知れているはずなんだが。
つーかWebアプリ開発者なんて真っ当なスキル期待できないのだから
何にも考えずに使えるview以外使えないようにしておけばいい。
DB側でWebアプリに最低限の権限しか与えないという
至極まっとうな事をしてれば、漏れる情報なんて高が知れているはずなんだが。
つーかWebアプリ開発者なんて真っ当なスキル期待できないのだから
何にも考えずに使えるview以外使えないようにしておけばいい。
10 :名無しさん必死だな:2011/05/31(火) 07:53:24.44 ID:oPfsjlXK0
SQLインジェクションなんて数年前にやばいとう話題が出てたのにね
ついでにOSに対するインジェクション攻撃もあったのではと言われている
ついでにOSに対するインジェクション攻撃もあったのではと言われている
>私の経験から推測すると、被害に遭ったソニー関連のWebサイトではこれらの基本的な対策が採られていなかった
>可能性があります。
可能性どころじゃないだろw グループでだだ漏れだわ責任者もいねえわで100%取ってないなかったと断言できるレベル
>可能性があります。
可能性どころじゃないだろw グループでだだ漏れだわ責任者もいねえわで100%取ってないなかったと断言できるレベル
>>3
ドアに鍵があっても住人にお願いしたら家の外まで大切なもの持ってきてくれるレベルね。保険証とか印鑑とか。
ドアに鍵があっても住人にお願いしたら家の外まで大切なもの持ってきてくれるレベルね。保険証とか印鑑とか。
ちなみにソニーの一発目の言い訳は、一方通行の出入口が弱かったってやつで、つじつまが合わなかった。
こんな感じだな
ログインID:'; select * from syscat.tables where 1=1 or ''='
ログインID:'; select * from syscat.tables where 1=1 or ''='
もしくは単純に
ユーザーID:' or 1=1 or '' ='
みたいな文字を入力
で、実行時に
Select count(*) from 認証テーブル where ユーザーID = '' or 1=1 or ''='' and パスワード='ハッシュ値'
となって、誰かわからないけど一件目のユーザーでログインできちゃうとか
ユーザーID:' or 1=1 or '' ='
みたいな文字を入力
で、実行時に
Select count(*) from 認証テーブル where ユーザーID = '' or 1=1 or ''='' and パスワード='ハッシュ値'
となって、誰かわからないけど一件目のユーザーでログインできちゃうとか
結局のところこれってサーバーのOS作ったところが手抜きをしたんだろ
ソニーの責任じゃ無いじゃん
ソニーの責任じゃ無いじゃん
http://www.meti.go.jp/press/2011/05/20110527005/20110527005.pdf
2.指導の背景
SCEからの報告徴収の結果、以下の3点より、SCEから米国法人Sony
Network Entertainment International LLC(以下、SNEI)への個人情
報の管理委託において、個人情報保護法第22条に定める「委託を受けた者
に対する必要かつ適切な監督」が行われていなかったと判断しました。
@ 委託先のSNEIにはCIOなどの情報セキュリティに関する専門的
な責任者がおらず、また、異常発生時における報告連絡体制に係る規程等
の整備がされていないなど、組織的安全管理体制に不備があったこと。
A SNEIにおいては、ネットワークの利用をビジネスの中心とし、かつ、
7,700万件もの個人情報を保持していながら、公知の脆弱性について
自社で確認する体制が整えられておらず、技術的安全管理体制に不備があ
ったこと。
B SCEとSNEIとの間には、安全管理措置を遵守させるために必要な
委託契約が締結されていないなど、個人情報の取扱状況を直接かつ適切に
監督する体制が整えられていなかったこと。
その
2.指導の背景
SCEからの報告徴収の結果、以下の3点より、SCEから米国法人Sony
Network Entertainment International LLC(以下、SNEI)への個人情
報の管理委託において、個人情報保護法第22条に定める「委託を受けた者
に対する必要かつ適切な監督」が行われていなかったと判断しました。
@ 委託先のSNEIにはCIOなどの情報セキュリティに関する専門的
な責任者がおらず、また、異常発生時における報告連絡体制に係る規程等
の整備がされていないなど、組織的安全管理体制に不備があったこと。
A SNEIにおいては、ネットワークの利用をビジネスの中心とし、かつ、
7,700万件もの個人情報を保持していながら、公知の脆弱性について
自社で確認する体制が整えられておらず、技術的安全管理体制に不備があ
ったこと。
B SCEとSNEIとの間には、安全管理措置を遵守させるために必要な
委託契約が締結されていないなど、個人情報の取扱状況を直接かつ適切に
監督する体制が整えられていなかったこと。
その
こういうのって普通リリース前に
LACとかSCSとかのやってるセキュリティ検査かけるね。
金をケチるとロクなことにならんぜ
LACとかSCSとかのやってるセキュリティ検査かけるね。
金をケチるとロクなことにならんぜ
と言うかSQLインジェクションの対策って初歩の初歩じゃないのか
>>22
阿呆かw
阿呆かw
26 : 忍法帖【Lv=2,xxxPT】 :2011/05/31(火) 14:14:14.88 ID:OjPzpQOOP
サーバー構築者はチカニシ
OSはVAIOだから関係無い
28 :名無しさん必死だな:2011/05/31(火) 19:51:40.84 ID:S6MqgQ9+0
鯖本体はウォークマンだしな
29 :名無しさん必死だな:2011/05/31(火) 20:05:05.36 ID:JzWUMqTIO
保存媒体はカセットテープで
ベータか
31 :名無しさん必死だな:2011/05/31(火) 20:24:02.29 ID:V1VH4VyO0
事務所の鍵を古い鍵にしてたらピッキングにあったでござる
対応でてんやわんやしてたら他の事務所もピッキングされたでござる
対応でてんやわんやしてたら他の事務所もピッキングされたでござる
32 :名無しさん必死だな:2011/05/31(火) 20:31:50.93 ID:HZw4AC580
会社の金庫の鍵が10年前に雑貨屋で買ってきた南京錠だった
こんなレベル
こんなレベル
33 :名無しさん必死だな:2011/05/31(火) 20:33:08.38 ID:S6MqgQ9+0
FWもなければSQLインジェクションも通るんだからピッキングというほど高度なものじゃねーだろ
鍵の代わりに針金で縛っておいたらペンチでちょん切られたって程度
鍵の代わりに針金で縛っておいたらペンチでちょん切られたって程度
34 :名無しさん必死だな:2011/05/31(火) 20:50:21.26 ID:Xli5TjdjO
オラ、低スキルでよくわかんねんだけんど
普通、webから電文送られたら
その値は一切信用しないで
パラメータ整合性チェックかけるんじゃないんだべか?
普通、webから電文送られたら
その値は一切信用しないで
パラメータ整合性チェックかけるんじゃないんだべか?
35 :名無しさん必死だな:2011/05/31(火) 20:52:16.47 ID:Imjpd1K8O
>>33
ほうきでつっかい棒かなんかしてただけじゃね?
ほうきでつっかい棒かなんかしてただけじゃね?
38 :名無しさん必死だな:2011/05/31(火) 22:34:00.21 ID:Ny3gxWTB0
SQLインジェクション攻撃の被害に:米国版プレステサイトに不正コード混入(2008年07月03日)
米国版プレイステーションサイトに不正コードが仕掛けられていたとSophosが報告。
ttp://www.itmedia.co.jp/news/articles/0807/03/news033.html
>ソニーには通報済みだが、Sophosがこの情報を公開した時点でまだ不正コードは削除されていなかったと伝えている。
米国版プレイステーションサイトに不正コードが仕掛けられていたとSophosが報告。
ttp://www.itmedia.co.jp/news/articles/0807/03/news033.html
>ソニーには通報済みだが、Sophosがこの情報を公開した時点でまだ不正コードは削除されていなかったと伝えている。
39 :名無しさん必死だな:2011/05/31(火) 22:45:22.21 ID:2B6veOIl0
ほんとチョニーは楽しませてくれる企業だぜw
DBにあったすべての情報物故抜かれるっつーのがわらかしてくれる
41 :名無しさん必死だな:2011/05/31(火) 23:47:05.68 ID:3cz7ZTEb0
攻撃してる輩は別問題として
これがソニーの実態なら擁護しようがない
これがソニーの実態なら擁護しようがない
こんな高度な手法を使うとは・・
43 :名無しさん必死だな:2011/05/31(火) 23:59:46.98 ID:fw3sKGPSO
要約するか…
ソニーはザル
ソニーはザル
44 :名無しさん必死だな:2011/06/01(水) 02:03:03.60 ID:6OFQMOq50
いやいや
ソニーはサル
ソニーはサル
サルでも使えるワンクリックネットショップ作成ソフトでも
SQLインジェクション対策程度は当然されている
SQLインジェクション対策程度は当然されている
>>44
つまりアンソニーが作ったということか
つまりアンソニーが作ったということか
>>46
セガールに作らせておけばこんな事には……
セガールに作らせておけばこんな事には……
48 : 忍法帖【Lv=3,xxxP】 :2011/06/01(水) 18:50:40.71 ID:EGPZz5RTP
サルセキュリティー
49 :名無しさん必死だな:2011/06/01(水) 20:18:34.28 ID:6OFQMOq50
>>44-45
懐かしすぎるだろw
懐かしすぎるだろw
50 :名無しさん必死だな:2011/06/01(水) 20:46:23.01 ID:NmT+x50fO
猿はともかくw
その辺の中坊でも出来そうだな
その辺の中坊でも出来そうだな
51 :名無しさん必死だな:2011/06/01(水) 21:03:38.21 ID:1wryJSi3O
学校のセキュリティ講習でも習えるレベルの技術であの有り様って…クソニはアホかwwwww
「個人情報取ってきて、対象のIDは[????]」という処理があって、
「個人情報取ってきて、対象のIDは[ゴキブリ]」とか代入してやると
ゴキブリの個人情報を取ってくるのが通常の流れ
ここで「個人情報取ってきて、対象のIDは[ゼンブゼンブ]」とやると
「わかった全部取ってくる!」となっちゃうのがSQLインジェクション
本来は「ゼンブゼンブさんは居ませんね」と返すのが正しい
「個人情報取ってきて、対象のIDは[ゴキブリ]」とか代入してやると
ゴキブリの個人情報を取ってくるのが通常の流れ
ここで「個人情報取ってきて、対象のIDは[ゼンブゼンブ]」とやると
「わかった全部取ってくる!」となっちゃうのがSQLインジェクション
本来は「ゼンブゼンブさんは居ませんね」と返すのが正しい
53 :名無しさん必死だな:2011/06/03(金) 01:31:29.44 ID:Ije+2NEQ0
まさかSQLインジェクションなんて原始人の石斧攻撃みたいな方法で突破されるとは
いまどき、部署内で使う簡単なシステムですらサニタイジングぐらいするよね
例え悪意がなくとも予想外のオペミスがあるから
例え悪意がなくとも予想外のオペミスがあるから
55 :名無しさん必死だな:2011/06/03(金) 02:28:37.89 ID:GU1/nYKbO
大学のサークルだって個人情報データベースにするときはこれくらい対策するぞ……
責任者出て来い!
出て来い・・・
出て来い・・・
もう笑えねえよ
引くわ・・・
引くわ・・・
>>56
いません
いません
59 :名無しさん必死だな:2011/06/03(金) 06:36:46.08 ID:3YrsYGSTO
良かった
責任を取る人はいなかったんだ(棒
責任を取る人はいなかったんだ(棒
60 :名無しさん必死だな:2011/06/03(金) 13:29:41.12 ID:D796bXUO0
でも責任は消えてなくなりませんからー残念!
【ネット】ソニーのネットワークに新たな侵入か、ハッカーグループが表明[11/06/03]
http://toki.2ch.net/test/read.cgi/bizplus/1307056874/
http://toki.2ch.net/test/read.cgi/bizplus/1307056874/
62 :名無しさん必死だな:2011/06/03(金) 17:13:52.23 ID:OSZ3VQu40
ぽぽぽぽーん
63 :名無しさん必死だな:2011/06/03(金) 17:17:44.58 ID:b3biX9a00
要するにソニーグループ全体で
幼稚園なみのセキュリティしかやってないってこった
幼稚園なみのセキュリティしかやってないってこった
64 :名無しさん必死だな:2011/06/03(金) 20:27:33.53 ID:lj6IACQp0
>>63
幼稚園に謝れ
幼稚園に謝れ
65 : 忍法帖【Lv=5,xxxP】 :2011/06/03(金) 23:21:55.33 ID:91T+6lK4P
今時の幼稚園はすごいぞ
なんでまた同じミスで抜かれてるんだよ?呆れるわ
67 :名無しさん必死だな:2011/06/04(土) 23:31:38.64 ID:H0g3y9+y0
鯖が危険
68 :名無しさん必死だな:2011/06/04(土) 23:36:32.06 ID:5P5wjA5J0
欧州のソニーストアもハッキング&情報リーク
http://kamome.2ch.net/test/read.cgi/ghard/1307192533/
http://kamome.2ch.net/test/read.cgi/ghard/1307192533/
69 :名無しさん必死だな:2011/06/06(月) 22:59:54.10 ID:k9kNq7nT0
PSN漏えい発生で“なりすまし” に注意を……5月のウイルス・不正アクセス状況[IPA]
ttp://www.rbbtoday.com/article/2011/06/06/77624.html
ttp://www.rbbtoday.com/article/2011/06/06/77624.html
ハッカー「盗んだソニーのデータをtorrentで拡散するよー」
http://hatsukari.2ch.net/test/read.cgi/news/1307358091/
http://hatsukari.2ch.net/test/read.cgi/news/1307358091/