【企業】顧客情報流出問題　システムのファイアーウォール破られる　ソニー謝罪「甘かった」

ソニーは2011年5月1日、ネットサービス利用者のアカウント情報などが漏えいした問題について記者会見し、
システムのファイアーウォールが破られていたことを明らかにした。
同社では、認識が甘かったことを認めており、今後、情報管理のあり方が厳しく問われそうだ。

ソニーがプレイステーション向けオンラインサービス「PlayStation Network」と「Qriocity」に対して、
不正アクセスがあったと発表したのは2011年4月27日。
それから4日経って行われた記者会見には、平井一夫ソニー・コンピュータエンタテインメント社長、
長谷島眞時・業務執行役員、神戸司郎・業務執行役員が出席した。


■クレカ暗号化で「不正使用ない」

これまでの経過については、米国で4月19日（日本時間20日）、サーバーに異常な動きを確認したとして、
調査を開始。
翌20日（同21日）には、17日から19日にかけて不正アクセスがあったことがわかった。
そして、ITセキュリティ専門会社に依頼するなどして実態の把握に着手し、27日には「サイバーテロ行為が
行われた」（平井社長）と判断。
個人情報が漏えいした可能性があるとして、web上で報告した。


（>>2-10につづく）

▼J-CASTニュース　[2011/5/ 1 19:56]
http://www.j-cast.com/2011/05/01094635.html
http://www.j-cast.com/2011/05/01094635.html?p=2

▽写真＝記者会見に出席した神戸司郎氏、平井一夫社長、長谷島眞時氏（左から、5月1日都内で）
http://www.j-cast.com/images/2011/news94635_pho01.jpg

（>>1のつづき）

不正アクセスについては、システムが、ウェブサーバ、アプリケーションサーバ、データベースサーバの3層の
構造になっており、ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、
アプリケーションサーバの脆弱性をついて不正に侵入。
長谷島氏は「かなり巧妙な、高度な技術をもった侵入だったことが徐々にわかってきた」と述べ、米連邦捜査局
（FBI）にも、捜査の依頼をしたことを明かした。

また、27日の発表では、漏えいしたとみられるアカウント情報に住所・氏名、パスワード／オンラインIDのほか、
不正アクセス者がクレジットカード情報（セキュリティコードを除くクレジットカード番号、有効期限に関する
情報）を入手した可能性を「完全に否定することはできない」としていた。

平井社長はこれに対して、クレジットカード登録者は約1000万人いるとしたうえで、「漏えいした証拠はない
（ので可能性があるとしか言えない）が、今のところ不正使用があったという報告は受けていない」。
長谷島氏もクレジットカード情報については「クレジットカード情報は暗号化されているうえ、データベースを
読みにいった形跡がない」と説明した。

（>>3-10につづく）

（>>2のつづき）

■対応の遅れに海外から批判

もっとも、ソニーの情報漏えいについては、判明から発表まで約1週間かかり、対応の遅れに対してとりわけ
海外からの批判が出ていた。

ロイター通信は「日本企業によくみられる経営階層や会議の長さを考えれば、1週間はそんなに遅くはない。
しかし、個人情報が流れた人にとっては、当然のことながら1週間は遅すぎる」とする米テンプル大学教授の
コメントを載せた。
また、米下院エネルギー・商業委員会は4月29日、ソニーに対して、流出の経緯についての説明を求める質問状を
送付している。

発表まで時間を要したことについて、平井社長は「被害が拡大しないようにまずはサービスを停止させた。
その後、調査会社とともに解析する作業に入ったが、（データが）膨大な量で、想定していた以上の時間がかかった。
また顧客に対して、ある程度、確度ができた時点で伝えたかった」と説明。
ただ、26日にソニーは新製品の記者発表会を都内で行っているが、同氏は「26日の段階では（不正アクセスの）
認識はあったが、分析、解析の作業中だった。その段階では、確度のある情報を伝える状態になかった」と語った。

また、情報セキュリティの問題で、業務執行役員の神戸氏は「全世界のセキュリティーチームでさまざまな対策を講じ、
管理体制を行ってきたつもりだったが、もしかしたら向上の余地があったかもしれない。そういう意味で甘かったの
ではと言われれば、認めざるを得ない」と陳謝。
同じ業務執行役員の長谷島氏は今後について、不正アクセスへの対応の仕方を抜本的に見直し、再発を防止すると
弁明に追われた。

（おわり）

ふぁいやーん

どっかのオーストコリアンが被害にあったとか言ってるけど、あれは出任せでおk？

ネトゲ界のメルトダウン

あらたいへん

あまーーーーい！！

原発の件と併せて、日本政府や企業の隠蔽体質と危機管理体制の甘さを世界中に強く印象づけてますね。

＞■クレカ暗号化で「不正使用ない」

暗号というのは解かれるものだ
どこまでも認識が甘いようだなｗ

データそのものが暗号化されててもそれを解読するサービスはすぐ側にあるんだから意味無いわな
その辺がわかってて漏れた恐れがあるって言ってるんだろうけどさ

PSは２まででだったな…
３なんか買わなくて良かったw

ケビン・ミトニックのような
原始的な手法でログインされてたりして。

世界のソニーも今や日本の恥だな

人を使って自分のクレカ情報で買い物させて、被害者ヅラするだけで良いから、
中国人や半島人は、こぞってやるだろうな。

あいつらタチが悪いことに、こーいうウソを悪いことだと思わないからな。

「かなり巧妙な、高度な技術をもった侵入だったことが徐々にわかってきた」

;select * from userdb;

もう糞ニーのゲーム機なんて買わネーヨ

きっと給料削られた社員の内部犯行だよ。
東電の豚骨ベースは口だけだがな。

また想定外かｗｗｗｗ　アホだわｗ　全て賠償しろや

なんでもかんでも情報を集めりゃいいってもんじゃない

情報を持たない選択の重要性を学ぶんだなｗ

PS2時代はまさに天下をとった状態だった
栄枯盛衰、奢れる者は久しからず、諸行無常の響きあり

管理端末とか内部から破られたんじゃないのか・・
正面突破されたとなると厳しいな。。

人ごとに思えない。。

>>10
お前は相当馬鹿そうだな

これじゃ、アイヤーウォールだなw

あいやｗｗｗｗｗｗｗ

いっとくけど「システムのファイアーウォール」ぐらいでは
全く持って防御にならないからな。

【やっぱり】ＦＢＩの捜査の過程で、ソニータイマーの存在が明るみに【あった】

何があれって会見終了後の「既知の脆弱性ですか？」「はい」ってのが一番あれだよなｗｗｗ
知ってて放置してたってことだからなｗｗｗ

暗号は解かれるものだし
セキュリティは破られるもの
イタチごっこ世界だよ

そういうのを趣味にしてる輩がいるんだから絶対安全なんてない
クレカなんて登録するもんじゃないよ

ソニーはたまたま標的にされて運が悪かっただけで
他の企業でも同じように流出させられるよ

これ穴を指摘されてたんだろ？

なんで企業はそれを知って対策をしようとしないのか理解できんわ。

なんか、構造が日本の原発の推進の論理と似てるな・・・・
絶対安全だから、もしものことを考えることすら許さないっ＞＜

対応見てると東電とあまり変わらんな。

この会社、顧客軽視の姿勢は昔から変わっていない
いや、むしろ社風だろ

SONYのFW破ったならそれ以下の企業なら余裕で攻略とも考えられる。
他人事じゃないな

パスワードなら一方通行の暗号も可能だが、クレカ番号の登録は復号が必要だろうから、
復号前提の暗号なら破られて当然と考えるべきだろうね

まあ、ネットで普通の固定クレカ番号を入力するユーザーも相当なアホだけどｗ

そもそも個人情報って、必要だったのか？

APサーバクラックされてるなら、クラッカーの立場なら普通にDBサーバも読みにいってるだろ。
そもそも脆弱性を普通に放置するなよな・・・

このスレには小学生レベルしか居ないなｗ

まぁファイアウォールも一層じゃないだろうし
個人情報も暗号化して複合化も別のサーバ立ててるなら大丈夫でしょ
まさか、ね・・

かなり高度で巧妙な既知の脆弱性を付いた攻撃だった

ファイアーウォールが機能した時点で負け。
通常はフィルターとゲートウェイでアクセスコントロールだろ？

>>32
この規模のサービス運営しててSSLだけに頼ってクレカ情報送信しちゃうような会社なんてソニーくらいのもんだろ

余計な情報は持たないのがセキュリティの基本ですｗ
責任が取れる範囲内の情報に留めるべきなのね

住所、氏名、クレカ情報なんか毎回入力してもらって使い捨てりゃいいのに

プロの工作員だな

SONYのシステムが破られたか
まあクレカは無事みたいだけど
勝手にID使われてゲーム買ったりされそうだな。

>>14
ソニーが日本企業だと知らない人も多いけどな
特にアメリカは

ファイアーウォールなんてただの飾りです。

住所、氏名だけを管理する会社と
クレカ情報だけを管理する会社と
それを利用するだけのソニーのような会社の
3つにわけて、
それぞれの社員ですら、すべてを一元的に得られない形にすればいいのに

> データベースを読みにいった形跡がない
何て言ってるけど侵入時のログ消しは基礎中の基礎だしアクセス権を取られた時点でどうとでもなるわな

なんでログサーバを別立てにしておかないの

お金けちりすぎ

SONY様は悪くないだろ。悪いのはシステム破りした人間。
そこんところをきちんと理解しろよ

お客様、実はお預かりしていたお荷物を盗まれてしまいました。
客｢えっ？なんで？どういうこと？｣
いえ安心してください。最近怪しい男がうちの警備が甘いとか
保管場所に鍵が掛かってないとか誰でも出入りできるとかいってきましてね、きっとそいつが犯人ですよ。
客｢それ犯人かどうかわからないじゃん！どう責任取る気だよ！？｣
お客様！悪いのは泥棒ですよ！
私は被害者なんです！文句は泥棒に言ってくださいよ！
なんなら他の客に聞いてみますか！？
客A｢無料のサービスで文句いうな｣
客B｢預けたお前が悪い｣
客C｢アレじゃね？MS帝国ホテルが泥棒雇ったんだろ？｣
客D｢ホテルニンテン涙目ww｣
客｢おかしい、こいつら絶対おかしい。もういい。すぐ警察に言おう。間に合うかも｣
お客様、気は確かですか？盗まれたのは一週間も前ですよ？

後学のためにどういうシステム構成だったのか公開してほしいな

要はリスク管理ができてないのよ
情報収集するなら、その情報が漏れた場合のリスクと損得勘定を考えるのが基本中の基本

経営者がアホなんだわｗ

>>49
SONY信者と創価学会信者て似てるね

>>51
Web <-> WebAp <-> DBだけのシンプルな3層構造ですが・・・

極めて古典的な手で破られているし、あまり参考になる情報はなさそうだけど

>>37
ユーザーからのデータを平文で投げてるシステムに期待スンナ

>>53
強盗事件で例えてやるわ。
道歩いてたら、いきなり銃つきつけられて財布奪われた。
悪いのは誰？

こういうのってイタチごっこじゃん、
企業はセキュリティに無制限に金を投資するのは不可能だし
こういう大規模にクレカ番号管理して決済するシステムを行うビジネス自体難しくなるんじゃね？
ある程度国なり団体なりがセキュリティの一定のレベルを決めて
この規模ならレベル何のセキュリティ対策やってそれ以外で不手際が無ければ
流出させたハッカー本人が全部賠償を負うとかすればいいのに

データを平文で保存してたとかお粗末過ぎる

甘いんじゃなくてフェイルセーフを考えなかっただけでしょ
日本の経営者はそういう設計思想を認めないお馬鹿さんだから

>>56
そんな変な例え出さなくても
>>50で分かりやすい例えが出てるから

ＳＥ＆ＰＲＧを使い捨てる大手体質の自業自得ってとこだね

どうせマヌケな営業ＳＥもどきが設計して、なんの責任感もない使い捨てＳＥ＆ＰＲＧが作り逃げしたんだろ
仕様がマヌケなんだよｗ

まともな技術屋が、まともに意見してれば、これほどお粗末な仕様にはならんだろｗ

どこに個人情報を保存していたんだろうな

WEB、AP、DBサーバは分離していたみたいだけど、DMZ内のサーバ上に個人情報を保管していたとかはないよね？
ありがちなのが、DBはDMZにないけどDBから抽出した情報を一定期間DMZ上に平文で保存しておいたとか

それともまさかまさかのSQLインジェクション？？
だとしたらお粗末過ぎる。。。

>>55で>>54の構成てありえなくね？

>>28
今回はたまたまじゃなくて伏線があった

>>16
いまどきSQLインジェクションで破られるセキュリティとかねーよｗ

>>16
パスはスコット、タイガーですねｗわかりますｗ

APサーバに進入されたのか？

>>63
http://www.4gamer.net/games/036/G003636/20110501006/

こっちに資料が載ってるけど、WebAPサーバにツールを配置して
そいつからDBにクエリを投げまくってたっぽいけど。

でも、
こういうのって狙われたら防ぎようがないでしょ？

ソニーにも当然管理責任はあるけど
どうしたってハックした連中が大悪人なわけで・・・

こういうのはさ、抑止力で防ぐしかないよ、
大企業ハッキングは死刑とかにすりゃいい。

誰も困らないでしょ。

>>5
7000万人もいたら、たまたま同じカードで別の所で不正利用される奴がいてもおかしくはないな。

>>1

＞不正アクセスについては、システムが、ウェブサーバ、アプリケーションサーバ、データベースサーバの3層の
構造になっており、ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、
アプリケーションサーバの脆弱性をついて不正に侵入。

　この記事書いた人自身が良く分かってないみたいだけど、具体的にどうやったんだろ。
　

>>69
普通に防げるから
もしかしてオンラインバンクなんかは狙われてないから安全とか思ってないよなｗ

>>66
#>sqlplus /nolog
SQL>connect / as sysdba

だな。

やったな！これでSONYがアメリカ企業ではなく日本企業だと知れ渡る！
世界のSONYが日本の企業や！さすが技術大国やで！

ふと思ったんだが、楽々とソニーのデータサーバーに侵入したこのハッカー達は
実はすげー技術持ってるんじゃないのか？

俺の後輩のパソコンオタクに聞いたら、
ハッキングはちょっとコツが要るから
めんどくさいとか言ってたし

どこのファイアーウォールを使ってたんだ？

>>66
ﾅﾂｶｼw
今も初期値はそれなのか

>>65
ソニーだからな。
あり得ないとも言い切れんw

トヨタの次はソニーか

>>68
おお、�dｸｽ
ちょいと見てきます

>>15
それむしろソニーじゃないか。

ルートキーダダ漏れ放置しておきながら、誰かは分からんが侵入形跡が見つかると
新製品発表の翌日まで隠蔽してから
「アイツらにやられた！！」と被害者面

＞「セキュリティ上の問題なので」ということで，対策済みのはずのものでも具体的な内容も
明かされなかったものの，正常なトランザクション中にコマンドを混ぜ込んでといった表現が
なされていたので，おそらくはクロスサイトスクリプティングのような手法が使われたのではないかと思われる。

おいおいｗ
誰が作ったんだこのシステムは

テンプル大学の名前を聞くとオールナイトフジを思い出す。

ここにはSE&PGがたくさんいるみたいだなw

>>68のサイトを見てきた。
「不正ツールを導入されバックドアを作られた」とかいかにも高度っぽく書いてるけど、
実は単なるSQLインジェクションなんじゃないの？

ハッキングって一見簡単そうに見えるけど、
実はかなり大変なんだぞ

>>84
それどころか単なるバッファオーバーフローかもしれん。

>>85
それパッキング

>>65
一般論としてWebのシステムで一番脆弱なのは業務アプリケーション本体。
sqlインジェクションやコマンドインジェクションでやられたというのが
一番ありそうだと思うぞ。

>>75
並のパソコンオタクはアプリケーションサーバの時点でキャパオーバーじゃないのかね。
そこから更に脆弱性を把握しないといけないから
今回のハッキングなんてそうそう出来やしない。

＞正常なトランザクション中にコマンドを混ぜ込んで

ってやっぱりSQLインジェクションっぽいよな。

Unix板の連中に構築して貰った方が、かなり堅牢なシステムが出来そう

普通は企業がガッチリ作った奴の方が堅牢になるもんだろうけど･･･
とんでもないザルだったからそう見えるのかな

サーバを管理してたのは Sony Network Entertainment ですね。

一銭にもならないから誰もやらないだけ
国内なら簡単に逮捕できるよ

これ
個人のパソならあっさり破られるのかな？

ルーター無しで
ビスタ、ウィンドウズFWでつなぎっ放し

こういうのって自分の足が付かないように、
先にボットをばらまいといて、それ経由でハッキングするとか。
いかに、自分の足が付かないようにするかってところがすごいんだよな。

いまどきボットに感染するパソコンとか
裏口の開くルーターとか
ありえないと思うが

俺のルーターは全ポート開きっぱなしだぜ！！
仕様でそうしないとネトゲできないからな・・・

>>97
中国とか割れOSとか使っている人とか多いんじゃないか。

チョニー内部に工作員ありと見た
これはテロさ

>>95
デフォ設定では、インバウンドはほぼブロックされているから
破られることはないと思うけど。

あっ、パッチ未適応で既知の脆弱性狙われたらアウトだが

賠償とかいうけどしようがないぜ
確実にソニーが原因だと証明する方法がない
犯人なら話しはわかる

ファイヤーウォール (笑)

>>65
SQLインジェクション攻撃は増えとるがな。いまどきも何も、
原理的なものを理解している技術者が少ないのだから、いつまでも不滅だよ。

今時　FW突破されて、「しかたない」はないだろw

PSNのポイントを一万円分くれれば許す。
むしろ喜ぶ

ソニーだから仕方ない

>>105
sqlインジェクションは普通firewallじゃ防げんよ。
WAF機能があれば別だけど。

むしろ直接カネになる銀行か何かをハッキングするといい
あっちは色々と鉄壁

一口にFWと言っても千差万別だからなぁ。

どんな設定になってたのか興味はあるな。

>>110
IP制限とポート制限だけかも

「甘かった」と言ってる訳だから、設定ゆるゆるにしてたんでしょ
無駄な努力が得意な愉快犯の存在を忘れていたと

潰れるのかな
アホみたいな訴訟繰り返してるアメリカいるし

>>2
＞構造になっており、ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、
＞アプリケーションサーバの脆弱性をついて不正に侵入。
おかしくね？FWの下にAPがあるんでしよ？

ファイヤーウォールなんか関係なくて、自分で漏洩させただけなのに
いかにもすごい手口でやられたかのような言い訳がすごい

>>114
過去ログ読まずに適当に書くが、ＤＭＺにＡＰがあったんじゃね？

たかがFW突破されただけだろ
まだMF、DFが居るじゃないか
そして最後の砦はGKだ！

>>117
ソニーのGKは役に立たんw

>>116
DBまでDMZに置いてたりしてw

FF14をインストールしておいて
その中に重要ファイルを混ぜておけば
まず探せない

原始的にデコイを作るのは有効かもしれないな

逆にＦＷを突破する技術があるなら教えて欲しいわｗｗｗ

>>122
外部からWebブラウザでWebサーバ見てる時点でFW突破してるしなｗ
突破って表現は何か違うよな

アメリカで訴訟が始まった、お前らはいいのか？ｗｗｗ
訴状は
ファイヤーウォールをまともに実装してないことと、
データの保存場所は通常ではあり得ないほどお粗末なことと
漏洩してるのをユーザーに通知せず被害を拡大させてること

ソニー専務パトリック・セイホールドはブログで
「火曜日にはメールアドレスのほとんどが流出したのを確認して
２８日にはすべての登録情報が流出したと予想している」
「クレジットカード情報は暗号化されていた、脆弱だという証拠は無い」
「個人情報は暗号化してないけど、普通の攻撃じゃないからしょうがない」
などと意味不明な供述をしている

> ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、
> アプリケーションサーバの脆弱性をついて不正に侵入。

いや、それ普通にセキュリティ対策ミスだからｗ
ファイヤーウォールですべて防げるわけ無いだろ。

FWが何を制限とか監視する設定になってたかが問題だよな。

一般の人にとってはファイヤーウォールっていうとセキュリティの壁ってイメージなんだろうけど。
ファイヤーウォールっていっても実際は、
通す物は通して通さないものは通さないフィルターみたいなものだから。
何を通して何を通さないかは人間が設定するし。
結構隙間の大きいザルだよ。

80と443と1521を永遠に塞いでおけ

>>15
>人を使って自分のクレカ情報で買い物させて、被害者ヅラするだけで良いから、
そもそも日本人だとこんな発想ないよね
15さんはよくこんな事思いついたね・・・

社員「昨日webminでログインしたときはなんともなかったんですけどねぇ」

どうせルータに毛の生えたような貧弱なFWだったんだろうな。

で、SQLインジェクション対策もしてないとか素人が趣味で作るホームサーバ並みだな。

>>1
＞システムのファイアーウォールが破られていた

・・・・・・・・・・

全世界のセキュリティーチームに公式発表文章の添削お願いすればよかったのにｗ

インターネットごしに情報を盗まれちゃう程度の対策しか提案できない人たちでも
もっとましな文章考えてくれたはずｗ

超絶凄腕の人にやられた事にしたいんだろうけど
いまどきインターネット側から情報盗まれるなんて、セキュリティ対策の基礎すらできていない証拠ｗ
言い逃れなんてできないよ(ソーシャルなのは除く)

メールアドレスは仕方ないとしても名前や住所を入力させる必要なかっただろ。
入力必須項目に設定しておいて漏れたらまともな補償無しとか頭沸いてるとしか思えない糞対応

ソニーはFWにCheck Pointつかってんだろ？
何千万も出して。

>>1
スーパーファイアーウォールを仕分けしたからだろ

ノートンにしとけよ あほソニー

原発の次にこれだからな

日本の技術力(笑)

になってるんだろうなorz

関係ないけどソニーピクチャーズの映画は
始めの制作会社クレジットで
GK FILMと出るんで、いつもそこで吹く

ロボットアニメに出てきそうなカッチョイイ名前ですね＞ファイアーウォール

仕様によるんだろうけど、これ一台1千万以上するんだよね。数年前に企業向けのカタログ見て知った。

root権限取られたのか？

不正アクセスって捕まる確率どのくらいなのかな

管は速やかに犯人の国籍を特定し、テロ国家と断定して空爆を開始すべし。
国家をあげてソニーを救うのだ。

>>139
日本語訳はそのまま防火壁だけどなw

ジャップに機密管理は無理

変な外人のCEO首にしろよ

>>101
>>68の記事見る限り既知の脆弱性を放置してたっぽいんだよな

ソニーが日本人の会社だと知って世界中の人は驚いているらしいよ。
ソニーは米国や欧州の会社だと思っている人が圧倒的多数を占めるらしいわ。
コテコテの黄色い猿の会社だと知ってショック受けてる人も多いんだってさ。

ファイヤーウォールが破られるって意味わかんねえ

>>142
一般人ならすぐ捕まる
ただソニーのファイヤーウォール破る程のハカーになると逆に絶対捕まらん

大企業の個人情報流出　（日本でも有名な奴のみ)
YahooBB 450万件
KDDI 440万件
大日本印刷 約1000万件
米マスターカード (クレジットカード) 4000万件
ソニー 推定7000万件

警察のようにネット警察をもっと強化したほうが良いんじゃないの？まあ、犯人は逮捕して
見せしめにしたほうが良いよ。FBIなどが本気になったら逮捕できるんじゃねえの？

>>150
確かに不正アクセスでもピンキリだな

クレジットカードは、不正使用を防止するため、
最近は、使用パターンを追跡してて、いつもと違う場で買い物をした時、
イチイチ、本人に「本人ですか」と確認するらしいな。

それ、徹底すればいいだけじゃん。
ま、大体、人間は生活パターンは一致してるもんだよ。
旅行で使うにしても、海外ならパスポートが証明になるし。
国内なら追える。

>>152
そう言えば京都府警は今回は動かないな

誤爆した・・

最近システム構築してるけど、Win2008はデフォでFWオンなのに
LAN内サーバだからって無効にするところばっかりだよ、マジ

どのポートが必要か把握して管理するのが面倒だからってな

セキュリティは「こんなのも対策出来てないのか！」ってドヤ顔でいってる奴ほど実は危ない。
既知の脆弱性といえども様々な理由で残ってる場合がある。
まあ要するにこのスレでそういう事をいってるような人種が構築したシステムってことだ。

火壁や、プロテクトは破られる為にある。

>ITセキュリティ専門会社に依頼するなどして
ソニーはセキュリティー関連の技術なく包装紙屋てこと？

そもそもクレジットカ−ド情報を自家保存すんなよ

>>157
SEなんていかに上から目線で世渡りしていくかしか考えてない
アホばっかりだからな。SQLインジェクション？何それ初めて聞いたとか
平気で言うぞ。

>>1
FWはあまり関係ないように見えるが。
普通に通っただけじゃないのか。

>>161
今時SE引き合いに出してこんなこと言ってるアホがいるとはな。
昔はそういうネタが多かったから、そう思い込んでる時代の人間なんだろうけど。

アプリケーションサーバの不具合を突いて侵入って意味が解らないね
外部からの要求が飛んで来るのはまずはWEBサーバだから
WEBサーバが安全だったら情報漏れは無いはずなのだが

>>164
Webサーバとアプリケーションサーバで要求されるサニタイジングのレベルは異なる。
例えばWebサーバではSQLインジェクションやXSSの一部は素通りで、
APサーバで弾くという動作が普通。
つか今回の脆弱性は恐らくSQLインジェクションだとは思うが。

>>164
アプリケーションサーバが受け取った値をそのままアプリケーションサーバに渡す
Webサーバがあったとしてもそれは普通のことで、言わば「安全」な状態。
けど、その値を元に
・単純な文字列結合でSQL文を組み立てる
・そのままの文字列でコマンドを実行する
・そのままの文字列を実行するor読み込むファイルのパスとして扱う
　（http://で始まる文字列でもそのまま読みに行ったり）
なんてアプリケーションサーバでは問題が生じたりするわけだよ。

>>165
サニタイジング言うな

この手の問題はいくつものミスが重なって起きる。
逆に言えば、どれか一つでもミスらなければ防げる。

トロイを仕込むまではスクリプトキディレベルで十分可能。
だからこの手の問題は、事情とか抜きに無条件に対策必須。
それを怠ったのが1つ目のミス。

トロイを仕込んだら、その後は、確かにスクリプトキディレベルじゃそうそうできないし
そうじゃなくても時間と手間が掛かるはずだけど、その時間を与えてしまったのが2つ目のミス。

他はいろいろ条件によって変わってくるけどまだミスはあると思われ
(条件によっては気づくのは至難の業かもしれないけど、
例えば7700万ものデータを参照されているのに気づけなかった。とか)

とりあえず何を差し置いても、トロイが仕込める状態な時点で詰んでるｗ

>>166
＞サニタイジング言うな
なぜ？

>>166
受け取った値をそのままアプリケーションサーバに渡すWebサーバ　だった。

>>167
ソニーのサーバだぞ？ツールなんかで破れるか？
とか思ったりもするけど、オープンソースのCMSとか広告サーバとかが原因なら
自動巡回のスクリプトでもやられかねないんだよな。

APサーバの不具合をついたんじゃなく
APサーバに置かれたウイルスが不具合をついたんだろ？

１．社内PCからAPへ感染
２．APのウイルスがFW内の非武装のDBを漁って外部と通信

じゃねえかな
FW突破して感染するのと、感染サーバがFW経由で通信するのは話が違うわけで・・
「理解不測だったが原因はMS不具合だ」とミスリードさせるのと
「社内PCから感染しました」じゃあ過失割合が違うんじゃねえかなと思うわけで

>>168
気にしなくていいと思うｗ
どこかの先生が必死に「サニタイズ言うなキャンペーン(笑)」をやっていた時期があってね
それを揶揄してるんだと思われｗ

SQLぶっこぬき以前に、なんでクレカ情報をタンキングしてんだよおいおい（ 笑 ）

>>171
なるほど

高度な技術って違うだろうが。クラッキング初心者でも侵入できるわ。
何度もソニーのお客様相談窓口に警告してやったのに無視するからこう言うことになるんだよ。
親切でやってやってんのによ。

>>169
>>68が本当ならねｗ
ソニーのサーバーだし、それこそSQLインジェクション程度じゃ無理だと思われ

あと、システムを正常稼動させつつトロイが仕込める脆弱性なら
Metasploitがいじれる程度でトロイは仕込めると読んだつもりなのですｗ

今日も株価暴落だな

>>68 ってWEB-FW-AP-FW-DB って図、FW過剰だろ、ねえだろそんなFW配置・・

そこで既にセキュリティー丸裸なPS3の登場ですよ、は？
最初のWeb認証に成功したら後はただのメッセンジャーボーイ化して
内部AP鯖とPS3間で直接やりとりしてたとか

当然通常のやり取りに見えるからFWは無反応、でもその実
生で送られた値が脆弱性を引き起こす記述で
AP鯖経由でDBのroot権限強奪、後はズルズル引っ張るだけ、みたいな

一時情報（ＩＤ・パス）と二次情報（個人情報）を分けてなかったのが癌

モンハン厨脂肪確定

日本企業なのかよ本当に…
経営者だの外資だのは置いておくとしても
信じられないほどクズすぎる

不況で対策費を削ってきた日本企業の末路だな

>>177
そこ俺もすごい気になったけど、
鯖でも一応フィルタリングなり要塞化はしてたのね
って、勝手に読み替えたｗ

所詮、ファイヤーウォールなんて裸じゃなんなんで服着せましたくらいのもん

>>183 俺はミスリードの結果だと思う、
FWが間にあるってことは同じエリアにサーバ配置してないってことだろ？
ねえだろ、それとも大企業は普通なのか？
WEBはともかくAPとDBは同じ場所、つか一元管理のが安全だろうと思うわけだが。

漏れたのは東電の放射能漏れよりかマシだろ！！くらいに開き直ってくれたらいっそPSP買うわ

これだけ遅れて社長も出て来ない

ネットワークの問題で謝罪してるのに
お詫びにネットワークでサービスします。

事の重要性を除けば
東電以下の会社

ソニー不買

◆ソニー流出問題についての記者会見動画

会見を生で見れなかったユーザーには絶対に届かないソニーの本音
ソニーをスポンサーとする日本のマスゴミが報道することはない生の声

フリーランスからの質問応答
(p)http://www.youtube.com/watch?v=E3oFv3clNbU
平井「個人情報の流出によって今のところ被害が出ているという認識はない（キリッ」
ユーザー「流出自体が被害なんだってばよ…」

ノートンくらいいれとけよ＞ソニー

http://www.4gamer.net/games/036/G003636/20110501006/
　大規模個人情報流出が大事件扱いされたのも昔の話で，日本だと最近はみんな慣れてきて，
かなり大規模なものでも「またか」で済まされてうやむやになるものも多いのだが，今回は世界規模の事件なのに，
同じようなうやむや化の対応が取られているように思え，どうにも危機管理意識の薄さを感じざるをえない。
今後，ソニーグループでは，ネットワーク依存型のサービスを多く始めるとのことでもあり，
今後登場が予定されているNGP（Next Generation Portable：仮称）でも，ネットワークが重要な位置を占めるという。

こんな対応で大丈夫か？　と，若干不安の残る会見であった。

　　　　　　　　　　 ／　　　　　 　 　 　 ヽ
　　　　　　　　　 /　　 　　､ 　 　 　 　 　 ヽ
　 　 　 　 　 　 ﾌ 　 / 7¨¨ ｀ｰ'' |￣｀ヽ　　ヽ
　　　　　　 　 /　 ﾊ i ./　　　 　 .l　　　', 　　 ヽ
　　　　　　　/. 　 　 .i/_____　　　 |___,,.. .l　　ヽ.　ヽ　　　
　　　　　　,ｲ .j　i . | ｉ!rrzx_　i　i i!rzzｘ .ｉ　　 　ヽ ﾊ､
　　 　 　 ﾚ .f　り .| i　 ￣　.j　i .i| ￣　.i　　.l.ﾏ .ヽﾍヽ
　　　　　ノ　 i j ｲ .| i!　 　 .r_. _ヽ 　 　 .l .　 .ﾏ ﾊ　 l> (,　　問題だ、大丈夫じゃない
　　　　ﾉ　　 .レ l　l .i!　　　 _　　_　　　 i　 .ﾊ　＞i .ヽ二i
　　 ,イ＞ｧ.了　 l l　i!　　 ←三→ 　 .ﾉ　 .l　　ヽi ﾏヽ .i!
　　イ jfニ二　／| i　j.ヽ、　｀¨¨´　.／.|　 i!ヽ ヽヽヽヽﾆ
∠≦zt|_ ノ ）＞　|./ﾉ　 .＞　__　イ　　.l　j ヽ ヽ＞, , ./
　 乂＜|　　 ﾑ,.ィ'''¨　　　　　　 　 　 　 �Yト／シシ;ノ ヽ　.r ､
　　　　i!　 　 ﾑ　　 　 　 ',　　　　　;　　 ,ィシシシイ　　.ｊ /ァヾ.ヽ.ﾊ /

>>189 重いわｗｗｗｗｗｗｗｗｗｗｗ
セキュリティ対策の多くはパフォーマンス削るからな

もっともパッチ適用作業なんてのは関係ないが

震災後、中継サーバー水没、回線の混乱や停電で、日本中のネットが異常だった時期があった
ソニーは、まだ正直なほうだ
気づいてないのか、隠蔽しているのか分からないのがいっぱいあるだろ
エロ動画サイトのクレジットが次々と情報流出してるだろ
パチンコ会員情報も、ネットで借りるレンタル屋も、ネットショッピング、スーパーのクレジット会員

AP鯖の位置がDMZでDB鯖の位置が内部なのかと思ったり
それでもWeb鯖がむき出しなのは判らないんだけども

これをしてまだソニーを信じてるバカ共が居るのが分からないなあ

顧客の個人情報なんて屁としか思ってないクズ企業って事が露呈したのに。

リスト流出したら一生許さん

イッツア、チョニー！！

>>151
これはレベル7と考えられます。

FBIｸﾙｰ

FBIからしたらPSNの鯖はどう映るんだろうか
是非コメントをしてほしいｗ

ザルじゃね？
いや、メッシュ。

世界中に報道されて大変やな

犯人をセキュリティ顧問として招き入れれば良いじゃん

Web鯖経由でバックドア仕込むのってできるのかね
A鯖が外から見えてたのでは疑惑が

ＹＯＵＴＵＢＥに顔出したハッカーは逮捕されないのか？

PS3買ってから一度もネットに繋いで無い俺は勝ち組

想定外の通信許してるようじゃロクなFW設定じゃないけど
ユーザー用のダウンロードファイルとかに偽装したのかな
outboundはフリーだったんだろう
IDSついてないの？

' or '' = '
こうですか？わかりません＞＜

甘かったのは自業自得
損害は自分で何とかしろ
潰れても困らない企業だしどうでもいい

中国人とかにシステム弄らせてたんだから当然だろｗ

去年割られたPS3のルートキー使って
かなり好き放題やられたらしいよ

ソースはゲハ板

>>119
以前、韓国でバチモンの SQLServer 機を DMZ に置きまくってて NIMDA か何かの餌食になってた。
それはそれとして、文面からすると F/W と WEB はスルーしたっぽいね。
F/W は「あった」けど、ポリシーで相手のIPやポートを蹴っていたかどうかは不明だし。

時事通信だと、「データをやりとりするサーバーに欠陥があった」だから、
F/W のポリシー設定チョンボか担当者が勝手に穴開けてたか、あたりかねぇ？

或いは WEB ではじくつもりが、ここも穴開けてたとか。




http://www.jiji.com/jc/c?g=soc_30&k=2011050100077
ソニー、顧客情報流出を謝罪＝「サイバーテロ」、ＦＢＩに捜査依頼

　不正侵入を招いた原因としては、データをやりとりするサーバーに欠陥があったと説明。情報流出の判明後、安全性の高いデータセンターにデータを移したという。

ハッカーが手口公開してないじゃん。

サーバがアメリカにあるからFBIが動くっていうのが
この手の事件を想定したときに日本が頼りないかわかる事件だったな

>>1
> クレジットカード登録者は約1000万人

ソニーというブランド
信用して登録したんだろうが酷い話だな

>>203
Web鯖に「HTTPの通信としては正常な」リクエストを送ったらその内容に応じて、
A鯖でコマンドが実行されちゃったり、実行ファイルをアップロードできちゃったり、
実行ファイルをWebからダウンロードできちゃったりする状況はあり得る。
疑惑を強く持つ根拠にはならないかも。

>>2
平井社長はこれに対して、クレジットカード登録者は約1000万人いるとしたうえで
「漏えいした証拠はない （ので可能性があるとしか言えない）が、

＞＞今のところ不正使用があったという報告は受けていない」。＜＜

枝ってるなｗ
クレカ会社も請求書は「来月以降〜使用期限まで」だろ

ソニーの時代は終ったな
これからはサムソンだな

>>213
http://av.watch.impress.co.jp/img/avw/docs/443/964/sce03.jpg

>「攻撃は、アプリケーションサーバー上の脆弱性を狙ったもの。
> ここから、アプリケーションにデータを送り不正な手口を使って、外部との通信を可能にし、データベースに攻撃ができるアクセス権限を入手し、データベースに不正にアクセスされた」
>「既知の脆弱性で、SNEIのマネジメントが認識していなかった」

>クレジットカード情報「漏洩の証拠はないが、可能性がある」
＞「クレジットカード情報については暗号化されている。また、その情報を読みに行った形跡がない、ということで証拠がないと分類している」
＞パスワード「暗号化はされていないが、ハッシュ化はされている」

これ抜いた側もこんなに簡単に抜けちゃって良いの？って感じだったんじゃないかって言われてるよなｗ
泥棒が家の鍵持ってるようなもんだからな

>>3
>日本企業によくみられる経営階層や会議の長さを考えれば、1週間はそんなに遅くはない。

福島原発や地震対応の件も併せて、そろそろ「Odawara Hyojo」って単語が
欧米人に認知されるんじゃないかと思う。

PHPしか出来ないような底辺PGレベルの発言が多いな

アルコール消毒で大丈夫だと思ったんだな。

>>222
>>219はソニーでCIOを務める長谷島眞時氏の発言だぞｗ

>>221
海外には「会議は踊る」という表現があるよ

ツール置いたりしてるところを見ると、バッファオーバーフローでExploitコードを仕込むとか、
Qriocityあたりの新しめのWebサービスを狙ったXSSなのでは

「既知の」と言われているところを見ると、かなり前から問題があるのは知っていたのだろう
放置されていたことは、おそらく今後追求されるはず

まあ、今までのSonyプロダクトを見ると、その辺の意識・技術が高くなさそうなのは容易に想像できるけど

脱いで詫びろ!

高度だろうがなんだろうが1項目でも穴があれば簡単に破られる。そんなもん。

どうやってアプリケーション鯖へのアクセスを可能にしたんだ？
FWが開いてたの？　WEB鯖が脆弱だったとは書いてないんだけど・・・

>>50
これでようやくわかりますた

>>225
「会議は踊る」の場合は多国家間の会議だったと思うんで、雰囲気が違うと思う。
日本みたい組織内部の調整や利害でズルズル会議や決定が延び延びになるってのが
何百年も因習化しているってのはマレなんじゃないかと思うぞ。

泥棒に入られた被害者がディンプルキーの２重ロックにしてなくてすいません
ベランダを破砕防止ガラスに交換してなくてすいませんって謝るみたいな？
不思議な世界だのう・・・

>>232
預けたもん盗まれましたごめんなさい、で弁償しろとか言わない方が異常

って話題そらしの話か
今のなしで

このセキュリティを破った犯罪者は逮捕しないの？

>>222
簡単で稼げるからね ウマウマです＾＾

>>22
最悪の事態を想定しろて言いたいんだろう

もっとも、それができるならこんな事件にはならんだろうがw

不正アクセスをした人を責める人が少ないのにビックリ

>>238
だよなぁ

>>238
人から預かった１０００円札を道端においといて盗られたら
だれが悪いんだ？

■参考
http://www.nicovideo.jp/watch/sm3704401

>>229
最近は、ネットワーク的な穴を突くのではなく、普通のアクセスと同じ経路で
アプリケーションの脆弱性を突くやり方が流行り

>次期社長の有力候補とされる平井副社長だが、
>経営責任は明言を避け、「ユーザーの信頼を
>勝ち取るべく全社一丸となって取り組む」と強調。




勝ち取る？
負けるのはユーザーなのか？

>>229
同じく

そして、「がっ」

放射能流出より１００倍マシ

>>245
東電とはなんの関係もない
これはソニーの問題

大手新聞でさえハッカーとか書いてるのな
これハッカーじゃないよね？

今はクタラキじゃないんだっけ？

ファイヤーウォールって、ゲートキーパーかね。
GK墜つ

>>229
ソニーの説明図
　http://up3.viploader.net/news/src/vlnews034608.jpg

まさかのハッキングで俺胸熱

ファイアウォールもソニータイマーで壊れてたんだろｗ

>>240
盗ったほう


窃盗だろ

日本人ってつくづく、セキュリティーに大して甘いよな。
ウチの会社もそうだが、性善説を基本にしてるから、穴だらけだよ。

>>3
> ロイター通信は「日本企業によくみられる経営階層や会議の長さを考えれば、1週間はそんなに遅くはない。
> しかし、個人情報が流れた人にとっては、当然のことながら1週間は遅すぎる」とする米テンプル大学教授の
> コメントを載せた。
　こういうスパイスの効いた皮肉を言ってみたい

既知の脆弱性を高度な攻撃でクラックされたソニー△

>>250

どう見てもザルです　　本当にありがとう（ｒｙ

>>250
この図だとまるでDBサーバと直接通信できる状態だった様にも取れるぞ。

少なくともWebサーバーのファイアーウォールはスルーだったんか
そういうものなの？

そもそも、データの照合はサーバーで行うようになってるのに、
データが外部に書き出せるようになってる時点でクソ。

>>258
アプリケーションサーバー上の脆弱性をついてネットワーク保守ツールを利用
　　↓
ネットワーク保守ツールで外部からDBサーバの通信経路を確立
　　↓
データベースの管理者パスワードをクラック
　　↓
あとはやりたい放題

最近は、基盤作る奴よりアプリ作る奴のほうが、セキュリティ意識低いし、海外丸投げで実装コードちゃんと見ないのも多いらしいから、インジェクション系は増えてるぐらいだろう。

サーバを3層にして適切にファイアーウォールを置けばかなりの不正アタックには対処できるんだけどな
ウェブ、アプリケーション、データベースを一つのサーバに集約しているサイトも一杯あるし
これで侵入させるようなら、そこらじゅうのサイトが危ないな

ウェブではクレジットカード情報は絶対に登録しないほうが良いな

動くソフトとちゃんと動くソフトの間には大きな溝があるってことか・・・

やべぇ。遊びでＳＱＬ投げてみたら７０００万件抜けちゃったよ。
どーしよ、これ？転売ルートなんて持って無いし、悪気は無かったって消しても信用されなさそう。俺、捕まるのヽ(ﾟ｀Д´ﾟ)ノｳｧｧｧﾝ
って、びびってる頃じゃね？

内から仕込んだんじゃなく
外から突破されるなんてありえない

>>265
通信用ツールをインストールしてるから、それはない

ファイアーウォールで中華鍋振ってる中国人のイメージが浮かんだ

これってソニーのセキュリティーを破る事自体が目的だったのか、
情報が欲しくてセキュリティーを破ったのか、
どちらかによって事情が全然違って来るよね。
前者なら盗んだデータは棄てられた可能性が充分にあるが、後者なら厄介な事になっちゃうな。

誰か公安９課呼んでこい

これでスパムメールが大量に舞い込むことになれば、かなりメンドいんだけど

どいつもこいつも想定外

>>254
それは日本に限らないと思うよ。

もう10年以上前になるけど、VISAやMasterなどの米国大手カード会社の肝いりで、
SETというクレジットカードのオンライン決済の仕組みが考案されたことがある。
SETはセキュリティ面をかなり重視した設計で、加盟店(今回の場合はソニー)側には
利用者のカード番号を一切知らせることなく決済ができる仕組みだった。
言い方を変えると、加盟店側で顧客のカード番号を管理しなくても良い仕組みだった。
SETが普及していれば、加盟店側の情報管理の不手際によるカード番号の大量流出は
起きなかっただろう。

でもSETは、利用者側に専用のクライアントソフトを入れなければならないなどの
利便性の問題からか米国も含め結局普及しなかった。
生き残ったのは、カード番号を加盟店側に送る必要がある、セキュリティ的には
弱い方式だった。

>>369
PSNが弱いと言う情報がまわってから鯖落ちしてるから
たぶん後者だろうって話だよ？

>>1
アプリに穴があって暴走させるコードやデータベースを操作するコードを仕込めたわけか
どこのSIかしらんが、矛先むかうよな

>>273
Paypalは？やっぱりやばいの？

ネットでカード決財は草創期からずっと問題にされてて一向に改善されないんだから
今後は郵便書き止めにすべき

でもさ、100％やぶられないシステムなんてないよな？

>>278
俺は重要なやり取りをするときはネットだと危険なので伝書鳩を使ってやり取りをしている

想定外の天災だった、と抗弁すればOK

やぶられる事を想定してたら
データベースは分散しておくよね

まともな会社なら

>>281
アカウントDBとクレジット用DBは分散されていた

DBMSは何かな？

>>278
だからって2、30%で妥協して放置されてもな。100%に少しでも近付ける努力をしてれば今回の騒動はなかったかもよ。

既知のセキュリティホールを放置しておくなんて
どこの格安レンタルサーバー屋だよって感じだわ

>>240
1.許可無く置いた奴は業務上横領になるので、預けた奴へ賠償義務が生ずる。
2.それを拾った奴は拾得物横領(警察へ届けてない場合)になる。
ゆえに1と2の奴だけが悪い。

>>1
だからお前らは甘いと言われるんだ
クレジットカードなんて危なくてしょうがない
現金しか信じられんわい

FBIに協力要請したとか言ってたけど
FBIにはスーパハカーを超えるウルトラハカーでもいるの？

ていうかもし犯人特定出来たとしてもどうにもならねえんじゃねえのこれ？

＞確度のある情報を伝える状態になかった
いや50%、60%の段階で伝えろよ。個人情報だぞ？
なんで100％近いとこまで待ってんだよ
これが日本人の悪習だよ。失敗を恐すぎ

アマゾンとかは大丈夫なのかな？

日本でもな、
社会に恨みを持った、おれみたいな派遣ＰＧとかなめんなよ・・・
おれもいつかなにかやったるか。
ぞんざいにあついやがったら、やってやる。

>>250
まったく意味のないF/Wだなwww

>>291
本当にいそうで怖い

敵にすると怖いが仲間にすると力強い
ハカー

甘いって認めやがったなコノヤロウ

>>278
ソニー「既知のセキュリティーホールだったが
　　　　　担当者にとっては未知のセキュリティーホールだった」
だとさｗ

トロイを仕込めるなんて･･･
セキュリティって言葉以前の問題

>>296
ダメすぎるなw

ますます日本の馬鹿ガキの就職先が無くなる訳だなｗ

ＦＢＩがハカーを挑発して誘い出しているのか
テレビと同じだな

なんかとんちんかんな事言ってる奴ばかりでﾜﾛﾀ

ＰＳＰ修理出したけど大丈夫かな

やっぱね。

それ含めて、趣旨は知ってる。

LDと一緒。

>>301
おまえの見解が聞きたい

>>217
日本のクレジットカード会社はゆるいが、アメリカのクレジットカード会社だと不正利用があればすぐにカードが停止されるよ。それで、電話でそのカードが使われたかどうか確認される。
例えば旅行に行った時とかに、ちょっと高価なおみやげを買った時点で一旦使えなくなる。その後カード会社から電話がきて、「お前これ買ったか？」と聞かれる。これはマジだ。つまり、アメリカなら「ただちに〜」が通用するシステムなんだよ。
日本ではたまにお店で本人確されることがある。

日本は工業製品はトヨタ筆頭に、
アメリカでブランド潰すためにとことん調べつくされても穴がないとわかるぐらいすごいものを作ってるのに
ソフト部分はどの会社もほんと杜撰すぎるわ・・・

具体的にどのアプリケーションのどんな脆弱性を突かれたのか公開しろよ。
そういうの公開することで他の同様の被害を減らすことができるんだから。

>>250
これ認証サーバとかないのか？

>>306
日本の企業は、ハードウェアの職人は大切にするが、ソフトウェアの職人は使い捨てにするからさ

ＬＡＮ線をジャックから抜くぐらいしないと、
完璧とは言えんな。

既知の脆弱性放置して突かれるのがかなり巧妙な、高度な技術をもった侵入か。

>>232
銀行の貸し金庫だけど風通しをよくするため網戸にしたら泥棒に入られました。

って話。

ていうかPSNもちゃんと1週間なり、1ヶ月に1回ぐらい全部止めてメンテ時間とればいいのにな
今もあるのかしらないけど
こういう古いシステムをアップデートできるようにしとくべきだわ

セキュリティを管理してた子会社の社員が無能
既知の脆弱性が判ってたっていうじゃないか

>>312
そこまで酷くはないだろ。
車庫にイモビ付きの車止めておいたら
イモビカッター使われて盗まれた程度の話だ。

まあいい機会だから、日本のユーザーも裁判やればいいんだよ
全世界同時多発裁判でもやればいい
チョニーだけでなく主要企業の姿勢も少しは変わるだろｗ

メディアで公にされた時点で
ハッカーの手にした情報は
リスクデカ過ぎて使い物にならないんじゃないの？

>>308
そもそも
外部からアプリケーションサーバに素通りで
変なトランザクションコマンド送れる時点でおわってる

いかにも、アナクロな日本企業ってザマだな。

おまけに脆弱性放置とかｗｗ

日本企業の頭の使い方じゃ世界じゃ通用しないってのわからんのかね。
この馬鹿社長も

ってか、なんでDBにクレジットカード番号だとか保存されているのか
意味不明。

そんなものは、毎回入力させるってのがもはや常識。

決済方法はプリカ支払いのみで
言いと思う

>>321
プリペイドカードなら、
任天堂方式にシステムを全部リプレイスしないといけないな
後追いで

捕まえようと思っても捕まえられないものなの？

ログが残ってるのかとの質問にすらあいまいな返答してる時点で推して知るべし

>>319

馬鹿野郎
日本人のリスク管理能力の低さを舐めるなよ

鉄道の複線化すら最近ようやく進んでるレベルなんだぞ

以前にもハッキングされて、その時のハッカーGeohotさんが
あれだけセキュリティーのプロを雇うべきと散々警鐘ならしたのに、
ソニーが実際は雇ったのはハッカーコミュニティを抑え込む弁護士。
忠告を無視したソニーへの見せしめだろうねぇ

次期PSPが壮大に転けるじゃん！
スマフォによる陰謀だわ

>>320
いや、そっちのが危険だし。
毎回クレカ番号がネットを飛び交うことになる。
なるべく通信にクレカ情報をのせないのが基本だろう。

>>278
100%開けられない金庫に存在価値がないのと同じだな。

へえ、中からじゃなく正攻法で外から侵入したのか。
もうちょっとマシなところに作らせるべきだったな。

>>329
開けられないじゃなくて
金庫に穴が開いてたんだろ

金庫に鍵がかかってても
金庫に穴が開いてたら意味がない

金庫に穴が開いてたことは皆知ってた
ソニーの金庫を管理してる人間は穴が開いてることを知らなかったらしい

>>163
一夜明けてアホなSEが釣れてると思ったらただの雑魚か。

>>161
　　　　　　　　　　　　こんな
　　そういう　　　　　　　　、そう

抽象表現を嫌うSEが書く文じゃない。

クレジットカード番号はPS3内に暗号化して入れておけよ・・・

>>250
このイメージ図だと Firewall 破られてないよね。
トラフィック的にはアプリケーションサーバへの通常アクセスだw
PSN並みのトラフィックあるところでIPSとか導入できんわ。

しかし、去年の秋くらいに不思議な現症起きたときに
ペネトレーションテストやってると思うんだが、
既知の脆弱性なら発見できなかったのかね……

>>314
システム本体の脆弱性で、既に指摘済みだとしたら
セキュリティー屋には何もできんだろ。

>>328
出鱈目言ってんじゃねーよカス

継続課金でも、クレカ情報でなくPINとかSINと呼ばれる取引情報だけで決済できるだろ。

しかもクレカ情報そのものはSSLでやりとりしてるので、
もし仮に毎月クレカ情報をカード決済会社に送りつけるとしても、
今回みてーにローカルにタンキングしてハッカーに引っこ抜かれるよか、遥かに安全だろアホ

>>16
それじゃあ仕方ないなｗｗ

>>328
それはないよ
危険度は

DBに保持する＞＞＞＞＞＞毎回入力

>>334
＞トラフィック的にはアプリケーションサーバへの通常アクセスだw

だから、なんでAPに脆弱性があることは分かってるのに
APに外部から直接つながったりするようなことになってるんだよ！

Web ⇒ AP ⇒ DB

で完結して処理できるシステムにしろよ！
APやDBなんて外部から直接接続できるようにしてるほうがおかしいだろ！

>>335
セキュリティ屋ってすぐこれだよｗ

328があまり詳しくないことは容易に想像がつくんだから
間違いを指摘するだけでいいのに、
すぐ煽ったり偉そうに語りはじめるｗ

>>338
釣れますか？

>>339
＞セキュリティ屋ってすぐこれだよｗ

バカってすぐこれだよ（ 嘲笑 ）
妄想を重ねて赤っ恥の自爆すんだよなーｗｗｗｗｗｗｗｗ

システム屋でもセキュリティ屋 （ 何だそりゃ？ ）でもねーよアホ
ただの流通系企業で社内設計にたずさわっただけだバカ

>>340
リモートで保守が必要なときは
別口のVPNから保守が必要なサーバーへ経路をとらせるようにアクセスして運用をするって

APに脆弱性があるのに野ざらしとかありえない

ソニーは逆に今回のハッカー雇えばいいのに

アドホックパーティーがやりたくて先月17日にPS3買った俺涙目ｗｗｗ

NGP終わったなｗ
てか糞ニ−が終わったな。
サムスンに技術と魂を売り渡した報いだよ。

>>311
通常のトランザクションに見せかけた攻撃ってのが高度なのであって
脆弱性つかれたって部分は高度でもなんでもない

こういうのって保守費用ケチって、
最初に構築したらそのまま適当に動かしてるだけでしょ？

その辺りの認識は日本の一般的なWeb関連企業は共通だから、
たまたまSONYだから標的にされただけで、
他にも穴だらけの企業はいっぱいありそうｗ

>>338
攻撃ツールが中から外へトンネル張ってんじゃない？

なんかすごく痛いスレですねｗ


>>346
通常のトランザクションに見せかけて脆弱性突いた場合は、どっちなの？

>>338
>>334
＞APに外部から直接つながったり
直接つなげられないようにファイアウォールが入ってると思うのですが。

＞Web ⇒ AP ⇒ DB
＞で完結して処理できるシステムにしろよ！
そうなってると思うのですが。

>>349
ツール仕込むのはWeb経由だからFW関係ないよね？
WAF入れてて突破されたってのであれば、破られるで合ってるんだろうけど。

あとは、どういうPolicyで運用してたかの問題でしょ。

>>349
＞なんかすごく痛いスレですねｗ
それがいいんじゃないかｗ

つかFWの8080開きっぱで80行かずに8080繋げばAPサーバ丸見えとか
しょぼいシステムだったらあり得なくないけど、いくらなんでもソニーですよ。まさかね。

>>350
＞WAF入れてて突破
そこが焦点だよね。

＞あとは、どういうPolicyで運用
「津波で日本が弱ってる今なら突破できるのでは？」
みたいな思い込みで、腕利きのが本気だしたら、WAFも突破できるよねきっと。

震災でも感じたけど、スタンドアロンが最強

クラウドとか言ってもネットに繋がらなければ
使うことすら出来ないからね

>>351
さすがに>>250の図にはAPサーバの前にFWがあるから、外部からの直接アクセスをブロックしてるはず。
じゃないとFWを置いてる意味がない。

>>349
> 通常のトランザクションに見せかけて
それ単にSQLインジェクションを一般人に判りやすく言っただけ

>>355
はいその通りでちゅよー。
よくわかりまちたでちゅねー。
偉いでちゅねー。なでなでーなでなでー。



・・あー、GWダメだこりゃｗ

一般人は『トランザクション』なんて言葉は使わないから。
SGS語がつい出ちゃっただけw

痛いやつばかりだなｗ

>>356
あまり調子に乗ってると家族を殺される事になるよ？

>>358
だな。自分では何も説明できないのに、「間違ったことが書かれている」なんて
スレ全体で考えたら当たり前のことだけ書く奴とか、
明らかに間違った事を書きながら、「痛いスレ」とか「痛いやつばかり」とか書く奴とか。。。

>>358
ファイアーウォールが破られた発言の時点でネタ元が痛いから
もうどうでもいいやって感じｗ

波には耐えられるけど津波には耐えられないとな？

>>360
見せしめに何人か殺してやらんと目が覚めないのかね。

これってFWの問題じゃ無くって単なるサーバの構築ミスでしょ？

今のソニー社員はバカばっかりだから当然だなｗ

一週間ってアメリカ企業なんて半年放置してたのに
なんでソニーがこれほど叩かれるのかわからん。

>>361
ファイアーウォール？
なにそれ？

>「攻撃は、アプリケーションサーバー上の脆弱性を狙ったもの。
> ここから、アプリケーションにデータを送り不正な手口を使って、外部との通信を可能にし、データベースに攻撃ができるアクセス権限を入手し、データベースに不正にアクセスされた」
>「既知の脆弱性で、SNEIのマネジメントが認識していなかった」
↑
ソニーCIO　長谷島眞時

>>366
アンチソニーは声優やアニメ・漫画・ゲームの
アンチ並にタチが悪いのがものすごく多いから。

>>357
ちょっとDBかじったことある人なら誰だってわかる言葉だろう

>>363
通報しました

有能なハッカーにかかれば
防ぎようがないってことだよね？

>>22
やっぱりそう思う人は多いんだろうな

いったいなにがはじまるんです？

>>373
第三次世界大戦だ！

>>137
日本の技術力とかよりも金があるところに技術は行く。
金がない日本からは技術が逃げていく一方だよ。

>>373
ハッカー・クラッカー狩りとアンチソニー狩りだ。

こういうのハックした人間て捕まった事あるの？

日本の技術（笑

次はアップルの番か
クレカのセキュリティコード必須のアップルだと世界が終わるな

東電に続いて、ソニーも土下座か。

>>367
>「既知の脆弱性

キチガイの脆弱性、だなw

>>379
Appleの場合は信者の忠誠心がハンパないから侵入されても黙ってるだろ

◆ソニー流出問題についての記者会見動画

会見を生で見れなかったユーザーには絶対に届かないソニーの本音
ソニーをスポンサーとする日本のマスゴミが報道することはない生の声

フリーランスからの質問応答
(p)http://www.youtube.com/watch?v=E3oFv3clNbU
平井「個人情報の流出によって今のところ被害が出ているという認識はない（キリッ」
ユーザー「流出自体が被害なんだってばよ…」

>システムのファイアーウォール
GKか

あなたの預金は強盗に盗まれましたが、使われた形跡はありません(ｷﾘｯ

PS3はマジでガラクタ、有害

ぜ…危弱性

焼肉屋えびすが営業停止なのにSONYが営業を続けてよいわけがない

悪いのはハッカー
ソニーを叩いてるのはﾁｮﾝ

>>389
PS3が唯一売り上げで勝っているのは韓国だったはずです

ファイヤーウォール破られましたとか言って
単なるipchainsでしたとか言うんじゃないだろうなｗ

>>161
オレなんか「Perlの仮想メモリが〜」とか言われてしばらくして
どうやら連想配列（ハッシュ）のつもりだと気付いたときは眩暈がしたわ

ちなみにマイクロソフトのロゴに似せたｗ書体の
「（日本の有名メーカー名）＋ソフト」での話

これ、結局は正規のルートで侵入されただけで、ファイアウォールは破られてないだろw

>>382
GKとは別の意味でアップル信者もやばいよねw

PSNの使用料金はお客様の全財産になります。

品質に自信がなくて１年で自爆するタイマーをハードウェアに仕込んでる会社が、高品質のネットワークサービスを構築して顧客の財産を守れるわけないだろｗ

何でこんな簡単に破られるのか
意味が分からん
社員がメモリに入れて持ち出したとかの方がまだマシだったわ

普通に考えたら
外部から進入するのは殆ど不可能に近い
そうなると疑うのは

オナニーマウスはゲーマーの風上にも置けない糞集団
オナニーマウスはゲーマーの風上にも置けない糞集団
オナニーマウスはゲーマーの風上にも置けない糞集団
オナニーマウスはゲーマーの風上にも置けない糞集団
オナニーマウスはゲーマーの風上にも置けない糞集団
オナニーマウスはゲーマーの風上にも置けない糞集団

「FWを突破された」と言えばあたかも「やむを得ない天災でした」みたいな感じを一般人は受けるかも知れないけど
ちょっとセキュリティに詳しい人からすればそもそもFWは突破するようなものじゃないって
鋭い突っ込みが入るよな。

どうせあんちょこなパスワード（1234とかabcdとか）を設定していた社員を踏み台にした原始的な攻撃だろ。

まあLinux系のモジュールの脆弱性をいちいちパッチ当てるのは、
常時MLとかで、情報集めてないと厳しいからね。BSD系なら余計に
穴塞ぐのは大変。金かければ良いってものでもないし。

シスコみたいな大企業のより誰も知らない中小企業の作ったルーター
の方がマイナーで情報が無いから安全みたいなw

さすがネット工作のソニー、お抱えブログにもちゃんと手を回してますぞ

SCE社長がPSN問題発覚時にブロガーを集めていた
http://kamome.2ch.net/test/read.cgi/ghard/1304349438/

「はちま起稿」管理人
「わぷわぷだいあり〜♪」管理人
「ハマティーの伝説」管理人
「チラシの裏でゲーム鈍報」管理人
「ゲーム好きの戯言ブログ」管理人

はちま起稿
2011年04月27日01:16
SCEの河野社長と会ったりしてました(自慢)

「わぷわぷだいあり〜♪」管理人
http://twitter.com/#!/Widappy/statuses/62839351247249409
SCEのプレジデント、河野さんとお会いしたなう

「ハマティーの伝説」管理人
http://nagamochi.info/src/up66088.jpg
SCEのプレジデント、河野さんにお会いしたなう

「チラシの裏でゲーム鈍報」管理人
http://nagamochi.info/src/up66086.jpg
SCEのプレジデント、河野さんにお会いしたなう

「ゲーム好きの戯言ブログ」管理人
http://nagamochi.info/src/up66087.jpg
SCEのプレジデント、河野さんにお会いしたなう

「わぷわぷだいあり〜♪」
http://nagamochi.info/src/up66090.jpg　（修正）
SCEのプレジデント、河野さんとお会いしたなう

はちま起稿
2011年04月27日01:16
SCEの河野社長と会ったりしてました(自慢)
http://livedoor.2.blogimg.jp/gehad/imgs/3/6/362ff780.jpg

ソニー、また情報流出か　米子会社でカード１万件超
http://www.nikkei.com/news/headline/article/g=96958A9C93819691E2E0E2E2E78DE2E0E2E7E0E2E3E39F9FEAE2E2E2

>>391
おっさん乙ｗ

>>1
＞その段階では、確度のある情報を伝える状態になかった
だからなんとかできる、と思って黙ってたんだろｗ
顧客は二の次、最低企業だな。

sql injection とか簡単なものではないんじゃないかな?
不正のSQLを実行してデータベースを破壊することはできても、
セレクト分の結果を知ることはできないし。

tomcatかその関連モジュールの
既知のbuffer over flow を使ったのだとおもう。

>>410

> 不正のSQLを実行してデータベースを破壊することはできても、
> セレクト分の結果を知ることはできないし。

頭大丈夫？

DBMSは何かな?

>>411
実際こういう人が多いから今回のような問題になるんだろうね
ただウェブアプリケーションの脆弱性対策は体系的にまとまったものが無いから身につけるのが難しいというのはたしかにある

＞認識が甘かったことを認めており
物売るってレベルじゃねーぞ！

ソニーで新たに２４６０万人の情報流出
http://www.kahoku.co.jp/news/2011/05/2011050301000113.htm
ソニーは別の米ゲーム子会社もハッカーの不正侵入で約２４６０万人の情報流出の恐れがあると発表。


7700万+2460万で大台達成

>>413
大系的にまとまったものってＩＰＡの資料じダメ？

スレ読んでみたが、単純な手でクラックされてたのか・・・・・・・・

こりゃ、某高木センセが日記でコメントするかどうかも怪しいなぁ。

>>416
IPAのでいいと思うよ
あれは何気によく出来てる

ユーザー名：admin
パスワード：admin

純粋に外部からソニーの防御システムを破るのは無理。
破られたのは、内部からの情報漏えいがあったから。
米国子会社の韓国系社員だと推理するのが一番妥当。

韓国系は絶対雇ってはいけない。

apサーバーの脆弱性か・・
どうやってツールを入れたのだろうか
telnet？ターミナル接続？なんだろう
そもそもサーバはwindowsだったけ？

俺が思うに個人情報を個別の企業が持つのは危険じゃあるまいか。
どうしてもハックされるよ。

ＦＷが破られたっていうんだから、ＦＷのソフトの脆弱性なのかな。
まさか、設定ゆるゆるってわけじゃないだろうし。

>>419
scott/tiger

>>419
おまえ、この世に今存在する
企業の中のサーバーの６割の
ログインＩＤ・パスワードを
こんなところで晒したら、逮捕されるぞ。

これはな、Sonyがこのハッカーに「年俸1000万�jでうちにこないか？」
と誘うしかない！

結局、>>68に書かれてる通り、ＸＳＳを足がかりに不正プログラムを
送り込まれて、後はやりたい放題ってことか。

>>419
ドキッっとするから止めてくれ。割とまじで。

今回の様な事態を防ぐにはオープン系システムでは限界があるから、もうIBMのメインフレームを
導入するしか無いのかな？

もうオシマイなんだから
対策案とか要らないだろう

後の祭り

>>428
所詮は人間が管理してるんだから、システムだけでは
セキュリティ保護は無理。人間系や運用ルールを含め
ISMS取得できるくらいの全方位の対策が必要だろうね。

運用してるのソニーグローバルソリューションズでしょ？

不正なプログラムを入れられて外部から操作されたって言ってるが、FWはフィルタリングしてなかったのか？

というか、APサーバとかDBサーバとかプライベートアドレスにしておくのが普通じゃないのか？

まったく、わけがわからないよ。

FWなんて関係ないじゃん
FWがなんでも守ってくれるなんて思ったら大間違い

アプリケーション層っぽいけどな
FWは関係ないと思う

I'm sony

システム屋の仕事ってなぜこんなに御粗末なんだろ？

大事な情報はオフラインのみにしなかったソニーが悪いのか？

>436
運用と開発は分離してて、お互い我関せずになるから

>>431
SNEI。カリフォルニアのサンティエゴにあるデータセンターだと。
だからFBIに要請したんだな。
http://www.sony.co.jp/SonyInfo/News/Press/201105/11-0501/

カードの不正利用したところで足がつくだろ
不正利用されたとか自作自演する馬鹿は出てきそうだが

ファイヤーウォールとゲートキーパーって違うの？

ハッカー集団「Anonymous」のソニー攻撃問題まとめ
http://matome.naver.jp/odai/2130205741970885201

Geohot「ソニーよ。もし次世代ゲーム機のセキュリティを万全にしたいなら、私にコンタクトを取りたまえ」
http://amaebi.net/archives/1641122.html

このGeohotというハッカーがPS3ハックツールを世界中にバラ撒いたのが原因
しかも、ハックツールをネット上に公開した上でソニーに取引を持ちかけている
とんでもないクソ野郎

>>439
技術は常に進化している
警視庁の資料流出挿せた奴の足がなぜ付かなかったのか調べてみ

天網恢恢疎にして漏らさず　のつもりだったが　お粗末すぎて漏れ漏れだったって訳か・・・

ソニーのオンラインゲームのシステムが何者かの不正侵入を受け、全世界で
１億人分を超える個人情報が流出した可能性がある問題で、カナダの女性利用者が
１０億カナダドル（約８５０億円）超の損害賠償を求めて同社を提訴したことが３日、
分かった。原告の弁護士事務所が発表した。カナダで被害に遭った恐れがある
１００万人を代表する集団訴訟を目指している。

▲朝日新聞(2011/05/04 12:06)
カナダでもソニー提訴＝情報流出で賠償請求
http://www.asahi.com/international/jiji/JJT201105040022.html

>>444
これで勝つと一人頭85000円か

SONY終了のお知らせ

ファイアーウォールはアプライアンスのjuniper製にしとけっての。
独自のやつなら破られないのに。

>>432
ソニーは社員にグローバルアドレス渡しているから、
プライベートアドレス使わないんじゃねーの。

とにかく間抜けな運用をしているとしか…

AppleやMSがハッカーに対して追い込みかけないのはこういうリスクがあるからなのかもね

>>449
常識で考えればSONYの対応はガキの発作
なにかよほど後ろめたいことをしている者の反応

>>448
クラスAを持ってるんだったかな？

だからってDBサーバとかパブリックなアドレス振ることはあるまいに。

>>448,451
欠陥があったのはウェブサーバの裏に居るアプリケーションサーバ
その欠陥を突いてまずアプリケーションサーバに侵入された
アプリケーションサーバとDBサーバは直接つながっているので情報取り放題

ポート塞いでないってレベルだったりして

例えば小規模なウェブサイトによくある
Apache+PHP+MySQL
という構成では
ApacheがHTTPサーバ
PHPがアプリケーションサーバ
MySQLがデータベース

PSNではそれぞれを別のサーバで動かしていたようだ

侵入されてrootを取られたと思っている人も多いが
必ずしもそうではないかもしれない
アプリケーションサーバからデータベースサーバに接続してデータを引き出すのに
root権限は必要ないからだ

ただしアプリケーションサーバの脆弱性を放置していたくらいだから
他の権限上昇を可能にする脆弱性も同様に放置していたと思われ
rootを取られていたとしても何ら不思議は無い

アプリケーションサーバとデータベースサーバの間にファイアウォールは無かったと思われる
この点でも杜撰な構成だったと言わざるを得ない
通常、ウェブサーバやアプリケーションサーバはDMZに置き
DMZからデータベースサーバへのアクセスはファイアウォールを経由させる

>>451
いや、そうとは言えんぞ。
SONYのシステムに関わった人間から聞いた話だけど、
アホみたいにグローバルアドレス使ってるらしい。

子会社の社内用のイントラとかでもつかってるとか。

>>455
分からんのだが、外部に公開するポートはHTTP、HTTPS、あとゲームで使うポートだけとしても、
それらでアクセスして全部のデータぶっこ抜けるものなのか？

サーバのroot権限とPS3のルートキーの区別がついてない人も多いけど
両者はまったく別の物
PS3のルートキーはサーバへの侵入には何の関係もない

>>457
この場合ウェブサーバは一種のプロキシーとして動作する
そしてHTTPは汎用のデータ転送プロトコルなので中身には何でも流せる
アプリケーションサーバの脆弱性がどんなものだったのか調べてないが
仮にシェルアクセスを許すようなものだったとすれば
どのようなデータでも取り放題になる

>>65
直近で見た２つのシステムで$_GETをそのまんまDBに突っ込んでた。
かたっぱしから試したら、10%くらいのシステムはSQLインジェクシ
ョンで落ちるかもしれないよ。

主旨　　正確な情報、知識を得て、家族、親せき、友人、知人を守りましょう


45秒待って「無料ダウンロード」をクリック。「展開(解凍)」してから見てください。

＊まとめ5　終焉に向かう原子力2011年4月29日(金)　小出裕章(こいでひろあき)氏講演
http://www.megaupload.com/?d=TN4WFTV5
＊まとめ2　[内藤新吾★]危険な国策「恐ろしい原発の仕組み」「保安院の姿」／[★肥田舜太郎(ひだしゅんたろう)]低線量被曝と「ぶらぶら病」4
http://www.megaupload.com/?d=SYUKIR5H
＊まとめ1　600Km離れても危険　放射能ホットスポット／[★小出裕章(こいでひろあき)]大切な人に伝えたい 「隠される原子力」
http://www.megaupload.com/?d=L3QFZYPU
＊まとめ3　[★菅谷 昭(すげのやあきら)]5年間のチェルノブイリ医療支援体験から／／チェルノブイリの闘い
http://www.megaupload.com/?d=D9OBSPWT
＊まとめ4　恐ろしい原発の真実[★広瀬隆]／原発がきて町がどうなったか／隠された日本の原発労働者
http://www.megaupload.com/?d=PX7DG5GX
＊まとめ6　原発事故と今後　[★孫正義]　★★2時間1分ごろから「今後」　　★16分30秒から寄付　　★20分から田中三彦(たなかみつひこ)×後藤政志(ごとうまさし)さん紹介　2011-04-03
http://www.megaupload.com/?d=120Z9SD6
http://www.ustream.tv/recorded/13845813

ドイツ気象庁●「伊那の谷から古代が見える」
http://utukusinom.exblog.jp/
汚染農産物　　http://atmc.jp/food/
微量放射能被害は10年後にやってくる　★鎌仲ひとみ監督
http://www.cinematoday.jp/page/N0031748
●小出裕章　http://www.youtube.com/watch?v=tpMTeIj-2vg&feature=related
■恐怖の小中学生への原発プロパガンダ教育
http://www.youtube.com/watch?v=q9WZ4TPHvi0

>>460
PHP厨房は仕方ない
存在そのものがSQLインジェクションだから
無知が安全よりも技術よりも仕様よりも優先する

お前らセキュリティの知識ゼロだな。
最初に侵入されたのがJava Serverって言ってる。
セキュリティホールが放置プレーだったから特殊なリクエストを送って即root奪取。
さらにrootキット送り込んでサーバー全体を乗っ取ったんだろう。
あとはJDBCインターフェース経由でSQL発行しまくりってところだ。
お粗末すぎるね。WebアプリケーションFW位いれとけよ。

>>463
root取ってるのに律儀にJDBC経由でSQL叩くとは
さすがJavaプログラマは行儀が良いな
PHP厨房とは一味違う

>>464
ばかだねえ。DBMS側で制限かかってるだろが。

ファイアーウォールって破れんの？許可されてるとこから侵入されて何やかややられたんじゃないの？

＞ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、アプリケーションサーバの脆弱性をついて不正に侵入。

これって想定通りにFW通って来たのにAPサーバの脆弱性突かれたってこと？
これ何処の製品か知らないけどベンダー側の方がヤバいんじゃ？

>>466
それで合ってる

>>467
「既知の脆弱性」って書いてあるだろ
もうベンダーは修正済のをリリースしてる
ゼロデイ攻撃とかじゃないからベンダーには何の責任も無い
修正版に入れ替えなかったSONYが馬鹿なだけ

>>466
ファイアーウォールは破られていないと思う。
許可されたボートから侵入されただけでしょ。

ベンダーどこだろうね
大変そう

まあ妙な請求きたら拒否って
「すべてソニーが悪い！そんなのにカード決済認めたおまえらも悪いから払わない」
で通るだろ？

>>468
すまん一応読み返したが「既知の」ってのが見つからなかった。
別ソースの記述？

読み漏らしてるんだろうか…

>>468
ですよねー。
HTTPリクエストをAPサーバにまで送りつけて任意のSQLを実行して結果を受け取る・・・そんなことができるんだこわいぉ
既知の脆弱性ですか・・なんかそのAPサーバ特有のすんごい特殊な機能使ってたのかなぁ・・
APサーバに到達するURIは制限するだろうし、商用システムなら入力値に対しては
普通サニタイズ+入力値チェックでSQLインジェクション対策は自然と冗長になっていくもんだし

凄い奴だとファイアーウォールも破っちまうわけ？
こうゆうのホントわからん・・・。
やってる最中にバレるとかないんだろか？

Firewalls cannot inspect any packets unreceived.

From this point of view the reason why the PSN's firewalls didn't work
in this very serious security violation falls into three categories:

　1) Poor configuration of firewalls
　2) Firewall OS's vulnerability issue
　3) Bypass connection

ケサオ来たー。

>>475
1)3)は単に利用者のミスだなw破られたっていうのか？

>>470
オラコーだから心配には及ばない

東電にしろソニーにしろ酷いもんだな
日本ってここまでぬるま湯だったんか

「想定外」
「甘かった」

ハッカーともめてるのに
既知の脆弱性放置とか・・・

>>477

Think simple, Pooh! Firewalls send the logs to log server, didn't they?

If Trespassers W didn't have privilege access to firewalls, he (Trespassers W)
cannot delete send log configuration from firewalls.

Firewalls listened a TCP port of web console for configuration, didn't they?
If not so, he (Trespassers W) could abuse firewall OS's vulnerability to
get privilege enough to erase log server address(es) from the systems.

I know vulnerability of web console gave Privilege Fifteen once.

日本語で頼む

>>478

If the threats used SQL Injection techniques to steal
data of accounts, the SPI feature of PSN's firewalls
dropped the command, didn't it?

>>483

バイトの早起きなので、もう寝ます。
おやすみなちい。

最新５０スレ内で、書いてある意味が完全にわかるのは>>483だけだった。

>>484
ただのFWでは特定のIPアドレスやポートの通信をブロックするだけで。
SQLなどの悪意のある攻撃を止めることはできない。
これにはIPSなりWAFなりが必要。
ただしIPSやWAFには誤検知がつきものだから、導入は慎重に検討する必要がある。

>>1
ところで今回の企業テロに対してアメリカの司法当局は何してんの？
犯人の目星くらいついてんだろ？

ソニーの説明じゃWwbサーバ、APサーバ、DBサーバのそれぞれの間にもFWを置いてたな。

当然、APサーバはWebサーバ以外から、DBサーバはAPサーバ以外からの接続は受け付けない様にするはずなのに
なぜかDBサーバに入れられた通信プログラムがFW素通りして外部と通信してる様な描かれ方だったな。

Webサーバ以外の外部から接続されたらマズいサーバにまでグローバルアドレスを振ってるとか、わけがわからん。

常識にとらわれないなんてさすがだな。

ソニーの管理はかなりいい加減っぽい。

プレステ情報流出：ソニー会見も対応や安全性に不信感
http://mainichi.jp/select/biz/news/20110502k0000m020097000c.html
ソニーの対応については、米下院エネルギー・商業委員会が先月２９日、
公表に時間がかかった理由などを問いただす質問状を平井副社長あてに送付し、
５月６日までの回答を求めた。米ミズーリ州やコネティカット州の司法長官も
「ソニーの対応は受け入れがたい」との声明を公表した。

だが、不正侵入から１０日以上過ぎても流出の全容は不明だ。平井副社長は
「どのデータがどれくらいの量、流出したのかは残念ながら断定できていない」
と認めた。対応を誤ればリコール問題で批判を浴びたトヨタ自動車の二の舞いになりかねない。

　さらに、攻撃されたデータセンターは、各サーバー間に防御システムを構築していたが、
ハッカーは、ゲームなどのデータを管理するサーバーの脆弱さを突き、防御システムを
すり抜けて、個人情報を管理するサーバーにアクセスした。
会見したソニーの長谷島真時ＣＩＯ（最高情報責任者）は

「業界ではよく知られた脆弱性だったが、システムを管轄する子会社の
　責任者が認識していなかった」と説明。

新たに長谷島ＣＩＯを最高情報セキュリティー責任者に任命して体制を強化することも
公表したが、ソニーの会見後、インターネットの掲示板には、利用者から

「素人ならまだしもメーカーが知らないではすまされない」

などとお粗末ぶりに不満の書き込みが相次いだ。
専門家は　「ソニーというブランドに加え、パソコンより家庭用ゲーム機は安全というイメージも崩れた」
と指摘する。

後はそのハッカーさんが賠償してくれるでしょう

昔はそうじゃなかったかもしれないけど、今のソニーの体質は完全にユーザー軽視。

ゴキブリ飼って情報操作ばかりしてるのが良い例。ソニータイマーもハッキリ言って都市伝説とかではなく
現実。
オレが買ったソニー製品はことごとく壊れた。ウォークマンからCDコンポ、PS、PS2、PSP。
しかもサポセンがえらい舐めた態度取った。

SONYが好きだった。だからこその反ソニーみたいな動きがあったのは否めないと思う。

申し訳ないが　ざまぁｗ　としか思えない。　未だソニー信者してるGKとかマジで死んどけｗと。

ソニーでは「緊急で致命的」なセキュリティパッチを当てるにも
上から指示があるまで待機。その間数週間。

正直、当ててから問題あったら戻せばいいと思う。
仮想化でその辺が十分現実的な対応になっているのに、なぜしないんだろうと思う。

あ、頭が固いからか。

>>494
GK（GateKeeper**.Sony.CO.JP＝ソニー社員）は、ソニー信者ではありません。

社員自身が品質に不安
ソニー社員の85%がソニー製品に落胆！
http://www.toyokeizai.net/business/strategy/detail/AC/b0ce12cc9e4eef6593e3a4bba7c457f0/page/3/

> (ソニーの)品質センターが国内外のソニー社員約１万人を対象に意識調査を実施。浮かび上がったのは、
> 長年のライバル、パナソニックの製品のほうがソニーの製品よりも高品質だと認める社員が４割に上り、
> 自社製品を買って品質にがっかりした経験がある社員が８割を超えたという現実だ。ほかに約半数の
> 社員が、ソニー製は競合他社製品より、耐久性・信頼性の面で劣ると答えている結果もあった。

http://www.toyokeizai.net/public/image/2009013000156854-2.jpg

> 作り手である社員自身が「自社の製品品質を評価できない」と考えているならば、
> 製造業として大きな問題を抱えていると言ってよいだろう。
> ヒット商品を生み出せず、 利益も出ず、品質も後塵を拝している。
> ソニーは崖っ縁の状況に追い込まれている。

おそるべし、りんごの力

ｽﾏﾝ、495は >>493 へのレスね

中国のファイアウォールを見習え！

マスターカードを例に挙げてる人がいるが、
あれ、外部の CardSystems Solution という決済システムを扱う会社がやられたもので、マスターカードの本社じゃない
同時に、他社のカードの情報も漏れてる
マスターカードは矢面に立ってカード会社のシステムにおける個人情報の保護性を広報した形
カード情報の流失はあったが、個人情報の流失はなかった
http://www.itmedia.co.jp/enterprise/articles/0506/18/news008.html

その後、CardSystems Solutionは各所から取引を引き上げられ、買収にあって消滅

>>498
国家を上げて企業情報盗もうとしてるけどな

>>487
誤検知しすぎると、誰彼かまわず吠えまくるバカ犬状態で、
本当に大事な箇所を見落としたりするんだよね。

>>501
その辺難しいよね〜

買ってはいけない
使ってはいけない
ソニーの関連企業一覧
http://www.sony.co.jp/grouplink/

>>484,487,501

If only the PSN had used Check Point's Stateful Packet Inspection technology, Cisco's CBAC, etc. ....
By the way, what I want to know is how they knew the threats broke in through firewalls.

ケサオ来たー。

>>1
マジかよユッケ捨ててくる

えー、素人の質問で申し訳有りませんが

SONYBANK　は大丈夫なんでしょうか？

>>507
大丈夫なわけないだろ
もし口座持ってるならさっさと解約しとけ

>>471
I suppose the PSN's firewalls are Application Layer informations inspection capable.
I cannnot believe SONY uses poor firewalls. By the way, we can read that web servers,
application servers, and database servers aren't in the same DNS from >>250 image.
I suppose that three firewalls shown in >>250 means firewalls in the SCEI's alliance
partners ASs.

I suspect the threats logged in the web servers from fortress host.

>> ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、アプリケーションサーバの脆弱性をついて不正に侵入
もしかしてWebAppに顧客リスト表示のメンテプログラムとか載せてたのかしら？

>>507
((((゜д゜;))))

>>507
ソニー銀行は、問い合わせないと残高が勝手に減ってても放置されるぞ。
使用履歴を毎回チェックできないなら解約しとけ。


顧客口座から預金詐取　ソニー銀行元行員を逮捕 (産経新聞)
http://www.iza.ne.jp/news/newsarticle/event/crime/393927/
インターネット専門のソニー銀行（東京都千代田区）の顧客口座から計約３７００万円を詐取した
として、警視庁捜査２課は２１日、不正アクセス禁止法違反や電子計算機使用詐欺などの疑いで、
元行員の松浦康真（やすまさ）容疑者（２９）＝東京都北区豊島＝を逮捕した。
同課によると、松浦容疑者は「ＦＸ（外国為替証拠金取引）の損失を穴埋めするためにやった」
と容疑を認めている。

同課の調べによると、松浦容疑者は顧客情報を管理するコンピューターに部下のＩＤを使って
不正アクセスし、預金者のパスワードを改ざん。
新たに設定したパスワードを使って平成２０年９月中旬〜２１年８月下旬、１５回にわたり、
顧客５人の口座から自分が管理する別口座に計約３７００万円を勝手に移し、詐取した疑いが
持たれている。

松浦容疑者は残高が多く、口座の動きが比較的少ない顧客に狙いを定め、犯行に及んでいたという。
残高が減っていることに気付いた顧客が問い合わせ、不正が発覚。

Sessions come from the web servers are not filtered by firewalls in front of
application servers, I suppose.

We can see fortress hosts in common network designs. In such designs,
administrators can access the hosts through VPN connection, dial-up
connection, etcetera etcetera.

Ooops... DNS in >>509 must be DMZ....

>>471
I suppose the PSN's firewalls are Application Layer informations inspection capable.
I cannnot believe SONY uses poor firewalls. By the way, we can read that web servers,
application servers, and database servers aren't in the same DMZ from >>250 image.
I suppose that three firewalls shown in >>250 means firewalls in the SCEI's alliance
partners ASs.

I suspect the threats logged in the web servers from fortress host.

こいつらパスワード平文で保管してたよね

株価はストップ安だな

>>512

部下って派遣なの？社員なの？

部下を辞めさせるつもりだったのかな？追い込んでいたのかな？
怖いのぅ…。

しかしサーバーから痕跡を完全に消すのは不可能だから
警察巻き込んで本腰入れれば犯人は特定されそうだけどな

【速報】SONYが2chに削除要請　「法的措置を辞さない」
http://hatsukari.2ch.net/test/read.cgi/news/1304611266/

＞ロイター通信は「日本企業によくみられる経営階層や会議の長さを考えれば、1週間はそんなに遅くはない。


笑)

【速報】SONYが2chに削除要請　「法的措置を辞さない」
http://hatsukari.2ch.net/test/read.cgi/news/1304611266/l50

>>489,490

>>489-san confuses about the global address. You can use global address
as you want in your network. Only when you want to have routable IP address(es)
on the Internet, you must take the address(es) from the IETF suborganization(s).

ファイヤーボール

>>489-san confuses about the global address. You can use global address(es)
as you want in your network. Only when you want to have routable IP address(es)
on the Internet, you must take the address(es) from the IETF suborganization(s).

ケサオ帰ったー。


寝るぜ。

>>519
ν速に釣られて規制板に書き込んだバカのおかげで
大量規制祭りが開催される予感w

な、なんだってー。

>>524

×： IETF
○： IANA



>>489-san confuses about the global address. You can use global address(es)
as you want in your network. Only when you want to have routable IP address(es)
on the Internet, you must take the address(es) from the IANA suborganization(s).

>>518
公共のWifiスポットとか、他人の無線LANハックとか使われたらもう追跡は無理かと

>>521
これは酷いw

>529
かんすカメラとか引っ掛かればいいけど
えげれすじゃないしな