英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺 70
ストーリー by hylom
事件は予想外の方向へ 部門より
事件は予想外の方向へ 部門より
あるAnonymous Coward 曰く、
英国を拠点とするISP、VAservのバーチャルサーバインフラがzero-day攻撃を受け、10万ものウェブサイトのデータが削除されたそうだ(本家/.、The Register、Computerworldより)。
VAservの顧客の半数程は、同社が提供していたバックアップ無しの安価なプランに申し込んでいたとのこと。同社は安価なホスティングサービスに人気というHyperVMというバーチャライゼーションソリューションを導入していたが、今回の攻撃はこのHyperVMの脆弱性を突いたものであった。ハッカーらはデータを削除しただけでなく顧客のクレジットカードデータやその他のサーバ上の情報を入手した可能性が高いという。
この事件はその後更なる展開をみせ、HyperVMを開発・販売していたインドのLxLabs社の社長、KT Ligesh氏が8日、バンガロールの自宅で死んでいるのが見つかったとのこと。自殺とみられるそうだ。同居している友人がLigesh氏と7日の夜に自宅で飲んだ際、Ligesh氏は5年前に自殺した母と女兄弟や、最近ライバル社に取られてしまった契約についても感情的になっていたとのことで、VAservの件と自殺との間に直接的な結びつきがあるかどうかはまだ分かっていないとのこと。
なお、今回の攻撃は簡単に再現できるとのことで、今後も同様の攻撃が起きる恐れがあるそうだ。
ナニが何やらワケわかめ (スコア:1)
リンク先とか、一通り見たけど、
情弱には、サブジェクトの感想しか持ち得なかった。
vaservのトップページ [vaserv.com]が悲惨なのだけ分かった。
// アクセス自体には、セキュリティリスクは無いようだけど、
// リンク踏むのは自己責任で
// なんていうか「カオス」としか言えないような
Re: (スコア:0)
私はHypervmがどういうものなのか,よく分からなかったのだけど
この事件は便利なwebベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がってて攻撃を受けたという理解で宜しいのでしょうか?
素人目にも危なっかしいシステム構成のような気がしますが,ユーザーがInternet経由で自分のホスト/仮想マシンの管理が出来る,だからサーバー屋さんは管理コストを削ってレンタルサーバーのお値段がお安くなる,なのでいろんなところで使われていたということなのかな?
Re:ナニが何やらワケわかめ (スコア:3, 興味深い)
ドメイン複数運用可能E-Mail無制限とか謳っているレンタルサーバは割とこの手のWeb管理インターフェースを解放していますよ。
去年の今頃関わってた複数サイトもそうだったしroot権限貰ってたけど
当初はSSHやFTP何かもIP制限すら掛かってなくてサーバにアタックログいっぱい残ってた。
#離れるときにパスワード変えて下さいねってお願いしたのに数ヶ月後泣きついてきてパスワードは?と聞くとそのままだったので多分今もそのままなんだろうなぁ
Re: (スコア:0)
パスワードを聞いているという事は、作業をさせているような
Re:ナニが何やらワケわかめ (スコア:1)
一個下のコメントとかぶりますが愚痴も入ってます。
なんせ、契約打ち切りの理由が「技術者イラネ」(ポータルサイト立ち上げるとか言ってるのに)
で、なんかWebサーバが立ち上がらなくなったと泣きついてきたんです。
それで、自宅のIPからのSSH解放するためにWebインターフェースの管理画面のパスワードを聞いたのです。
一応ランダムな文字列ですけどそんなに長くないので本気でアタックしたら多分使えちゃうと思います。
#落ちはTOMCATをApacheのモジュールとして動かす技術力無くて両方サーバで80番開こうとして立ち上がらなかったと言う。
#作ってる会社はサーバ管理はそのWebインターフェースでしかいじれません。
Re: (スコア:0)
> なんせ、契約打ち切りの理由が「技術者イラネ」(ポータルサイト立ち上げるとか言ってるのに)
> で、なんかWebサーバが立ち上がらなくなったと泣きついてきたんです。
こういう場合には100万だろうと請求できるわけですが、
請求明細は、作業料5万円、技術料5万円、相談料90万円ぐらい書いたほうがいいよね。
払えないとかいってきても、代わりに営業交渉する代理人を立てればいい。
Re: (スコア:0)
ただの中の人だった立場からの愚痴では?
Re:ナニが何やらワケわかめ (スコア:2, 興味深い)
>webベースで管理する仮想化ソフトのコンソール(?)が外(Internet)に繋がって
これは、恐らくそんな感じだったんじゃないですかね?
Takahacircus氏のコメントにあるように、
類似のサイトも、世間には割と存在するのかも知れません。
セキュリティ的にどうよ? といえば、
確かにヤバゲかもしんないけど、それはそれでアリじゃないっすか?
サーバ設置した現場と、サイトと専用回線張った端末だけでしか触れない
ていうのは、セキュアっちゃあセキュアだけど、やっぱ不便だしょ。
それに、運用がしっかりしていれば、ある程度のセキュリティは
担保できるんじゃないでしょうかね?
「しっかりした運用」なんてモノが、ほいほい実現できるなら、
この世にウェブ上のトラブルなんて、存在しないはずだけど。
アタックの実際は、私にはトンと分からないです。
「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、
vaservは「違うよ、全然違うよ [theregister.co.uk]」って言ってるみたいです。
いや、ま、本当に違うのかどうかは分かんないけど。
ちょっと興味深いのは、registerに「"rm -rf"が発行できる程の権限を奪われた」
みたいな記述があるので、運用中のサイトで、本当に "rm -rf" をぶちかました
稀有な実例だったのかもしれません。
Re:ナニが何やらワケわかめ (スコア:1)
>「ゆるいパスワード使ってたんだろ」みたいなツッコミもあったぽいけど、
>vaservは「違うよ、全然違うよ」って言ってるみたいです。
パスワードがゆるかろうとゆるくなかろうと、
全通りアタックされればいずれは解けちゃうわけで、
アタックへの監視がゆるかったという話ではないかな。
言い訳がなんかずれてますな。
遺伝じゃない?あるいは家庭環境 (スコア:0)
>Ligesh氏は5年前に自殺した母と女兄弟や・・・
遺伝かもしくは育てられた環境のせいで、精神が不安定になりやすいたちだったとか。
自殺の多い家系、精神病患者が多く出る家系ってのは実際にあるようだし。
Re: (スコア:0)
遺伝かどうかは私の知るところで無いので言及を避けますが、
他の要因、例えば責任感の強さは教育を通して親子で受け継ぎやすい、なども考えられますね。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
だめなやつは何をやってもだめって事はみんなわかってるからな
つまりこういうこと? (スコア:0)
金勘定や市場分析は任せられても、バックアップは自分で責任持ってやれと。
それより、顧客の情報を社外に置くなど論外だと。
Re: (スコア:0)
まさか (スコア:0)
ソフトウェアの脆弱性だけではなく、社長の脆弱性もつくとは。
世の中に0-dayな脆弱性がある人、気をつけて!
Re: (スコア:0)
> 0-dayな脆弱性がある人
経絡秘孔ですね、わかります。
Re:まさか (スコア:2, おもしろおかしい)
#だがLxLabs社にはまだ秘孔変位の奥義が…グハッ!な、なぜだ?!秘孔はずらしたはずなのに!!
Re:タイトルも記事も誘導やろ (スコア:2, おもしろおかしい)
「ネット住民」とか一括りにしないで頂きたい。
ネットには、センセーショナルなフレーズを並べて関連性の不明な事柄をあたかも因果関係があるかのように印象づけようとするマスコミ風の輩から、何でもかんでも「ネット住民」で一括りにしたがるマスコミ風の輩まで、実に様々な考え方の人々が居るんですから。
Re: (スコア:0, すばらしい洞察)
>これもマイナス扱いなんだろうね。
そりゃマイナスが妥当だもの。指摘している内容が、あまり的外れだから。
>普段マスコミ批判してるわりには関連性の不明な憶測を平気でするよね、ネット住民って。
関連性は不明だがと前置きした上で、他に色々あったという事実を書いているだけでしょ。
この時点で既に、捏造で叩かれるマスゴミさんとは比較するのが間違っている。
ネット住人が雑談するためのサイトでタイトルが煽りでも、名誉毀損などに抵触しない限り、
影響力的に同義的責任をマスゴミさん並みにしろというほうがどうかしている。
そんな本質的でない議論をしたい奴に「フレームのもと」がつけられて何か変かい?
Re: (スコア:0)
こういうコメントを見ると、確かに一部の日本のwebは残念かもしれないと思わなくもないな(笑)
Re: (スコア:0)
『英ISPのVAserv、zero-day攻撃を受ける』
『脆弱性を突かれたソフトウエア会社の社長が自殺』
「誘導」あるいは「関連性の不明な憶測」がどこにあるのか、わからなくて困ってるんだが、
よかったら教えてもらえないだろうか。
Re: (スコア:0)
って文章(特に「ネット住民」などというグルーピング)に問題があるだけなんで、素直に事実だけ指摘すればいい。
「英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺」というタイトルだが、前者と後者の関連性は不明な二つの事柄を並べた、しかもショッキングでキャッチーなタイトルをつけるのは、誘導じみているよという指摘だけしてれば良い。
#ま、マスコミもよくやるテクニックなのは事実だが。
殺人鬼なんかと一緒に居られるか!俺は部屋に戻る! (スコア:0, オフトピック)
Re:攻撃者は管理者の心の脆弱性まで配慮しないとね (スコア:2, おもしろおかしい)
Re:攻撃者は管理者の心の脆弱性まで配慮しないとね (スコア:1)
5百円で塞げる脆弱性には一つしか心当たり [google.com]がない・・・・
Youthの半分はバファリンでできています。
コンティニューなんて (スコア:1)
コンティニューなんてできたとしてもしたくないです。
できればゲームを始めたくなかった。
俺が始めたゲームじゃないが、痛みを伴わない電源スイッチが見つからないんだ。
#処方されてるお薬をコツコツためるしかないかねぇ…
#貯金が増えていくよりも楽しみだ。
屍体メモ [windy.cx]
Re: (スコア:0)
これはもちろん殺人ですね。
Re:攻撃者は管理者の心の脆弱性まで配慮しないとね (スコア:1)
車を盗んだら被害者は開業医で往診に出かけられず、容態が急変して患者が(略
これはもちろん殺人ですね。
周囲に他に車は無く、持ち主は見当たらないがカギの付いた車が放置してあって、
産気づいた妻をすぐ病院に運ばなければ母子ともに助からない状況でもかね?
車を盗まず、患者が助かって親子が死んでも殺人ではない?
それとも数で決めるかね? 2vs1とか。
条件を弄ぶのはやめたまえ。
回り回って人が死んだら殺人というのなら、何かをしようとする人間は全て殺人者だ。
政治家もOSSの開発者もな。
Re: (スコア:0)
Re: (スコア:0)
その前にそばにいそうな開業医に連絡したほうが早いんじゃ?
Re: (スコア:0)
普通に読めば、#1585446さん [srad.jp]のコメントは、元の#1585389さん [srad.jp]に対する皮肉だと思いますよ。
冷静になりましょう。
Re: (スコア:0)
元コメ(#1585389)は僕ですが、「攻撃によって思い詰めて人が死ぬ事もあるからやめろよな」という気持ちで書きました。でもそれに対しての#1585446のレスは「攻撃は自殺とは関係ないよ(だから攻撃してもOK)」とも受け取れるようなないようですね。
今後、#1585446が人道的に間違いを犯さない事を祈ります。
Re: (スコア:0)
>ようするに#1585446は、裁判によって攻撃と自殺の因果関係があると認定されたとしても、まだなお「攻撃者による攻撃の結果、担当者が思い詰めて死のうがどうしようが知ったこっちゃねーよ、攻撃者には自殺に関する1ミリの責任もないよ」と主張する立場をとる、と?
>元コメ(#1585389)は僕ですが、「攻撃によって思い詰めて人が死ぬ事もあるからやめろよな」という気持ちで書きました。でもそれに対しての#1585446のレスは「攻撃は自殺とは関係ないよ(だから攻撃してもOK)」とも受け取れるようなないようですね。
>今後、#1585446が人道的に間違いを犯さ
Re: (スコア:0)
って、その言い方はまず極論なのはおいといて、
こちらのいたずら半分が、相手に死ぬほどのショックを与えることだってあるってことは
ネット上だろうと現実だろうと変わらない。
ところがどうもネット上だとそういうところが麻痺する人が多いようで
「殺す気なんてなかったよ」
で済ませてしまう。いや、実際社会的には済んでしまうんだけれど
人として最悪なありようだよなそれは。
結果はどうあれこの手の行為が他人に迷惑をかけることだというのは
攻撃者は十分承知なつもりで悪ぶってるんだろうけど
こういう手合いは「他人に迷惑をかける」という行為自体に実感が持ててないんちゃうかと。
人が死のうが死ぬまいが奴らが最悪のクソだという事実に変わりはないっちゅうの。
Re:インドの地名 (スコア:2, おもしろおかしい)
あんたはトマトを「トメィトゥ」、たまごを「タメィゴゥ」っていうクチか?
Re: (スコア:0)
た、たまごは関係ないだろたまごは!
Re:インドの地名 (スコア:1)
ふつうは「ポテト」をもってきそうなものだが、関係ないとか言わないでください (T_T)
Re: (スコア:0)
Re:インドの地名 (スコア:1, おもしろおかしい)
Re:インドの地名 (スコア:1)
「インド」じゃなくて「バーラト」って言ってくださいよ。
#突き詰めようとすればするほど無意味になってきますよ
Re:インドの地名 (スコア:1, 参考になる)
日本の外務省が"Bengaluru"を基に「ベンガルール」と書いたら、インド政府から内政干渉だと言われるかもしれません。
ちなみに、ミャンマー連邦のことを、イギリス政府やアメリカ政府は政治的理由から"Burma"と言っています。
Re:インドの地名 (スコア:1, おもしろおかしい)
そのうち「政治的に正しい体操服 - ブルマーの復権」という本が出版されるのですね。支持します。
Re: (スコア:0)
#オフトピにも程があるな(笑)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
あれ、インド政府が名称変更を言い出したんじゃなかった?
ちなみにぐぐるさまはBengaluruですね。
http://maps.google.com/?ie=UTF8&ll=12.956383,77.590942&spn=32.... [google.com]
Re: (スコア:0)