驚かない不正アクセス
タイミングがよろしいというかよろしくないというか、
第三者のなりすましによるID・パスワードを用いた不正なアクセス試行があり、So-net会員がサービスの利用料金に基づいて付与されている「ソネットポイント」の商品交換で不正利用があったことが判明した
So-net、不正アクセスによる「ソネットポイント」の不正利用が判明 -INTERNET Watch Watch
こういうことがあったらしいのだった。ちょっと前にも書いたけど、こういう事態になったとしてもここなら自分はちっとも不思議に思わない。今さら驚かない。
例によって、偏見ではあるが根拠はある。ここを利用していた時に自分のアカウントを不正アクセスされたことがあったのだけれど、こちらから連絡するまで事態をまったく把握していなかった。このISPって、システム管理者の立場でなければ見ることができないログその他の観察とかをあまりやらない傾向があると思うわけで*1。だから
ユーザーからの問い合わせがあり、内部調査したところ
So-net、ポイントサービスで不正利用発覚 第三者が会員なりすまし - ITmedia NEWS
こういうことになる。気づいていない状態でユーザーに指摘されて、それからやっと調査したんでしょ、おそらくは。こういう
特定 IPアドレスからの不正アクセス試行回数 : 約 10,000回
お知らせ:“なりすまし”による「ソネットポイント」の不正利用への対応について|So-net 会員サポート
試行の痕跡を日常からきちんと監視していれば、その前に発見できた可能性も低くなかっただろうに。しつこいようだが、これって一般ユーザーが参照できない類の情報なんだから、あんたらが注目しないでどうするんだと。
まあ、もう無関係になった業者なんでどうでもいいとは思ったのだが、
不正アクセス試行による被害防止の観点から、お客様ご自身による定期的なユーザーIDパスワードの変更を強くおすすめしております。
お知らせ:“なりすまし”による「ソネットポイント」の不正利用への対応について|So-net 会員サポート
これにはちょっとムカムカくるものが。パスワード変更のためのアホな機構を実装し「こまめに変更すればするほど漏洩が激しくなります」な状況にしていた自分たちの過去を忘れてるのかい。前回に続きこの件について簡単に書くと
- とある環境でのパスワード変更がWWWから実行できるようになっていた。
- それを処理するスクリプト(たしかPerlだったはず)の実行に際して、IDとパスワードを * argument(引数)として * 渡す仕様になっていた。
- 他のユーザーが実行するプロセスの情報も自由に参照できる環境でこんなことをされたら、秘密にしなきゃいけない情報が丸見えですがな。*2
- 以上について、漏洩の危険性があると指摘されただけでは問題点を発見できず、細かく説明されてやっと理解に至ったようです。
こんな感じで…。誰だこんなしくみを考えたのは。そして誰も止めるやつはいなかったのか。素人の集団かっ。
いやまあ、プロバイダーで素人がいきなりシステム管理をやるなんてことはめずらしくもないと思うけど。資格もモラルも必要ない、ただの一業務でしかないから。だからしつこく言う。誰も信用すべきじゃない。
