2012年6月版 季節外れのサーバ障害台風、来襲?


山本洋介山
bogus.jp

2012/7/11

 6月は、ファーストサーバやAmazon EC2などで発生したサーバ障害に振り回された人も多かったのではないでしょうか。セキュリティクラスタの中にも、大変な目に遭った人、あるいはバックアップや脆弱性対策についてもう一度考え直している人を多く見かけました。

 一方で、著作権法の改正に端を発した「OpJapan」が始まり、Anonymousウォッチャーの方々は眠れぬ夜を過ごしていたようです。さらに、DEFCON CTFの予選も開催されました。果たしてチームSutegoma2は、本選に行けたのでしょうか。

DEFCON CTF予選、日本からも多数のチームが参加

 6月2日には、世界のCTFの最高峰ともいえる「DEFCON CTF」の予選が開催されました。オンラインで参加できることから、去年見事に本選に出場した「Sutegoma2」をはじめ、p03p0wn、mochigomaなど、日本からも多数のチームが参加しました。

 予選中はTwitterどころではない人も多く、参加者自身によるツイートは少なめ。ですがSutegoma2のメンバーが得点経過や予選の状況をツイートしてくれたので、ありがたく眺めていました。

 今回もまたトラブルがあったり、終了時間が延びたり、相変わらずドキドキするハプニングの多かった48時間の激戦の末、予選1位は去年に続いてHates Ironyとなりました。日本からはSutegoma2が4位に入り、今年もラスベガスの本選に行けることになったようです。おめでとうございます。

【関連記事】
「組織力」でハッキングコンテストに挑む日本人チーム(@ITNews)

http://www.atmarkit.co.jp/news/201108/05/ctf.html

 その他の日本チームは、健闘むなしく予選通過とはいきませんでしたが、まったく歯が立たないというわけではなく、しっかり点数を稼いでいました。チーム力を上げ、来年は日本からラスベガスに2チームが向かうことになるといいですね。


 また予選の後は、世界中の参加者が、自分がどんなふうに問題を解いたかを解説する「WriteUp」を発表しています。どの問題がどのように解かれたのかを知る一助になるでしょう。もちろんジャンルによっては、まったく理解できないものもありますが……。1問でも解けたという人は、ぜひ、次のCTFに参加してみてはいかがでしょうか。


改正著作権法で違法ダウンロード刑罰化、OpJapan実行へ

 6月20日には著作権法改正案が国会で成立し、著作権を侵害している音楽や動画などのコンテンツをそれと知りながらダウンロードする行為が、刑事罰に問われることになりました。「違法ダウンロード」というくらいですから、もともと違法な行為ではあったのですが、基準があいまいなまま厳罰化されたことや、十分な議論がなされなかったことから、多数の反発の声がタイムライン(TL)に上がりました。

【関連記事】
違法ダウンロードに刑事罰・著作権法改正で何が変わるか 壇弁護士に聞く(ITmedia)

http://www.itmedia.co.jp/news/articles/1206/20/news015.html

 成立から数日が過ぎて、海外からも抗議の声が上がりました。主体はあのAnonymousです。主な議論はIRCで行われましたが、Twitterでは「#OpJapan」のハッシュタグを使って情報が流れてきました。

 Anonymousがどのような集団なのかはさておき、彼らは抗議行動として日本の省庁やJASRACなど、著作権法改正に関連した団体のWebサイトをターゲットにして、書き換えやDDoS攻撃などを行いました。これまでに攻撃が確認されたサイトは、国有財産情報公開システム、裁判所、自民党などです。


 さらに、たまたまターゲットとなったのか、一部報道にあるように「間違えた」のかは分かりませんが、国土交通省の霞ヶ浦河川事務所も攻撃の対象となりました。結果としてこれが、現実世界のみならず、Twitterでも、より多くの注目を集める要因となったようです。

【関連リンク】
アノニマスたんはドジッこ? ハッカーしゅーだんアノニマスたんイラストまとめ

http://togetter.com/li/328800

 その後も民主党や経団連などに対する攻撃が行われました。Twitterでの情報によると、OpJapanは著作権法が修正されるまで続けられるということです。しかし、これに追随して攻撃に加わる日本人は少ないようで、7月が来る前に、早くも勢いは収まりつつあります。

 また、もともと「日本のアノニマス」として活動し、今回のサイバー攻撃とは違う形で抗議を行っていた人たちは、ガイ・フォークスのマスクを付けて「お掃除オフ」を行いました。こうした穏健な形の抗議活動も引き続き行われるようです。

【関連記事】
アノニマス、渋谷にあらわる 第1回清掃オフに50人超(ITmedia)

http://nlab.itmedia.co.jp/nl/articles/1207/07/news007.html

ファーストサーバ、脆弱性対策でデータを全消しという大事故

 最後は、セキュリティとは直接の関係はないかもしれませんが、IT業界関係者が肝を冷やした事件です。

 6月24日、ファーストサーバのホスティングサービスで、バックアップ作業に失敗して全部のデータが消えてしまうという大インシデントが発生しました。同社の説明によると、脆弱性対策のパッチを当てる作業に不備があり、どうやらパッチを当てるつもりでファイルを全部消してしまっていたようです。

【関連記事】
ファーストサーバの障害、原因はプログラム記述ミスとプロセスの複合(@ITNews)

http://www.atmarkit.co.jp/news/201206/25/firstserver.html

 セキュリティクラスタの中にも、実際に被害に遭った人がいました。また、サーバ管理業務を兼務している人や、かつてサーバを扱っていた人も多いからか、他人事ではないと大騒ぎになりました。

 TLでは、この大事故を批判する声とともに、「復帰できるバックアップを用意しておかなかったのはいかがなものか」「そもそもそれは可用性確保のための仕組みであり、バックアップとは異なる意味合いのものではないか」「安価なサービスにバックアップを期待するのは間違いではなかったのか」など、さまざまな意見が飛び交いました。

 なおファーストサーバでは、復旧時に別のユーザーのデータを戻してしまい、他者の個人情報が漏れるという第2のインシデントも発生。混乱しているとはいえ、お粗末な状況でした。

 6月には他にもレンタルサーバ/クラウド関連でいくつかの話題がありました。さくらインターネットのDNSサービスに脆弱性があり、さくらが管理するドメインについて、他の人が勝手にサブドメインを登録できてしまう脆弱性が見つかっていたほか、Amazon EC2でも障害が発生し、Instagramなど複数のサービスが影響を受けました。

セキュリティクラスタ、6月の小ネタ

 このほかにも、6月のセキュリティクラスタでは以下のようなことが話題となりました。7月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

  • 対サイバー攻撃アラートシステム、“DAEDALUS”が格好イイ!
  • 現役高校生ハッカーが監修するホワイトハッカー学校、開講
  • LinkedInで646万件のパスワードハッシュ流出、ほぼ解読される。Last.fmでもパスワード流出
  • SECUINSIDE CTF、Sutegoma2は堂々の3位
  • MySQLに、256回の試行でアクセスできるひどいセキュリティホールが発見される
  • 3月にアメーバを攻撃していた自称ハッカー16歳SHOくん、逮捕
  • 「エロっていいとも」スマホにウイルス仕込んだ容疑で初の立件
  • ドメイン取得でNTPサーバの乗っ取りができた
  • 不正B-CASの販売や使用で早くも逮捕者
  • ハッカー向けメガネが発売されるらしい
  • セキュリティキャンプ中央大会、参加者募集開始。知恵袋に課題を解いてもらおうとする猛者も
  • OWASP Japanミーティング、2回目も大盛況
  • 第4回セキュリティさくらセキュリティうどん 6杯目も大盛況
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年5月版へ    


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間