2ちゃんねるでセキュリティ問題が発覚、パスワード情報の漏洩や外部からの不正アクセスも発生 63
ストーリー by hylom
2ちゃんねる崩壊の危機? 部門より
2ちゃんねる崩壊の危機? 部門より
あるAnonymous Coward 曰く、
ある人物が2chの削除関連のログを発見したのが発端。ログが置かれていたディレクトリ以下の全ファイルリストがApacheの設定ミスで閲覧できる状態になっていた上、ここでCGIのソースコードが丸見えになっていた、という。
とのことで、これにより記者キャップのパスワードが流出、さらに外部からの操作で板の移転などが勝手に行える状態になっていたり、悪意のあるコードを埋め込むことも可能になっていたそうだ。
ちなみに、2chをホスティングしているBIG-server.comは「サーバーは何の問題もなく正常に動作している」「サーバー負荷の上昇も不安視されましたが、(略)まだまだ余裕がある」などとのプレスリリースを出している。
ちょっとSN比が悪くなっただけです。 (スコア:2, すばらしい洞察)
Re: (スコア:0)
輩が増えるんじゃなかろうかと言う事で、こっちのS/N比が
悪くなったりした日には目も当てられません。
#最近のスラドのS/N比もたいがい良くは無いけど……
ただの祭りだよね (スコア:2, すばらしい洞察)
それも根本的にはcgiを勉強し始めた人がちょっとした時間で書いた掲示板プログラムとさして変わらない。
運用規模の変遷に伴う色々な工夫や機能追加はされたけど。
別にお金を扱ってるわけでもなければ、プロバイダー責任制限周りに適当に対応するくらいで、
運営側が厳密にその機密性・完全性・可用性に義務を負うような形で、機微な情報を扱ってるわけでもない。
ハックされようが何されようが実際どうでもいいんだよね。
ただの掲示板だから。
2ちゃんねるの本質は、2ちゃんねるであるということと、それを支えるインフラ。
ネットブランディングやらマーケティングやら仕事で利用している人には一大事かもしれないけど、
それに対して運営側が何かしら義務を負ってるわけでもないだろうし。
(最近の記者が職業記者ばかりだったり、工作だらけの茶番のようなニュー速や芸スポの状況を見ると、
案外ビジネスとしてやってるのかもしれないけど。)
はじめは運営側が余裕のコメントをうそぶいてる感じかなと思ったけど、実際そうなんだろうなと。
結局、ただの祭りだよね。
お客様の中で司法関係の方はいらっしゃいませんかー? (スコア:0)
刑事事件としても被害要件には十分だろうけど、まともに取り合ってくれるんだろうか。
Re:お客様の中で司法関係の方はいらっしゃいませんかー? (スコア:2)
そうかなぁ? 2ちゃんって捜査に協力的、ってイメージだけど。
犯罪予告とか、すぐに逮捕されるじゃん。
昔の「匿名掲示板」ってイメージが強過ぎるのかな。
Re: (スコア:0)
創設者のことじゃないかな。
訴訟を起こされても裁判に出ない。
負けても賠償金を踏み倒し続ける。
差し押さえられないように逃げる。
脱税の問題も無かったかな。
考えてみると、税金払わないわ、司法無視だわで、すごい人だよ。
Re: (スコア:0)
RE:のんきなこと言っていると捕まりますよ (スコア:2)
>第三条 1.何人も、不正アクセス行為をしてはならない。
> 2.前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
> 当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、
> 当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
Re: (スコア:0)
不正アクセス受けたのが運営側および記者キャップとやらなのに、なぜ運営側が訴えられるの?
不正アクセスで訴えるというのなら、訴える側は運営側と記者キャップなんだが、元ACの発言と噛み合ってないな。
Re: (スコア:0)
問題なく動いているって言ってるんだし、誰も困ってないし、いいんじゃない?
困ってるのって、2chを監視してニュース記事書いてたマスコミ程度じゃないか?
Re:お客様の中で司法関係の方はいらっしゃいませんかー? (スコア:2, すばらしい洞察)
威力業務妨害と不正アクセス禁止法違反だろう。
問題なく動いているって言ってるんだし、誰も困ってないし、いいんじゃない?
「困ってない」って言ってるんはホストサーバーの会社じゃないの?
悪い喩えだけど、「迷惑電話で業務妨害された会社」に対して
NTTが「うちは困ってない」「交換機は通常どおり動いていた」って言ったようなもの。
2ch運営陣は脆弱性を突かれて運営方法を変えなければならない、
という通常業務以外の業務発生して、その時間で本来できたことができなくなったという妨害は受けただろ。
騒動経緯簡易まとめ (スコア:4, 興味深い)
15 :動け動けウゴウゴ2ちゃんねる :2011/01/06(木) 23:55:55 ID:3qkfWGr90
・東日本が削除人の作業時のログを見つける。
・これは誰がいつ削除したかがわかる程度だが、/test/sss/以下の全ファイルリストがApache設定ミスで閲覧できた。
・しかもbe鯖のsss/以下にはなぜかcgiが拡張子なしで置かれてた。つまりソースが見れる。ファイル名からして2005年から放置。
・それを見つけたモペキチは元の現在動いてるcgiスクリプトを探し出し、それに対してソースを元にコマンド実行。
・そのcgiも糞で、パスワードなしで2chの全キャップが入手でき、他にもパスなしで板移転やファイル一覧取得も可能だった。
・いろんな人がそれを実行した。板移転もやりたい放題、キャップも全部ばれたのでお止めも自由。
・しかもファイル一覧取得にもバグがあり、そこからOSのコマンドを叩くことも可能。全部のcgiソースを入手可能。
・つまりcgiの権限であればウイルス設置からファイル削除も可能。最悪この前のbeみたいに鯖が真っ白になりかけた。
・もちろんこのバグは全鯖共通で持ってるので過去の鯖でも実行可能。どこまでやられたかは不明。
・FOX ★「わしゃ何も困っていないけど?」ってことで訴える気ゼロで帰った。つまり逮捕はおそらくなし。
・復旧するにはbbs.cgiから全部書き換えることが決定。とりあえず明日以降作り直すことを決めて運営陣解散
結果的にやられたことは
・勝手に板移転。板移転のメッセージを変え放題だったのでそこにグルーポンへ飛ばすコードやらXSSやらウイルスとか突っ込まれた。
・キャップが漏れまくりなので書き込みし放題。現在はキャップは全部停止。
・cgiリストが見れた上キャップパスも出たので削除や芋ほり(ログ開示)もし放題。これも現在読み書き以外のcgi全部停止。
・全鯖に削除や何かするプログラムを置かれた可能性もありうる。導入する時間は十分あったが、入ってないことを祈るだけ。
・今回の犯人はいつものモペキチと東日本、他ROMの人多数。ただ訴える気ゼロなのでほぼ間違いなく逮捕なし。
http://qb5.2ch.net/test/read.cgi/operate/1294323215/ [2ch.net]
モペキチとは、主に2ちゃんねるで数々の迷惑行為を行って来た荒らし。
このまとめが正しければ、運営としても別に大して困ってないことになりますね。
ひろゆき氏も特に何も語っていないようですし。
一人以外は全員敗者
それでもあきらめるより熱くなれ
モペキチ氏による解説 (スコア:2, 参考になる)
ニコニコ動画なので会員しか見られないので、ちょっとアレですが、案内しておきます。モペキチ氏によるニコ生での解説を録画したもののようです。ちなみにモペキチ氏というのはググってみるとまとめサイトも作られているくらいでその筋では有名人のようです。
今回の騒動について (番組ID:lv36756208) [nicovideo.jp]
【2ch陥落事件】モペキチさんの解説 2枠目 [nicovideo.jp]
ファイルのパーミッション設定すらも適当というか基本的に誰でも見られるようになっていたようで、杜撰な管理だったようです。
GIGAZINEにも記事が来ているのでこちらも案内しておきます。
「2ちゃんねる」が一時壊滅状態に、キャップ漏れ騒ぎでスレッドが大乱立・大削除 [gigazine.net]
Re:モペキチ氏による解説 (スコア:1)
たしかに再生できますね。まったく知りませんでした。ありがとうございます。
Re: (スコア:0)
そんな事でからあげウマウマなマターリとしたうにっくす板に変な奴が集まってくるから困ったものだよもん
Re: (スコア:0)
匿名のどこかの誰かの何かの業務が妨害された、では業務妨害なんて成立しません。
Re: (スコア:0)
おまえは頭は正常かどうか自分でチェックできるか?
それとも電波の出力が高すぎないか?
電波の出力が高すぎ (スコア:0)
Re:電波の出力が高すぎ (スコア:1)
Re: (スコア:0)
「運営」と呼ばれてる人たちの大半はボランティアでなにも損してない
「ホスティング」してるところは鯖本体やネットワーク機器に異常が起こらないなら問題とは思わない
2chで利益を上げてる人がだれだかわからないので、その人が損をしたかどうかはわからない
裁判できるのはその人だけ
ユーザーのなかでも損したのは依存している人だけじゃね?
これ以上損害を被りたくないなら依存するのやめればおk
Re:お客様の中で司法関係の方はいらっしゃいませんかー? (スコア:1)
>「運営」と呼ばれてる人たちの大半はボランティアでなにも損してない
あの、ボランティアの報酬喪失と、ボランティアの成果物喪失を何かしら混同している様に見えるけどね。
ボランティアが無償だという勘違いも見て取れる者良いだと思うな。
>2chで利益を上げてる人がだれだかわからないので、その人が損をしたかどうかはわからない
損をしたというか、損害を被ったかという問題だからね。
損害額/内容の算定は、その損害を得たというお方が勘案すればよいこと。
>ユーザーのなかでも損したのは依存している人だけじゃね?
うーん、水道とまっても、水道に依存している人だけが損害じゃね?と言っているに等しいな。
Re: (スコア:0)
キャップ止めたりしたらしいんで業務妨害に該当するんじゃないかと。
↓以下業務とは
Re: (スコア:0)
Re: (スコア:0)
コメント出してるのが微笑ましかった。
Re: (スコア:0)
一方民事では、訴える相手を自分で見つけなくてはならないので、面倒でしょう。
教えてエロい人 (スコア:0)
誰のどんな業務がどれほど妨害されたのか、ってのは立件の核だと思うんだけど。
どこの誰が正規の管理者なのかもわからん状態で、不正アクセスをどう立件するのか?とか。
Re:教えてエロい人 (スコア:1)
ただ、2ちゃんサイドが訴える気があるかどうかは別問題でしょう。
システムの不備の問題であったのだから、この際改善すれば良いだけの話。
今回の件でユーザーが居なくなるわけでもなく、たぶん減りもしない。
多少減ったところで直接ユーザーから収入を得るのが目的でもないので
困らない、というところでしょうかね?
鵺の啼く夜は恐ろしい
この場合、訴えってできるんですかね? (スコア:2)
興味本位でスイマセン
2ちゃんって今はシンガポールの会社のものでしたっけ?(よく知らないけど建前的なものなんでしょうけど)
で、サーバーがアメリカはサンフランシスコ
不正アクセスした人(犯人?)が日本在住で、日本からのアクセスだったとして、この場合の被害の訴えって、シンガポールの会社から日本の警察に対して行えるんでしょうかね?
Re: (スコア:0)
日本から不正アクセスした場合は、日本の法律で裁かれます。
海外から日本のサーバに不正アクセスした容疑者が日本に訪れた場合も、
日本で容疑者として手配されていれば逮捕されます。
Re: (スコア:0)
Re: (スコア:0)
どうあっても、不正アクセスを立証するためにはサーバ管理者に「このアクセスは不正アクセスだ」と言ってもらわないといけない。
「黙ってたんだけど、実はこのファイルは見つけた人に2chを荒らしてもらうために意図的に置いたんだ」とか言われたら罪状は成立‥‥‥しないよね多分。
ニュース速報+板だけ? (スコア:0)
hibariの "CentOS Part 26【RHEL Clone】" もおかしなことになってるんだけど…。
hibariのlinux板トップは別ページにリダイレクトされるし…。
Re:ニュース速報+板だけ? (スコア:3, 参考になる)
ここに情報が出ています。
http://www43.atwiki.jp/qawserty [atwiki.jp]
昨晩の情報なので、現在はもっと被害が広がっている可能性が高いです。
--現在までの被害確認板--
・ニュース速報
・ニュース速報+
・ニュース速報VIP
・2ch運用情報
・2ch規制議論
・2ch批判要望
・芸スポ速報+
・なんでも実況V
・アニメ2
・裏技改造
・文キャラ
・Download
・Youtube
・ソフトウェア→→復活?
・大規模MMO→→消滅
・ハード・業界
・アジアエンタメ& br()・2ch批判要望
・裏技・改造
・電池
・マッサージ
・Leaf・key
・BBSPINK
今回一番大きな被害が出ているのは「ニュース速報」で、現在はアクセス出来ない状態です。
昨晩はウェブブラウザでニュース速報にアクセスすると、JavaScriptのウィンドウで「ニコ厨死ねよ」というメッセージが表示され、その後グルーポンあるいはハローワークのサイトに転送されました。
もう、キャップを取られたとかいうレベルじゃねーぞw
Re: (スコア:0)
>・文キャラ
「ついに射命丸文板ができたのか」と思った
Re: (スコア:0)
昨夜の段階でニュー速にウェブブラウザでアクセスしたらマルウェアを入れられたという報告もあるのですが、大丈夫ですか?念の為チェックしておくことをおすすめします。
Re: (スコア:0)
タレコミ文は危険性があるのにリンク貼ってるんですかね?
Re: (スコア:0)
どさくさに紛れてYoutube板のMMDスレが削除されているようです。
例のKinectハックの話で盛り上がっていた所だったために、熱心なゲハ厨が潰したのだろうともっぱらの評判。
Re: (スコア:0)
1268449218 ブラッディマンデイ falcon OS Ubuntuベース (672)
1290731978 【deb系】Ubuntu Linux 45【ディストリ】 (410)
1293576055 キツいスペックのPCで頑張ってる人の為のスレ 13 (32)
1293254578 【初心者スレ】Ubuntu Linux 59 (379)
1282656727 【あとは】Turbolinux 26【父さんを待つだけ】 (485)
1291592145 くだらねえ質問はここに書き込め! Part 188 (517)
が「移転したよ?」になってる。
正直、タイミングが怪しすぎる (スコア:0)
大変だ!2ちゃんねらーが /. に押し寄せてくる (スコア:0)
/. に押し寄せて、下品な書き込みを大量にしてきたらどうしよう・・・・・・
え!私も?
Re: (スコア:0)
/.をソースに建てる奴がいたみたいだからな。
まぁ、広告収入はいるし、いいんじゃね。
Re: (スコア:0)
ああ、2ch起源だがひのもとおにこ [srad.jp]関連は/.Jを経由してから爆発的に増殖したっけ。
Re:大変だ!2ちゃんねらーが /. に押し寄せてくる (スコア:1)
すでに最盛期を越えていた、というか、高原期に入ってからだと記憶するが....
おおまか原型や亜種やらが出そろっていた時期だったよ。
Re: (スコア:0)
Re: (スコア:0)
だよなあ。一部のスラッシュドット住民が変に意識してるだけで向こうは目にも入っていないという。
どんだけ片思いなんだか。
Re: (スコア:0)
それを利用して+板にスレ立てさせるんだよ
あっちじゃ/.Jソースを誰も疑わないからな
Re: (スコア:0)
/.jも管理者パスワードや脆弱性が狙われるかもね。
Re: (スコア:0)
あちらでは普通だった複数ユーザを騙る行為がこちらでは困難なので
不便すぎてさっさとお戻りになられると思います。
壮大な釣りか? (スコア:0)
数日後サックリと全面リニューアルされちゃって、「みなさんお付き合いしてくれてありがとう。嘘を嘘と見抜けない人は大騒ぎしていましたね。」とかいうコメントが平然と出されても驚かないぞ。
Re: (スコア:0)