パスワードを忘れた? アカウント作成
13771809 story
インターネット

DoS攻撃元となっていた第三者のネットワークカメラを勝手にシャットダウンするのは不正アクセスか 55

ストーリー by hylom
面倒臭そうだ 部門より

DoS攻撃の対策として、攻撃元のマシンにアクセスしてその機器を停止させるという対処方法は不正アクセスに該当するのかを警察に問い合わせたところ、ほぼ門前払い状態だったそうだ(海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ)。

記事によると、自宅サーバーを運用しているIPアドレス宛に大量のパケットが送りつけられネットワークが使えない状況に陥ったという。そのため調査を行ったところ、海外のネットワーク接続カメラが攻撃元となっていることが分かったそうだ。このカメラはセキュリティ設定が緩く、認証無しでコンソールにアクセスできる状態になっていたため、シャットダウンを行ったのだが、記事の著者はこれが不正アクセスに相当する可能性があることに気付いて警察に「自首」したが、「たらい回し」状態にあったという。

なお、DoS攻撃のほうはその後DDoS攻撃に発展して攻撃が断続的に発生する状況になったため対処ができない状況になっているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 法律の事は警察ではなくて、弁護士に相談すべきだと思います

    •  でも、弁護士に相談すると結構な費用がかかるんだよね。
       市役所の無料法律相談に持ち込んで、顛末をまとめてもらうとおもしろいかも。
       (この手の問題に詳しい弁護士って限られている気がする)

       けど、日本のいわゆる不正アクセス防止法って、日本国内での行為が対象では無いのかな。
       相手がカンボジアなら、カンボジアのその手の法律の適用になるような気がするんだけど。

      親コメント
      • 法テラスだとどうだろう?

        やっぱりハズレを引く確率が高いだろうか?

        親コメント
        • by Anonymous Coward on 2018年11月19日 21時46分 (#3518120)
          法テラスは紹介してくれるだけで、中身にはタッチしませんよ。

          以前、似たような事やって聞いてもくれなかったから。
          親コメント
        • by Anonymous Coward

          ハズレ以前に電話繋がらなくて終わるかと。

      • by Anonymous Coward

        そんなにかかるかな?
        以前相談したときは、相談だけなら30分で5,000円くらいだったような。

        • by Anonymous Coward on 2018年11月19日 19時14分 (#3518042)

          説明して理解してもらうだけでも30分以上かかりそうな気がする。

          親コメント
          • by Anonymous Coward on 2018年11月19日 19時21分 (#3518044)

            どこぞの国務大臣みたいな知識のない弁護士だと説明するだけ無駄になりますが、そっち方面に詳しい弁護士だと30分もかからないと思います。
            弁護士にも得意分野があってそれを踏まえて探す必要があります。

            #よく聞くでしょ「弁護士に当たりはずれがある」って

            親コメント
            • by Anonymous Coward

              警察自体が複数の組織でどっちとも言えないって言ってるのに、弁護士が逮捕のリスクを予見できるとは思えないな。

            • by Anonymous Coward

              私の人生相談は15分で終了しました。優秀な弁護士だと思います。なんでこんなところで油売っているのか不思議です。

      • by Anonymous Coward

        サロンならそんなにかからないかも。多分IT知ってる弁護士はサロンにはほとんどいないだろうが。

        一応日本国内に加害者がいる場合はサーバが海外でも日本の法律で裁けます。
        過去にはそれでJASRACが裁判しまくってました。

    • by Anonymous Coward on 2018年11月19日 19時41分 (#3518054)

      えー。でもグレーゾーン解消制度とかあるやん?
      情報通信だから総務省にでも聞けばいいのか?

      親コメント
    • by Anonymous Coward

      今日のほんこれ

    • by Anonymous Coward

      相談であればその通り。でも今回は「自首」だから警察が正しい

      • by Anonymous Coward

        国内事例だったとして、
        >認証無しでコンソールにアクセスできる状態
        だから、不正アクセス禁止法には引っかからないだろうし、
        不正指令電磁的記録に引っかかるような「何か」が有る訳でもない。
        業務妨害罪とかにはなるかもしれないけど、警察が困るのも仕方ない気がする。

        • by Anonymous Coward on 2018年11月19日 21時36分 (#3518113)

          認証無しでコンソールにアクセスできる状態
          だから、不正アクセス禁止法には引っかからないだろうし、

          認証ありのWeb画面によるログイン機能が別にあったりしたら、「普通はそっちを使うから」という理由で認証を迂回した扱いを受ける可能性はある。
          日本の判例的な意味で。

          親コメント
    • by Anonymous Coward

      弁護士に相談したって、よくある弁護士サイトのコラム程度のネタにしかなりませんよ。
      なんだかんだ言っても判例じゃないんで。
      シロクロ決着就けるなら、やっぱ司法に裁いてもらうしかない。

      • by Anonymous Coward

        司法判断の裁判をすれば良いんじゃないの

        • by Anonymous Coward

          自首とか言ってるのに誰を相手に裁判すんの?

      • by Anonymous Coward

        今回は自首だからなぁ、と思ったけど、状況が混沌としてるうちに自首するってのはある程度、面白い戦術かもしれない。
        被害者もまだ名乗り出て無くて、警察もよくわからんという段階で一度、自首して門前払いを喰らっておくと、後から問題になっても警察は逮捕しづらいんじゃないだろうか。
        自首してきた時に対応した人の責任みたいなのがどうしても出てくるしね。

        • Re: (スコア:0, オフトピック)

          by Anonymous Coward

          記事の人かなり鬱陶しくて面倒な感じがするから
          余計な手間がかかるだけかと

  • by junichi308 (15687) on 2018年11月20日 8時48分 (#3518264)

    DoS攻撃とめてから適当にパスワードかけるだけにすればよかったのにw

  • by Anonymous Coward on 2018年11月19日 19時38分 (#3518050)

    私見

    • by Anonymous Coward on 2018年11月19日 19時48分 (#3518057)

      私刑

      親コメント
      • by Anonymous Coward

        加害者・所有者を処刑した訳でもないのに?

    • by Anonymous Coward on 2018年11月19日 20時19分 (#3518074)

      緊急避難ならプロバイダにブロックしてもらわないと...

      親コメント
    • by Anonymous Coward

      世界では脆弱なパスワードのまま製品を出荷することを禁じる法律まで出来てきているのだから
      セキュリティ設定が緩くて踏み台にされてたネットワーク接続カメラの管理者の方が加害者で
      DoS攻撃を受けた側は被害者でしょ。
      被害を受けてる以上、自己防衛的に何らかの対処は必要なわけで、だがしかし法律が追いついていないのか。

      かなり前に大学のサーバが踏み台にされて、海外から苦情の連絡が殺到して、
      真夜中に対処したという事例を聞いたが、踏み台にされているところに苦情を入れるくらいしかないのか。
      相手を訴えるにしても、訴えている間にも攻撃は続くわけで。何らかの避難が必要だよね。

      • by Anonymous Coward

        ヴィーガンが肉屋を襲ったりムスリムが他人の絵を燃やすのと同類に思えますけどね…。

        「世界では~」と唱えながら日本で暴れるのは治外法権でもなきゃ許されませんよ。

        • by Anonymous Coward

          それは全然違うでしょ
          肉屋はウィーガンを攻撃してないし攻撃の踏み台にもなってない

      • by Anonymous Coward

        あの法律ってカルフォルニアの州法だろ
        アメリカでも特定の地域でした適用されない法律を
        世界と言うには狭すぎる

        • by Anonymous Coward

          そんなこと言ったらアメリカは「ひとつの州が(外交権を連邦政府に委託した)国」連邦制の国なんだから
          アメリカのすべての州に通用する法律はおそらく連邦基本法くらいしかないのでは?
          (だからケント・ギルバート氏は特定の州の弁護士資格なんでしょうし)

          「世界」のどこにでも通用する法は、ひょっとしたら死なずに生きる、生存権とか自然法って呼ばれるものくらいしかなさそうな……

          (目に付いたから指摘しただけなので、気分を害されるませぬように(:-p。批難する気はさらさらないです。まあ怒らせたら「ゴメンねゴメンねゴメンねー」ってことで)

          • by Anonymous Coward

            おっしゃる通りなので「世界では」なんて肥大化した主語は間違いというコメントなのでは?

    • by Anonymous Coward

      まあぱっと思いつくのはこれだよね。現場担当者レベルで踏み込んだ法律判断もし辛いし、
      かといって不起訴になることが明白なのに逮捕・送検なんてできないし、警察も対応に困ったろう。

      • by Anonymous Coward

        でも、捕まえたい人しか捕まえないじゃ、法の安定性に疑問が残るな。警察が取り締まる必要があるから法律になってるんだし。

      • by Anonymous Coward

        現場から連絡受けてそれなりの部署に回さないとね。
        担当は警察なんだから。

    • by Anonymous Coward

      正当防衛な気がする
      カメラを起動不能にするまでやったら過剰防衛かな

  • by Anonymous Coward on 2018年11月19日 22時10分 (#3518131)

    二国間だと加害者側の法で裁くんでしたっけ?
    治外法権エリアとか特例的な極特殊なケース出ない限り
    被害者側の法が基準になるような気がするんですが

    パワーバランス的に
    強い方の法になるってこともあるとは思いますが
    なんいせよ自主になっていないような。。。

    • by Anonymous Coward

      ちゃんと読んでいないので分からないけど、日本の法律で裁ける可能性はあるかも、と感じた。

      国外犯 [wikipedia.org]に書いてあるとおり、日本の刑法にも、国外で罪を犯した場合でも適用する場合の規定がある。

      そして、不正アクセス禁止法 http://elaws.e-gov.go.jp/s [e-gov.go.jp]

  • by Anonymous Coward on 2018年11月20日 9時26分 (#3518286)

    ACKが返るまで再送信ができないとか再送タイムアウトが伸びていくとか、
    DENYが返ったら再送タイムアウトがめちゃくちゃな長時間に設定されるとか。
    DDoSを防衛するのはほぼ不可能だから、攻撃手段を奪うしかないと思うのだけど。

    • by Anonymous Coward

      TCP だけだと思ってる?

      • by Anonymous Coward

        無理やりな垂れ流しができないよう、UDPにも必要なプロトコル入れればいいでしょ。

        • by Anonymous Coward

          それはもはやUDPではないのでは

          • by Anonymous Coward

            UDP単体だからたれ流せるのであって、TCP+UDPでもいいじゃないですか。
            UDPクライアントがTCPで経路のルータにコネクション張って、フロー制御要求すればいい。

            • by Anonymous Coward on 2018年11月20日 14時20分 (#3518438)

              なんでトランスポート層とアプリケーション層の話が混ざって議論されてるんだよw

              UDPをきちんとコネクションを貼って垂れ流しができないようにパケット制御するようにしたら、それはもうTCPじゃないかw

              親コメント
              • by Anonymous Coward

                フロー制御専用のプロトコル作ればいいんじゃねというつもりで話してるんだが。
                アプリの中でやるんじゃなくて、経路間でTCP張って、ストリームのフロー制御情報はTCP側でやりとりすればいいじゃない。
                なんでUDPの中だけで完結させる必要があるのよ。

              • by Anonymous Coward on 2018年11月20日 15時04分 (#3518472)

                「フロー制御できないプロトコルを使った攻撃(今回ならDNSリフレクション)にどう対処するか」って話なのになんで「フロー制御できるプロトコル作ればいい」になるんだよ……

                親コメント
            • by Anonymous Coward

              それ、UDP使うメリットある?

              • by Anonymous Coward

                あるよ。そもそもUDPは必要な制御があれば別に用意するものだし。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...