万全のセキュリティ?
yonkichi, · カテゴリー: あれこれ昨日、テレビ東京のガイアの夜明けで、カカクコムがクラックされ、スパイウェアがウェブページに仕込まれた番組を特集していた。まあそっちの方の仕事に絡んでいる為、録画をして会社の昼休みに見た。
カカクコムには、それなりにお世話になっている、DVDレコーダーや、シリコン・オーディオ、ハードディスクなどはここでまず調べてから購入する。半分は、長年使っているヨドバシカメラでなのだが、圧倒的に価格差がある場合は、カカクコム経由で調べたショップで購入する。
今回クラックされた事に対して、いろいろな所で物議をかもしだした。まず当のカカクコム側は、「万全のセキュリティ対策をしてきたが」と記者会見で平然と言っていたが、セキュリティに万全なんかない。今回はSQLインジェクションによる脆弱性等は残っていた。番組の中でも、サーバやプログラムの多くを作り直している様子が映ったが、それはプログラムに問題があったという訳で、非常に矛盾がある。また会見の中で、クラック手法を公開する事で、第三者のサイトへクラックの危険性が及ぶ事になるという理由で、報告されなかった。なんという情けない公式会見だろうか。株価の下落も当然だ。
また今回監査を行ったのがラックという私もいろいろお世話になっている所なのだが、ここの監視センターがまたまるでSFの世界。以前よりもはるかにマンガ化が進んだような感じで、なかなか面白かった。とはいえ、いつ自分のサイトにクラッカーの手が及ぶ可能性は否めない。危険と背中あわせなのが、ネットワークで接続された世界ともいえる。
自分で公開サーバを一時期たてた事もあったが、あまりに脆弱性の更新が多すぎて、レンタルサーバを殆ど使う事にした。とはいえ、まだ我が家にはSun Cobalt Cube3が元気に稼働しており、余裕があればいろいろやってみたいとは思うのだが、固定IPやDMZを作ってファイアウォールのポリシーをきつめに設定して、と簡単ではない。なので、結局公開までいたっていない状況だ。
レンタルサーバを使うにしても、色々凝ったことをするのが普通になっている今、やはり脆弱な部分が発見されればバージョンアップしなければならない。今回、私が仕込んでいる4つのサイトのxoopsをセキュア版の2.0.10.2にバージョンアップした。これはたいした手間ではなかったが、なんせ台数があるのでバックアップし、動作検証もしなければならず、なかなか手間がかかる。
以前はせいぜいbbsのcgi程度だったのだが、今ではいろいろ便利に使える反面、CMSなどではphpやMySQLなどが前提のプラットホームになるが、やはり脆弱性が発見され、パッチが公開されたらまめにあてていかねばならない。とはいえ、このMovableTypeもセキュア版ではないので、危ないのだが…
まだバージョンアップできない理由は、バックアップに何度も失敗したからだ。またおりをみてバックアップをした上で、最新版にしていきたい。まあ裏方作業だが、元々はこのような事を本職にしているので、仕方がないともいえる。趣味の世界でも結局は同じような事をしているという訳だ。
そういえばじんじんさんに指摘されたrssフィードのエラーも結局よく分かっていない。もう少し勉強しないと…
画面はバージョンアップしたxoopsの1つ、RAMBLE.COMのスクリーンショット。
2 Responses to “万全のセキュリティ?”
かっちゃん へ返信する コメントをキャンセル
このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください。
私も途中から見ていました。ラックのセンターって本当にSFですね。おどろきです。あんなものが日本にあるとは。
昨日、カカクコムはじめサーバーへ進入した中国人留学生が逮捕されました。
かっちゃん
ラックのオペレーターブースは凄かったですね。以前はあんなではなかったですが、それでもそれなりに迫力ありました。ひとつのショーみたいなものですが、宣伝効果も高いですよね。シマンテックのもSARCみたいなのが写っていましたね。
私の作業環境とは比較になりません…(^_^;