FC2ブログ

当ブログについて

WMS

管理人:WMS
政治・経済・金融を中心した2chまとめサイトです。

相互RSS・リンク歓迎です。 依頼フォームよりご連絡ください。


このサイトの全記事一覧

最新記事
最新コメント
ページ内人気記事
カテゴリ
月別アーカイブ
アクセスランキング
アクセスカウンター
他サイト様人気記事
 
 

【社会】サイト改ざん相次ぐ 病院や大学、五輪相も被害 2ch 「運営にコスト掛けないで放置するかこうなる、という見本」



ph20170207_31.jpg 

1: 豆次郎 ★©2ch.net 2017/02/07(火) 03:34:42.53 ID:CAP_USER9
 茨城県立中央病院や福井県立病院、筑波大の研究施設などのホームページ(HP)が何者かに改ざんされる被害に遭ったことが6日、分かった。セキュリティーの専門家によると、中小企業を中心に全国で多数のサイトの改ざんが確認された。HPの内容を管理するソフトウエアの弱点が悪用された可能性がある。

 また丸川珠代五輪相は6日、自身のHPが改ざんされたことを明らかにした。現在は復旧している。丸川氏は官邸で記者団に「(HP管理の)委託先には適切に対策を取るよう強く申し入れた」と述べた。

 茨城県立中央病院によると、患者数やセミナー情報を知らせる記事の一部が削除され、ハッキングした旨の英文に書き換えられた。福井県立病院はトップページの「お知らせ」など3カ所が改ざんされた。両病院とも、院内ネットワークとは分離したシステムのため、患者情報が流出した恐れはないという。筑波大も「個人情報の漏洩はない」としている。

 この数日間では、埼玉県秩父市の観光情報を紹介するHPなどほかのサイトも被害に遭った。

 情報処理推進機構(IPA)によると、HPで使われているソフトウエア「ワードプレス」で新たに見つかったセキュリティーの弱点(脆弱性)を悪用したハッカー攻撃が世界的に多発しており、国内でも同様の被害が出た可能性がある。50以上のサイトが改ざんされたもようだ。IPAの担当者は「脆弱性を修正した最新版ソフトへの更新を大至急実施してほしい」と注意を呼び掛けている。

http://mw.nikkei.com/sp/#!/article/DGXLASDG06HFY_W7A200C1CC1000/

引用元:http://daily.2ch.net/test/read.cgi/newsplus/1486406082/






2: 名無しさん@1周年 2017/02/07(火) 03:37:41.89 ID:85+7zNwP0
情報処理推進機構
お疲れ様

9: 名無しさん@1周年 2017/02/07(火) 03:42:32.32 ID:p4BDKGGC0
これって外部からアップロードできるようになってるのか?

10: 名無しさん@1周年 2017/02/07(火) 03:44:13.05 ID:izFF8PEj0
WordPress扱ってるのはデザイナも多くて
セキュリティやシステム的なことは知らなかったりする
重要性も理解してないし
本業はデザインだから深入りもしたくないんだろうな
まあそこを狙われるわけだが

12: 名無しさん@1周年 2017/02/07(火) 04:06:45.77 ID:44SPz3O40
WordPressかな?

>>10
アプリエンジニアではなく
Webデザイナが 弄ってるだけだからな
アップデートせずの放置ばっかだろ

16: 名無しさん@1周年 2017/02/07(火) 04:33:14.44 ID:Yd9nwd8K0
>>12
大方がWordPressだと思ってスレを開いたクチだが、
セキュリティパッチのUpdateが多い物を、
ただUpdateだけして「安全だ」勘違いしていたら
ダメだと思うんだよな。

何で頻繁にパッチ宛てなきゃならないのか、
その背景と自分のニーズを天秤にかけないと。

かつてのMSNでさえ、CodeRedやNimdaに感染して
訪問者をとんでもない目に遭わせていたりするし、
窓10にOS変えれば青天井で何でもしていいってわけでもなし。

13: 名無しさん@1周年 2017/02/07(火) 04:09:16.28 ID:LaDxHtXQ0
某在日グループは+を2時間落としたんでしょ?
ある意味すごいよねw

14: 名無しさん@1周年 2017/02/07(火) 04:13:48.82 ID:fqBeOWnc0
毎度恒例の中国人

>>13
何百人単位で一斉にF5(ブラウザのスレ更新)連打だからちと違うなw

36: 名無しさん@1周年 2017/02/07(火) 06:59:43.44 ID:Yd9nwd8K0
>>14
あれはDATファイルをHTML構文にレンダリングし直して
配信する動作するCGIに一極集中してリクエストするんだからね。
穴が無くても一気にビジー状態に陥る。

こっちのは、ログ見ていれば、“wp-login.php”とか“wp-config.php”とか“configuration.php”とかを決め打ちしてきてるから。
そういうのに悪意を感じ取れなければ、
Public_HTMLなんか持つべきではないと思うよね。

PHPファイルなんて類に、コンピュータ内の
ディレクトリやファイル群を弄らせる権限を与えようっていう考えが、
いかに怖いかっていうことを理解しないといけないと思う。

17: 名無しさん@1周年 2017/02/07(火) 04:43:26.04 ID:SmAzStUL0
読み出ししかできない鯖とか作るのそんな難しくないだろ

19: 名無しさん@1周年 2017/02/07(火) 04:47:45.86 ID:Yd9nwd8K0
>>17
まあね。

でもさ、「HTML5勉強して、手打ちでいいじゃん」に帰納しちゃうよ。

20: 名無しさん@1周年 2017/02/07(火) 04:48:29.10 ID:JNVE5jEN0
五輪に向けて共謀罪よりサイバーテロの方が急務だなw

22: 名無しさん@1周年 2017/02/07(火) 05:04:19.68 ID:/5fMsjsi0
普及したライブラリは洗礼を受けるもんだ

26: 名無しさん@1周年 2017/02/07(火) 05:57:50.28 ID:tl1vAxdw0
ロシアとアメリカも考えられるぞ

27: 名無しさん@1周年 2017/02/07(火) 06:01:14.13 ID:sQrkg6XL0
改ざんできないシステムにするしかないだろ
内部HPを作ってアップデートはそこでして、
一日一回全部アップしなおすとかさ

28: 名無しさん@1周年 2017/02/07(火) 06:08:35.50 ID:/j0r49avO
ケーブルで盗聴やら あるらしいし
官庁のサーバーやら PCなんて特に やられやすそう、セキュリティカードやらも
ハッカーからすれば、美味しい餌みたいな感じなんだろうな

30: 名無しさん@1周年 2017/02/07(火) 06:34:58.98 ID:Yd9nwd8K0
一旦、「アプリ」「アップ」なんていう略称しか使えない層は
インターネット接続やめて、
ITの知識を勉強しなおし、自分の責任を肝に銘じた方がいい。

1.パーソナルなコンピュータを持つとはどういうことか?
  パーソナルであり続けるためにはどうしなければならないか?
2.ネットワーク接続するとはどういうことか?
  パーソナルを確立するにはどうしなければならないか?
3.インターネットに接続するとはどういうことか?
  パーソナルを確立するにはどうしなければならないか?
4.ディレクトリ/ファイルの共有とはどういうことか?
  パーソナルを確立するにはどうしなければならないか?
5.Public_HTMLを構築するとはどういうことか?

それら、みんな「心の中のファイアウォール」が
根幹であることを学び直した方がいい。

31: 名無しさん@1周年 2017/02/07(火) 06:41:24.46 ID:Yd9nwd8K0
自分のサイトを紹介する時に、URLを告げずに
「○○で検索!」って誘導するのは、いい加減やめるべきだよ。

33: 名無しさん@1周年 2017/02/07(火) 06:56:39.89 ID:ykSH28QW0
>>16
CMSだけじゃなく
ApacheやnginxとかWebServerやOSの穴
このあいだもまたOpenSSLの脆弱性が露見したし
もう、ひゃっはーの世界

34: 名無しさん@1周年 2017/02/07(火) 06:58:41.97 ID:fqBeOWnc0
>>33
HeartBleedの話?それともHeartBleed後にも何か起きたの?
その手のニュースは見逃しやすくて困る

35: 名無しさん@1周年 2017/02/07(火) 06:59:37.29 ID:1YX54bq60
この場合は、オリンピック担当大臣ってより
サイバーセキュリティ担当大臣として出して
あげるべきだろ

「外部業者に委託していたので」で逃げ切る
のがお手本らしいぞ

37: 名無しさん@1周年 2017/02/07(火) 07:02:38.17 ID:ykSH28QW0

40: 名無しさん@1周年 2017/02/07(火) 07:08:54.10 ID:Yd9nwd8K0
>>37
ああ、そういうことね。

おまけに、昨今のスマートフォンに代表されるような、
何ぶち込んで何感染してるかわからない、
変な立ち位置のユーザエージェント群のアクセスを、
とりあえずは許可しなきゃ円満にならないから。
下手にPublic_HTML持てないね。

41: 名無しさん@1周年 2017/02/07(火) 07:09:43.33 ID:fqBeOWnc0
>>37
あーばbっばばっばばっばばばあああ
HeartBleedの「ハッキング余裕」
ほどの危険性じゃないけどDos攻撃クラッシュの脆弱性は結構あるのね
知らなかったわサンキュー

43: 名無しさん@1周年 2017/02/07(火) 07:34:55.99 ID:VexTyAkZ0
丸川氏は官邸で記者団に
「(HP管理の)委託先には
 適切に対策を取るよう強く申し入れた」と述べた。

企業や大きな組織じゃないんだからお前は自分で管理しろよ
たいした内容もない個人サイトも管理できないなら閉めちまえ

45: 名無しさん@1周年 2017/02/07(火) 07:43:23.92 ID:85+7zNwP0
>>43
その大した内容もないサイトすら
管理できないのがit技術者名乗ってるんだから面白いな。

48: 名無しさん@1周年 2017/02/07(火) 07:45:58.05 ID:YWbVCzal0
>>43
立場上、委託を打ちきって委託先を変えるべきだと思うがな。

49: 名無しさん@1周年 2017/02/07(火) 07:49:08.45 ID:c4QWJHhZ0
webサービスの歴史は大穴の歴史
埋めて埋めて埋めまくってもまた穴
その都度埋めていくしか無いw

50: 名無しさん@1周年 2017/02/07(火) 07:51:11.80 ID:Yd9nwd8K0
>>43
逆に、「適切に管理した上でも起り得るリスク」
があることを利用者側(丸川五輪相)が理解して、

記者団に対して、
「訪問者に対するセキュリティ意識の啓発を
 同時に図っていきたい」と話したなら、
それはそれで、「こいつ、何者だ?」と思ってしまうが。


「絶対的なセキュア」はないのはわかっているから、
強く非難できないんだよなあ。

52: 名無しさん@1周年 2017/02/07(火) 07:55:14.08 ID:NOwHjgc50
>>50

カネを払う先をつくるために仲間内で委託してんじゃね?w

KBさせて裏金にするんだろ

53: 名無しさん@1周年 2017/02/07(火) 08:01:53.97 ID:Yd9nwd8K0
>>52
WordPressの穴って、金で解決できるものじゃないからね。
Apacheとか、その上に実装される物の穴もそうだけど。

今のご時勢、穴が発見されるや、
獲物を見つけるために
眼を光り輝かせている不届きな輩は五万といるよ。

54: 名無しさん@1周年 2017/02/07(火) 08:07:54.46 ID:XQOksYXz0
>>53
国会議員が公費を裏金に代える手に
業務委託があるって言ってるんだけどw

51: 名無しさん@1周年 2017/02/07(火) 07:53:59.90 ID:RnG4RXRe0
どうせ初期構築のときだけ金を払って
保守運用費は出し渋ったんだろ。
毎月数万円で24時間365日、独自に構築したCMSの運用と障害対応、
メンテナンスまでしてくれるなんて甘い考えなんだよ。
技術がわからないならわからないなりに
金を払ってエンジニア雇えってんだ。

56: 名無しさん@1周年 2017/02/07(火) 08:25:23.97 ID:zRj5T/360
改ざんは見せしめ
本人を名乗るアカウントで情報を発信する方が悪質

57: 名無しさん@1周年 2017/02/07(火) 08:30:28.34 ID:Yd9nwd8K0
>>56
サイト持ってる人間の、「Web検索でたどり着け」
っていう誘導のしかたとか、なりすましの温床だよね。

59: 名無しさん@1周年 2017/02/07(火) 08:37:02.87 ID:sqfkC6ez0

ワードプレスをオススメした時点でエンジニアの底が知れる

60: 名無しさん@1周年 2017/02/07(火) 08:46:37.90 ID:RnG4RXRe0
>>59
wordpressは悪くはない。悪くは無いんだよ。
構築の早さはずば抜けてるから、
その分デザインテンプレート選びとそれの改修にコストが割ける。
こういったところから、客のニーズをガッチリ掴んでくれるんだよ。
ただし、メンテナンスはお察しだ。
正直、エンジニアでかつ休日もコード弄りたい人種でもない限り、
一年間まともに運用出来るとは思わない。

25: 名無しさん@1周年 2017/02/07(火) 05:41:33.05 ID:9kBGiMG/0
IT技術者を見下し馬鹿にして、
適切な人数を適切な待遇で雇わないから、
こういうことになる

29: 名無しさん@1周年 2017/02/07(火) 06:21:19.70 ID:AwnKh+kp0
>>27
Webサイト運営するなら出来るなら選任のチーム、
最低でも選任のエンジニアを内部に雇って管理させるべき。

>>25が言ってる通り、エンジニアと運用を蔑ろにし過ぎ。
外部のエンジニアに作らせて
必要なときにしかエンジニアに金を払わないってことしてるから、
急なセキュリティ対策とかトラフィック増大に対応出来ないんだよ。



関連記事


amazon
     
 
コメント















 管理者にだけ表示を許可する

 
最新記事
 
 
 
 
天気予報

-天気予報コム-
検索フォーム
RSS・SNS・QR
  •  
  • にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ビジネス)へ
QR
為替レート
パーツ提供:FX比較のALL外為比較
アンテナサイト様
相互サイト様
おすすめサイト
人気記事
投票
アンケート
Face book
他サイト様新着記事
はてなブックマーク
メールフォーム

名前:
メール:
件名:
本文:

 
ページ先頭へ HOME