« 今度は占いサイトの OZmall がクラックされてしまいました | メイン | 「Windows Server Update Services(WSUS)」がもうすぐリリース »

一連の不正アクセス事件について別の見方

今度は占いサイトの OZmall がクラックされてしまいましたでは、

「過失がないと言い切っているところから、 ゼロデイアタック、つまり全てのパッチを適用していても防げない攻撃である。 そして、拡散防止のために手口を公表しないことから、 高度なテクニックが不要、誰もが簡単にできる攻撃である。」
と読みをしました。

過失がないと言い切っていることから、ゼロデイアタックだろうとは想像できます。

2番目の手口を公表しないことに関しては、
ちょっと別の視点で考えてみました。

手口を公表すると、その時点で"未知の攻撃"が"既知の攻撃"になります。

もしOSやWebサーバの脆弱性であれば、その時点で脆弱性をもったサイトは、

・パッチがリリースされるまで、サイトを閉鎖する。
・脆弱性のない、ほかのプラットフォームに乗り換える。

といった対応を取らなければ、クラックされた場合に管理責任を問われることになるでしょう。

つまり、価格.comのように、過失はない、補償はしないとは言えなくなるわけです。

現時点で公表してしまえば、数多くのサイト運営者をパニックに陥れ、
サイト利用者の不安をあおってしまい、社会的な影響が大きくなります。

一般的には脆弱性が発見された場合、
パッチがリリースされてから、対策が情報を公表しますよね。

今回のケースは、不正アクセス被害=発見だったわけで、
もしOSやWebサーバの脆弱性による問題なら、
まだ公表できないということになりますよね。



セキュリティ情報ディレクトリ
セキュリティ総合情報館。最新情報とアプリケーション別脆弱性情報。

IT(情報技術)NAVI
IWindows、Linux活用記事、オープンソースソフトのインストールガイドやFAQ。

IT革命
IT関連ニュースブログ。業界のトレンドをキャッチせよ。

グループウェア LacoodaST
成長企業のためのユーザ定額グループウェア。