« ACCS報告書の真実性、とは | トップページ | F1 - Grand Prix Speed Fはいずこに… »

2004.03.12

ACCS-ログ調査を考えてみる

ASKACCS報告書関連の話は、Internet Watchにも記事になってました。やはり報告書の正式な修正or訂正は まだ出ていない模様です。(3/12時点)

アクセスを試みたのは3人だった模様です。

記事中:

ACCSでは「(報告書の調査結果を)修正しなければならない。当時は事件直後であり、 相手のアクセス手法も確定できていないまま、我々が自主的にチェックを開始しなければならなかった。 そのために形跡を発見できなかったのではないか」としている。

うーん。逮捕前のOffice氏の行動からすると、脆弱性報告と攻撃可能なパターンを 一緒に送付していたような節が見られるので、調べてみました。

  • 10/6 この日よりログが残っている
  • 11/8 イベントでASKACCS脆弱性の発表
  • 11/9 早朝から昼 3人が脆弱性攻撃(調査報告書では、この攻撃はログから見つかっていない)
  • (上記Internet Watchの記事を参考)
  • 11/9 12:00頃 ACCSへの脆弱性報告を確認
  • (この時点で攻撃パターンが判明していたと考えられる↓)
ASKACCSのホームページ上のCGIから個人情報を入手する手法を記したメールが 送られているのを確認

(from:ACCS運営ホームページのセキュリティ問題について(2003.12.26))

  • (★)
  • (この間、ログ調査・個人情報拡散調査あり。外部から個人情報へのアクセスを4回確認)
  • 12/3 事故調査委員会設置(ACCS)
  • 1/22 ASKACCS調査報告(調査報告書)

(参考:ACCS運営ホームページのセキュリティ問題について(2003.12.26))

11/9~1/22の期間が長いかどうかは気にかかるところですが、 やはり「個人情報を入手する手法を記したメール」を送っているようです。 そうすると、時系列でみる限り、(★)のところで3人の脆弱性攻撃がログから 発見されていてもおかしくないのですが。 11/9の時点でOffice氏の攻撃がログから判明しているわけですから、 11/9~1/22(2ヶ月半)に行われていた(はず)のログ調査の実施にも関わらず、

当時は事件直後であり、相手のアクセス手法も確定できていないまま

なんてことがありえるのでしょうか。

以前ログを調査したところは、ASKACCSサイトを運営していたレンタルサーバ会社 なのでしょうか? どちらにせよ、もう一度ログから攻撃の可否をチェックすべきだし、 なぜチェック漏れがあったのか考察する必要があるのでは。…と書いたところで、

イベント後の翌9日の早朝から同日昼にかけて同様の手法で アクセスを試みていたことがわかっており

実はすでにログから攻撃があったことをつかんでいたということですか?とすると、上の話の流れから ログから見つけたのは1/23以降になるわけですが、結果報告書を書いてから再調査したとか? 何か調査と結果と事実と行動が噛みあっていないような。…謎は深まるばかりです。

参考:ASKACCS 関連

|

« ACCS報告書の真実性、とは | トップページ | F1 - Grand Prix Speed Fはいずこに… »

パソコン・インターネット」カテゴリの記事

コメント

この記事へのコメントは終了しました。