FC2ブログ

鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzunone.0g0.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)
FC2のSSL設定を有効に変更しました。(http://⇒https://) ついでにアドレスもちょっとスッキリさせました。(suzunone.fc2.net)

納得できない、ほこ×たてセキュリティー対戦

フジテレビ「ほこxたて」でネットエージェントが思わぬ風評被害、
サイバーエージェントも被弾 ~ NAVERまとめ

6月9日に放送されたフジテレビの「ほこ×たて」2時間スペシャルで、「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティプログラム」対決に注目が集まった。

6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について ~ ネットエージェント株式会社
2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。
実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサービスを動かし、容易に侵入され得る環境の中で写真を隠して見つからないように守る、ということでした。
様々な制約下で堅牢なシステム環境(OSなど)を期待できない状態であったときに、たとえ侵入されたとしても守るべき資産(今回は写真ファイルです)を漏えいから守る、という点が情報漏えいの対策企業である弊社に与えられた使命です。

先日、ほこ×たてという番組でネットワークセキュリティー対決の取り合わせが有った。

ネットワークセキュリティー企業とセキュリティー破りのチームの戦い。
まあ一応興味を引かれる分野だけ有ってそれなりに期待をして見ていた。

番組の流れ的には、サーバを3台用意して、3回戦いが有るような形にしていた。
そもそもセキュリティーで3回戦に分ける事に違和感を感じていたが、まあルール
だからという事でその場を流して見ていた。

決戦が始まったら、侵入チームは30分でOSのセキュリティーを破り、3時間で
FireWallのセキュリティーを破ってしまいました。

後は大量に有る同名の画像ファイルから宝探しをさせるだけという、超アナクロな
作業から正解を導き出していました。ここでまずびっくり。日本のセキュリティー
ってこんなレベルなの?って思っちゃいますよね。


二回戦目もなんだかんだと言ってすぐに侵入成功。
しかし侵入側はその後、大量の(5万個位?)同名ファイルから目的のファイルを
抽出できずに時間を余らせた状態で断念して負けを宣言。

番組的にはセキュリティー企業が勝った事になってはいましたが、それはルール
上勝っただけの話であって、技術が分かる人からすると、放送を見てこの企業の
技術を信用するか信用しないかと言えば普通は信用せずに馬鹿にしますよね。

二台ともあっという間にセキュリティーが破られたわけで、結局侵入されている
ことは、深刻なセキュリティー問題を抱えていると考えます。

私も日本最強と番組で紹介されて出てきた企業がものの30分で破られていると
思ったらそれはガッカリしますよ。しかも二回も。



そうしたら上記リンクの対戦企業から、裏話が出てきました。

防御側にルールとして使用を許されたのはサービスパックも何も当てていない、
丸裸のWindows 2000 Serverだというのですから驚きです。

【一回戦目】
・Windows 2000 Server 日本語版(サービスパックなし)
・IIS 5.0によるサービス公開が必要

【二回戦目】
・Windows XP (サービスパックなし)
・SSH、リモートデスクトップによって外部からログイン可能
・誰でも利用できるパソコンを想定し、ログインID、パスワードが攻撃側にあらかじめ通知されている
・ウイルス対策ソフトなし(XP SPなしで動作するセキュリティ対策ソフトがないため)

二回戦目はどこまでがルールなのかは不明な所も有りますが、それにしても
2000やXPでサービスパックなしとはどう考えても現実的では有りません。


番組的には二回戦目までは破らせる事を前提として構成していたようにしか思えません。
三回戦目はもう少しましな構成が許されていたと勝手に予想しますが、セキュリティー
なんて一つ破られたらそこで企業の信用は崩れるものなので、こんな対戦法に何の意味も
無いと思います。

番組を見ていた人からすれば、データを守る方法が同名のファイルを大量に用意して
時間稼ぎ&諦めさせるぐらいしか方法が無いとか、全く安心できませんし、そんな
セキュリティーは終わってますよね。


そういう事で叩かれたからか、ネットエージェントはほこ×たてで行われた対戦内容の
裏幕を公開しました。読んでみると非常にかわいそうな内容。番組側が一般の視聴者に
見た目的な分かりやすさや、対戦としての面白さを演出しようとして、企業側の出来る
事に作為を加えていたという非常に下らない結果でした。

そのおかげでセキュリティーの内容が低レベル&アナクロ過ぎて、侵入側も戸惑って
いた感を存分に感じます。

普通は最低でもWindows Server 2008以降でセキュリティーガンガンな所に侵入しろ
とかそういうことを想定していたと思います。それだったら侵入側ももっとあっさりと
事が進んでいたかもしれません。

それが、大量のファイルからの宝探しとか、侵入者が得意とする分野の技術を
全くと言っていいほど生かせられない苦痛なだけの作業を強いた事が、防御側の
勝利に繋がっただけで、守った企業側も侵入者側もどちらも「勝った」「負けた」
気分になれていないと思います。


中には面白い対戦も有るので番組を叩きたくはないですが、この番組で他の
対戦内容でも疑問を感じる事も少なくなく、特に今回は番組を盛り上げる為に
最低でクソな条件を突きつけたなと私は感じています。

セキュリティーなんて素人が面白おかしく触る分野じゃないんだよボケ。
特にセキュリティーを破って侵入なんて横から見ていてこんな面白くない
ものはないからな。

串を何本破っても、ハニーポットに導いて侵入者を欺いても、出ている文字が
ちょっと違うだけで、傍目には何の違いも分からない。

普通は多少番組での対戦内容に疑問を持っても、とりあえず一所懸命対戦した
面々を見ていたら清々しい気分になるものなんですが、この回は非常に
ストレスが溜まりました。ネットエージェントのブログを読んで可愛そう過ぎて
更にストレスMAX状態。

で思った事が、「しろーと番組が二度とセキュリティーの事なんて触るなボケ」
で、とりあえず次回には実態と内容を明かして対戦者双方に番組内で謝れって
事ですかね。

最高の技術を双方が持ち寄って対戦させる事が売りのはずの番組が、余計な
干渉をして、手足を縛って対戦させるとか二度とやって欲しくないですね。


ついでで・・・。
ネットエージェントと間違って、サイバーエージェントにも一部被弾していた
とかちょっと笑えない事もあって、怖いなぁ・・・って思いました。
作為の結果の番組を見ただけでもこれだけ影響が有るんですよね。
関連記事
  1. 2013/06/14(金) 19:03:51|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:3
<<Googleのアプリが通知領域の同期をするようになった | ホーム | クリアワイヤ、株主にディッシュのTOBに乗るよう勧告>>

コメント

戦法

あたしだったら、

ソフトやら設定やら始める前に
まず「LANケーブルを抜く」とか「LAN・Wi-Fi無効化」(物理障壁こそ鉄壁)
という所から始めるなぁ…

んでまずスタンドアローンで出来る限りの事(SP適用や各種ソフト導入)をして
それから再度ケーブル接続かなぁ

それができてない時点で
ネットエージェントの負けだと思う

物理障壁は
不正侵入だけでなくネット姦染型ウィルスの二次被害拡大にも効果的です

初心者にもわかりやすく
「通信で侵入される」のに
ローテクながらも最も効果的なのは「通信断」であるとアピールできていいと思うのですけど…
  1. URL |
  2. 2013/06/17(月) 05:40:58 |
  3. 姫 #Qgp/yXvw
  4. [ 編集]

つづき

番組の動画見てたら
ある程度設定してノータッチで見守る
なのね…

それなら
電源オフ+Wi-Fi無効+LANケーブル抜きで封印させますね

それがだめなら

セッティングも収録がのびようがネットエージェントが最強と思える状態にまでアップデートして望んで欲しかった
局からいちゃもんが付いたら、それを理由に「この条件では守れません」と勝負を降りるとかすべきだったと思う
  1. URL |
  2. 2013/06/17(月) 05:58:25 |
  3. 姫 #Qgp/yXvw
  4. [ 編集]

>姫さん
この番組でのルールはあくまでソフトでの対応なのでケーブル引っこ抜くとか
物理的な阻止は難しいだろうと思います。
私もネットエージェントの最高セキュリティーのものを見たかったです。
  1. URL |
  2. 2013/06/19(水) 02:00:54 |
  3. 鈴 #GpEwlVdw
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
https://suzunone.fc2.net/tb.php/3758-7aaf7904
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。