HIEDA NET Corpration
 > これは変だよ  > こんなSIに発注できるか?


 

wwwへのアクセスログにアタックの形跡が記録されていました。(不正アクセスで当サイトへの攻撃を公開しています。)公立の中学校のサイトからでした。 該当IPをWHOISで検索したら、メールアドレスの登録がなく電話番号でした。 IPで組織が確定できるアドレスで直接アタックするとは思えず、 たぶん踏み台にされているにもかかわらず自覚もないのであろうと考え、電話で連絡をとりました。

責任者の校長先生は、既に転任していていらっしゃいません。 現在の担当の先生は外出中でいらっしゃらないと言うことでしたが、応対いただいた先生に 不正アクセスの事実をお話しました。@不正アクセスの自覚がないかもしれないことの考慮と Aプロではない方に口頭でお伝えしても理解は難しいこと考え、 いつどのような方法でアクセスがあったのかをwebで公開していますので、 このページをお知らせし、HOWとWHENについてをご説明しました。 組織が特定できるIPアドレスで直接不正アクセスをするとはまず考えられないから、
 「踏み台にされているのでは・・?」
というお話もしました。また、JPCERTのCode RedII や sadmind/IIS ワームについての説明ページもご案内しました。

その後、応対いただいた先生から、

  • バックドアプログラムの確認
  • バックドアプログラムの削除
  • パッチ
  • 安全が確認されるまでネットワークの停止措置をとる
という対応をした旨、被害の連絡をしても応答がない方も多いのに、 とても丁寧なメールをいただきました。JPCERTのCode-Redについての 説明ページ でお判りいただけたようでした。
 これで終わりと思っていたのですが・・・・

本日(04月15日)午前中にこの中学校や教育委員会への出入りの業者様でしょうか、
「事実関係を確認したい。」
と称する失礼な電話がきました。また、とんでもないことも判りました。この中学校のサーバーは、

  • 管理者がいない
  • 5年程度、サーバー設置以来メンテナンスしていない
ということです。この程度の意識でインターネットサーバーを公開して欲しくないですね。 踏み台にされたという被害者意識は出てきても、世間に迷惑をかけているという自覚がないようです。 廃ビルが不良の溜まり場になる話は聞いたことがあります。 この中学校のサーバーは、クラッカーの踏み台として五年間使用されていたのだろうことが 予想できます。もしかすると、この中学校だけでなくこの町のほかの小中学校にも同様のサーバーが 野放しで設置されていたりして・…

学校か教育委員会なのかどちらが依頼したのかかわかりませんが、この出入りの業者さんが失礼なな理由は、

    事実確認にしては
  • Code-Red・Nimdaの対処方法を確認する、
  • どんな指示をしたのかを訊く
  • しかも対応した先生が既に何らかの処置をしていることを把握していない
  • HIEDA NETが連絡をさせていただいた経緯を 把握していない
という態度です。少なくとも対応した先生とどのようなやり取りがあったかを把握出来ていないのは怠慢です。 対応した先生に話を訊けばいいじゃないですか! そちらも商売でやっているのならばノウハウタダでなんでも訊こうとするなんて失礼でしょう。 Code-Red・Nimdaの対処方法もJPCERTの説明ページ を読めば判るでしょう?少なくともシステムインテグレーターならば知ってて当然の知識でしょう?

スクリプト説明に対しても「コマンドですよねぇ。」程度の反応。リモートでCMDを実行できるということが 乗っ取りも可能 であるということに気づいていないようです。攻撃スクリプトのログが@一行のみの時とA数行に渡るときの違い、にも気づいていないようです。 この程度のスキルでコンピューターのお仕事をされる迷惑ですね。
 さらに
 「パッチを当てただけですか?」
 「パッチを当てただけじゃあ・・・」
という言い方。おいおい、HIEDA NET被害者として連絡をとったまでで、 セキュリティ対策 の依頼は受けていませんよ。こちらは指示をしていません。対処方法を探しパッチを当てる対処を決心し施したのはこの中学校の先生です。このSI業者よりはるかに立派です。
(こちらもボランティアではないので。相談料金は1時間5000円〜と料金設定です。タダではやりません。)

あと、
 「ヒエダ・ドット・ネットなんてわからないところからの連絡云々・・。」
という発言。不正アクセス元の代理として仕事をしているのならば、 不正アクセス被害者に対してこのような言動は失礼ですよね。

(仕事として依頼されない限り)対策をとるのかとらないのか、 とるとすればどのような対処をするのか、こちらは感知しません。 ですからどんな指示もしていません。 ただ 鍵のかかっているドアをこじ開けようとした痕跡を発見し、それを誰が行ったのか 判ったら注意をするように、ログを見て不正アクセスの足跡が あったからご連絡をしたまで。自動車にキーを差し込んだまま離れて、その車を悪用された場合、 管理責任を問われますね? 悪意を持って不正アクセスする方々も迷惑ですが、 不正アクセスの踏み台となっていることに気づいていない方々も迷惑な存在です。 セキュリティ対策は@ポリシー策定からA実装B運用など、様々なノウハウがあり、 それは立派な仕事として成立するのですから。
(少なくともHIEDA NETドアには複数の鍵をかけているのでいまのところどなたも侵入できていませんが。)

こちらからの
 「後でご連絡いただけますね?」
に対しては
 「ネットワークからはずす以外に何か対策をとりましたらご連絡します。」
って委託された業者としてそんな言い方はないでしょう?
(何もしない時には以後何のご連絡もいたしません、ということ?)
(自分の都合で自分の用事さえ済めば後は知りませんということでしょうか?)
侵入できずに実質の被害はなかったとはいえ、こちらは不正アクセスされた 被害者なのですが・・・

委託を受けた業者がこの程度のスキル認識だからお客様に対して適当な提案啓蒙・助言を与えることもできず、不正アクセスの温床を作ることとなっているのでしょう。無知無知の犠牲者を作っているのですね。

参考: 総務省「国民のための情報セキュリティサイト」

追記:この後、6月25日に教育委員会からとても丁寧なメールを頂だきました。自前サーバーはやめてホスティングにされるということです。ご丁寧に連絡ありがとう御座いました。「なによりのこと。」とお喜び申し上げますが、ただ頂いたメールがHTMLメールなのですねぇ。HTMLメールにはVirus問題・webビーコン問題がありますからテキストメールのほうがありがたいですね。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030530/2/
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030609/1/
(いずれも読者のコメントの方が参考になるでしょう。)

結局この業者さんからは何の連絡もないので「ITスキル以前だな。」と思いますがね。



初出 15 APR 2003
最終更新日 03 AUG 2003



 (C)2003 HIEDA NET Corporation All rights reserved.