ケミ介@chemisuke_sikyoPR TIMESのURLロジックを推測して、公開前情報を入手するとか頭イイ人いるんだねw
2021/07/09 15:08:08
2021/07/09
PR TIMES、発表前情報への不正アクセスに関するお詫びとご報告
https://prtimes.co.jp/ir/
発表前の情報がSNSで拡散されていたんだね pic.twitter.com/FsUrfrUPY2
— ありゃりゃ (@aryarya) July 9, 2021
KK600@Electro_ChemistURL直打ちで未公開情報見たら不正アクセスって不正アクセスのレベルが低すぎないか?
2021/07/10 15:26:35
「画像一括ダウンロード機能とドキュメントファイル( PDF )ダウンロード機能において、プレスリリースの公開状態に関わらず(非公開、下書き含む)、 URLロジックを推測および解析することでダウンロードが可能な状態になっている仕様を確認」
↓
「画像一括ダウンロード機能とドキュメントファイル(PDF)ダウンロード機能を、公開時の
みダウンロードできるように変更したことで、下書きおよび非公開時にはアクセスができない状態へ変更」
T.Hori@beaTeckえっURLは公開設定だったってこと…
2021/07/10 13:29:34
対策も“人員を増強し、仕様設計およびコードレビュー、QA等を漏れなく実行し、セキュリティホールの存在を迅速に発見できる体制へと強化”って言っているし、どう見ても人的設定、または設計ミスだって自分たちで認識されているよね。
— アイヴァーン (@Ivarn) July 10, 2021
セキュリティホールは、不用意な仕様としてしまった人為的ミス。
URL は“当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号”じゃないし、“当該特定利用の制限の全部又は一部を解除する”“「アクセス制御機能」”の観点ではプレスリリースの公開と同期していない仕様だったと制御していないし。
— アイヴァーン (@Ivarn) July 10, 2021
だから、“アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動”させていないし、…
— アイヴァーン (@Ivarn) July 10, 2021
fanvio@fanvioそりゃ少しでも早い情報を手に入れたい人は推測できるURLで探そうとするだろうなぁ…
2021/07/11 11:11:04
公開されているのだから不正アクセスじゃないとは思う。(想定していないアクセスというだけで)
公開したくない情報なのになぜ公開領域に載せるのか意味が分からん。テスト環境もない貧弱な環境なのか?
えふのじ@fnojiPR TIMESの件って杜撰な管理のミスを不正アクセスと言ってるだけ過ぎる
2021/07/09 22:49:07
青砥ゲートウェイ(KS-09)@a32kitaさすがに無いだろうけど仮にこれで逮捕されるなら、うかつに URL を直叩きもできんなぁ。。w
2021/07/10 13:45:57
うっかり保護されていない () 非公開コンテンツにアクセスできちゃったら手錠掛けられるんでしょw
唯一、“アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動”は抵触しそうだけど、アクセス制御機能有効じゃなかったんじゃ…。
— アイヴァーン (@Ivarn) July 10, 2021
“当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(...)であることを確認”することがアクセス制御機能と規定されているので、識別符号を用いずにアクセス可能な場合は制御機能が有効とは言えないのでは?
— アイヴァーン (@Ivarn) July 10, 2021
識別符号とは、“特定電子計算機の特定利用をすることについて...当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号”だと定義されているのだから、特定者でなくても必要な URL は利用者を識別する符号じゃないよねぇ。
— アイヴァーン (@Ivarn) July 10, 2021
だから、不適切なアクセスではあっても不正アクセスといえるかは微妙だと思われ、管理者において公開の意図がなかった公開はされていない URL を司法が“識別符号”と判断するか否か、によってわかれそう。
— アイヴァーン (@Ivarn) July 10, 2021
しの@SH1N0PRタイムスが非公開URLにアクセスされたのを不正アクセスとか言ってる件、元の判例は、FTPでパスワード認証がかかってる領域にディレクトリトラバーサルでアクセスした件についての判例だし、今は各種サービスでURL知られると漏れるとい… https://t.co/mAPPY6nFfO
2021/07/12 10:17:45
なふもふ@nafu_mofu「設定ミスによる情報漏洩」よりも「不正アクセスによる情報漏洩」のほうが印象が悪くなる気がするけどな。
2021/07/12 12:02:55
なんで不正アクセスという表現にしたんだろ。
福地ホワ@f_whitePRTimesは下げてるな
2021/07/12 09:11:42
あまりにもお粗末くんだもんな
連想しやすいフォルダ名にしてたんやろ
https://finance.yahoo.co.jp/quote/3922.T/chart
くら@mizunokura「不正アクセスでした!」って言うのも恥ずかしいようなただの運用ミスだと思うんだけど、PR TIMESとしてはそれでいいんだろうか。
2021/07/11 10:21:31
jamflying777@jamflying777つか中小企業がこんなガバガバレベルばっかりなら、適当にセキュリティ系握っとけば長期で楽できそうだな(白目)
2021/07/09 20:41:49
たにやん@t_taniyan・ハコ会社
2021/05/25 15:53:03
中身のない新規事業やM&Aで目立つ開示する→株価上げる→増資する→ばれて下方修正する→資金流出して悪い人が儲かる
・ベクトル系列
それっぽい社名で上場する→IR頑張って株価上げる→不正したり中身のないのがばれて下方… https://t.co/9ZYvScXoOw
コメント
コメント一覧 (68)
強度が十分でなかったのは事実だろうが識別符号と見なせないほどの雑な実装だったとはさすがに考えにくい。
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
漏らしまくればインサイダーもなくなるやろ。
市況かぶ全力2階建
がしました
「正しくないアクセス」なんだから、不正アクセスなんだよ。それだけ。
アクセス者を罪に問うことができるような内容じゃあないが、正しくはない。
だから、どこにも違法だの攻撃だの通報だの書いてねーじゃん。
設定ミスのせいで想定外のアクセスを受けることを「不正アクセス」って呼べないとしたら、
九分九厘の情報漏洩事例は不正アクセスと呼べなくなるだろ。
プログラムのバグをついた攻撃しか残らんのだから。
セキュリティ事例で、一々原因別で区別呼び分けしないっつーの。
原因わかるまで、なんて呼べばいいかわからなくなるし。
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
まるで昭和時代みたいな素晴らしい判決を出してくれると思う
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
僕ちゃんが不正だと思ったら全部不正アクセスなの!って主張を通せるだけの優秀な弁護士に頼むんだろうなあ
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
馬鹿だな
市況かぶ全力2階建
がしました
箇条書きオンリーにしろとは言わないけど、だらだらと枝葉の部分を書きすぎ、はじめの部分にサマリーを載せるならこの形式でもいいけど、全部読まないと全容が把握できないし。
今回の単なる単体チェックとか境界値チェックの見落としみたいなことを誰も試さなかったことがいちばんの問題点だと思う。
テスト環境に未来日付のデータが無いなら作ればいいし、むしろユーザーからすればURLのパターンから用意に把握出来るわけだし。
市況かぶ全力2階建
がしました
2021年
7月9日 ビート・ホールディングス・リミテッドの最高経営責任者(CEO)を謀略により退任に追い込まれる。
市況かぶ全力2階建
がしました
Brute force attackは不正アクセスになるともならんとも読める
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
https://prtimes.jp/main/html/rd/p/000000192.000071013.html
71013が企業名で192が連番になってて次のニュースは193だぞ
試しに次の番号入力したらニュースが出てきちゃったんじゃないの
市況かぶ全力2階建
がしました
ディレクトリ一覧はでない、ランダム性のある文字列が含まれてるとかはたぶん必須
市況かぶ全力2階建
がしました
意外と世の中には多い
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
即対策されて終わったんだけど
PR TIMESの業種的にどうなの?とはなるよね
市況かぶ全力2階建
がしました
そんな感じ
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
悪意のないクローラーですら見つける可能性あるんだから。
というかよく今までこんな仕様で放置されてたな。
PR会社として相当まずいだろ。
市況かぶ全力2階建
がしました
こんなトコのサービスを使う会社は居なくなるんじゃないか?w
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
市況かぶ全力2階建
がしました
顧客が大挙して競合他社に流れそう。
市況かぶ全力2階建
がしました
もともとクソ企業だし、まあ終わっても潮時じゃないか?
市況かぶ全力2階建
がしました
探った側もちゃんと罰してほしい気もする
市況かぶ全力2階建
がしました