新着記事
★ゴルフサイトサーチ ▼登録されたゴルフサイトの情報からゴルフ情報を検索できます
Loading
(02/10)ト阿玉氏、村上隆氏ら6名が日本プロゴルフ殿堂入り
(02/08)ゴルフ仲間・ゴルコン相手募集2名追加
(02/07)フェニックスオープンは松山英樹プロが連覇
(02/06)ドバイデザートクラシック結果
(02/03)NEW タイトリスト プロV1&V1x発売

このエントリーをはてなブックマークに追加

●エリアG人気コーナー
ゴルフ仲間・ゴルコン相手募集  ゴルフ書籍・DVD  ダブルペリア(新ペリア)計算方法

2008年10月03日

No.73 ゴルフダイジェスト・オンライン不正アクセスでダウン

GDOことゴルフダイジェスト・オンラインが不正アクセスを受けたとのこと。なんでもGDOから配信されたメールに書かれているURLをクリックするとウイルスをダウンロードするサイトにアクセスしてしまうとか。個人情報の漏洩はないとのことですが、そういう問題ではないかも知れませんね。

サイトから送られるメールに無関係な記述を追加されるというのは、システム部分をいじられているわけで、それなりの権限がないとできないことです。ということはかなり奥まで入り込まれている可能性があると。

GDOからの案内メールによると、修正をほどこしてテスト運用したけどダメで再改修を行っているという話。そんな簡単に済む話じゃないというのが私の意見です。これまでも職業柄、不正アクセスに関することを見聞き、体験してきましたが、システムがいじられていたら問題はそこだけじゃない可能性があります。

セキュリティホールをふさいだとしても、他に何が仕掛けられているかわからない。それをすべてチェック・改修しなければなりません。そもそもサーバの不正アクセスを受けたらそのサーバは保全していじってはいけない(いろいろな証拠などを消してしまう可能性があるので)ので、サービスを再開しようとするなら新しいサーバを用意して作り直さないといけなくなります。

段取りとしてはこんな感じでしょうか。

・問題の抽出
・問題の改善
・新サーバの立ち上げ
・コンテンツの移行
・全チェック
・サービス再開

これが1日2日でできるかというと……物理的に無理です。最低2週間。万全を期すなら1ヵ月はほしいところ。逆に1日2日でサービスが再開できたとしたら、前のサーバを使って、問題となった部分だけとりあえずふさいだ、ぐらいでしょうね。

昔、はまのMさんがこつこつ作っていた時代と違い、お金がからむ様々なビジネスを走らせているわけですし、何がどういう問題を起こして、どこまで影響した可能性があって、それをどのように対処したか、といった細かい点まで明確にしてもらえないと、今後ちょっと使うのが怖いかも知れません。いまや上場企業なわけですし、そのぐらいの責任はあるかなと。

不正アクセスによって何が起きたかというのも重要ですが、それを繰り返さないためにどうしたか、今後どうするか、このあたりをきちんと示せるかどうかによってGDOという企業のこれからが左右されるかも知れませんね。


Webアプリケーションのセキュリティ完全対策―不正アクセスや情報漏洩を防ぐ
Webアプリケーションのセキュリティ完全対策―不正アクセスや情報漏洩を防ぐ徳丸 浩

おすすめ平均
starsとっても分かりやすいですね。
starsSQLインジェクションなどWebアプリのセキュリティ対策に
stars分かりやすい
starsWebアプリケーションのセキュリティを考える上での良書
stars具体的で分かりやすかったです

Amazonで詳しく見る
by G-Tools



[AD]


このエントリーをはてなブックマークに追加

posted by Manabu **Springwater** Shimizu at 15:04 | TrackBack(0) | ゴルフコラム
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/20458935
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック