(緊急速報)Twitter セキュリティー問題か(Rev4)

Twitter でクロスサイトスクリプティング脆弱性による問題が発生しているようです。現在情報を集めています。

暫定対処として公式サイトから投稿、閲覧している方はログアウトしてください。

暫定対処として公式サイトから投稿、閲覧している方は直ちに中止し、公式サイトから離脱てください。

※この内容はその正確性を含め現在確認している段階で、安全のための措置です。なお、それらしい挙動は情報を受けスタッフが確認しています。SEECK.JPは21時後半にこの問題に関する情報を取得しましたが、少なくとも17時以前にはこの問題が認識されていた可能性があります。

脆弱性対策情報による緊急メンテナンス(完了)

SEECK.JP Staff Blog » Blog Archive » 脆弱性対策情報による緊急メンテナンス(速報) の対応を完了しました。

  • HTML
  • PHP
  • perl
  • ブログシステム
  • 弊社製システム などなど

結果を見ると数千件の修正がありました。こういう時のために仕掛けを作っておいたものはさほど大変ではなかったのですが、最近使っていない言語などはシステムの改変を伴うので大変でした・・・。確認はもちろんしていますが見落としや改変による不具合がなければよいのですが。

※対象のお客様には個別に連絡をさせていただきました

脆弱性対策情報による緊急メンテナンス(速報)

JNV による脆弱性に関する早期警戒情報の1つに該当する可能性のあることが判明しましたので緊急メンテナンスを順次実施します。

影響を受ける範囲

弊社ホームページを始めとして、弊社が作成、管理、運用等するホームページやブログに及ぶ広範囲にわたり、この脆弱性に該当する可能性があるため、個別に検証し、必要があれば対処致します。

影響を受ける内容

クロスサイトスクリプティングの脆弱性

影響を受ける理由

現在、詳細については発表することで、悪意を持つユーザによる危険を伴う可能性がございますので差し控えさせていただきます。

*JVN(=Japan Vulnerability Notes):JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しする、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報を提供するウェブサイトです。

RAIDって壊れないんじゃないの?

パソコンの初心者のかたも、詳しい方もお付き合いさせていただいています。

パソコンの中にはデータを保存している装置があります。

ハードディスクという装置です。これは普通、1つのパソコンに1つ入っています。1つをまるごと使うメーカーもあれば、理論的に2つに区切って使うメーカーもあります。大多数は2つに区切って使っていますし、全域を1つとして使う方法は技術者としても嫌いです。ただ、その区分け方法によっても特長があり、7:3にするとか3:7にするとか5:5にするとかがあります。これはいろいろな意見や歴史のようなものがあってそれぞれ一長一短です。

少し詳しい人になると、2つに分けた領域を上手に使います。

ほとんどの場合、このような使い方をされる方はデータをきちんと保護する意識のある方か、容量逼迫によって雑誌などから得た情報を元に仕方無しに利用しているかのどちらかです。どちらの場合も通常遭遇するトラブルに対して何もしていない状況に強い構成になっています。

ところが、やはり1つの物理装置。物理的な損傷にはかないません。

さらに詳しくなると、もはや壊れるもの、消耗品だとして信頼しない使い方をするようになります(初心者の多くはパソコンを絶対的なものとして認識するのに対して、大きな違いがあります)。そこでヒューマンエラーと同じように、起こることを前提としてデータの保護を行う方法が必要になってきます。1つの物理装置が壊れても、平然と動き続けるか、復旧可能な情報を残しておく運用が必要になってきます。この辺になってくると非常に詳しい人や企業レベルになってきますので、設備投資が難しい場合はある時点でのバックアップを光学メディアに退避しておく方法や、 SEECK.JP が行っているサービスなどで致命的な障害を避けることができます。前者は標準添付のメーカー製ソフトウェアで可能な機種も出てきています。また、D2D (復旧に必要な情報が故障した装置に保存されている機種)の場合はさらに復旧に費用が嵩みます。

データ保護は実は非常に難しい。

データを保護する手段はたくさん用意されていますが、確実なものは何一つありません。自動バックアップは間違って上書きしてしまったファイルもバックアップしてしまいますから、変更前のファイルを得ることは難しい状態です。物理装置を組み合わせて信頼性を向上させたものは導入しやすく小さなサーバーにしばしば利用されています。物理装置が1つ故障しても同一の内容のものがもう1つありますので信頼性が高いのですが、これも前途の問題には対処できず、記録にエラーのある場合でもエラーを持った状態を複製してしまうので意外なトラブルに見舞われることもあります。物理的に箱しょうがなくとも論理的に故障していることがあるからです。

データ保護に非常に有効であり、比較的規模の大きい企業でも利用している上位レベルのRAIDでさえ、同じことなのです。丁度、RAIDに思わぬ落とし穴、データ復旧のポイントを日本データテクノロジーに聞く -INTERNET Watch に記事があり、同様の内容になっていました:

  • とにかく触らないこと
  • 故障の多くは論理エラーであり、回復が可能
  • 作業前にはクローニングや実験を行う
  • 必要なら機材を調達する
  • 外注を使わない

 SEECK.JP で出来る事:

  • メンテナンスを行ない未然に故障を防ぐ
  • 機器管理を行ない、故障以前に装置交換
  • 故障の前兆を見逃さない
  • 内部ネットワークにデータ保護領域を確保
  • ある時点での状態を記録することでダウンタイムを小さくする、致命的な欠損を避ける
  • 外部ネットワークに暗号化通信でデータ保護 など

これまで、裁判資料や子どもの成長記録などの復旧も行って来ましたが、ほとんどの場合 SEECK.JP で安く直せます。が、そもそもそうならぬように防ぐことが重要です。今現在快調に動作している装置や動作しているように見える装置の交換を提案することは容易ではありませんが、何か起きてからでは遅いので、そこはご信頼を頂戴する他ありません。

幸い、ご信頼を頂戴し、ある程度の裁量権を戴いている場合には、このようなトラブルに見舞われたことはありません。復旧にかかる費用や時間、損失したデータに係る費用や利益を考えれば、未然に防ぐための費用や時間の方が小さいことは言うまでもありません。見えないものに費用をかける決断をするのは難しいのですが。

ようやく問題箇所の特定か?

以前から存在する深刻な問題が解決したかもしれません

SEECK.JP Staff Blog » Blog Archive » サーバーにアクセス不能時間がありました :
https://www.seeck.jp/staff/998801/archives/291

下の写真は通信環境を担っている部分です。

前回装置交換したけれど、やはりそこに問題はないようで、いよいよ本格的にご機嫌斜め。本格的に調査しました。この中の何処かに問題があるはずですが、3つのネットワークがあり、さらに特殊な構成になっているので問題の特定は容易ではありません。(いい加減VLAN切ってパッチパネルくらい入れろと言われそうです)通常の問題なら、問題をすぐに特定して対処できますが、今回はどうもよくない。壊れるなら壊れて欲しいタイプのものです。壊れていながらも頑張って動いてくれる(←あとから判明)”どこか”のお陰で、問題の特定ができない。確証が得られない。

続きを読む ようやく問題箇所の特定か?