2024-07-04

KADOKAWAハッキングの話が雑すぎるので弊社の例も書く

anond:20240702102611

これでなんとなく長文書いたらビビるくらいブクマついたので弊社の例も書いてみる

ここからプロでも分野で違うので伸びなそうな気がするけど

弊社の規模等

20年前のシリコンバレースタートアップ

従業100人程度

3年前に買収されて今は世界で数百人年商2000億くらいの規模

ITだけどSaaS提供

うちのチームの担当

大きな方の括りでサービス2つ、あるいは3つの開発と保守

外向けのレガシーSaaS、それをリプレースメント中のマイクロサービス群、自社の経理向けのシステム

業務内容的に個人情報てんこ盛り

インフラは別チームとアウトソース

インフラの状況

オンプレサーバーなし、全てAWSAzure

ただしVPNとRDPはあり

ファイルサーバーSharePointに移行中

ハックされるのか?されたらどうなるか?

2代前の会ったことがないCTOの時にランサムウェアにやられている

その時はCTOバックアップから戻せたけれど弁護士代等で数千万の損害

現在システムのハックのしやすさはサービスによるので以下に個別

1. 社内の経理向けシステム

AWS上のWindows Serverで稼動するWebアプリケーションSpring

出力はネットワークシェアAWS上)にフラットファイル

引き継いだ時は顧客の住所電話等のPII(個人情報)が満載だったけど全部消したので今はここから見れるのは名前と何時間うちと関わったかということだけ

一応AWS上ではあるけどVPNとRDPがハックされた場合(よくある)全部抜かれる可能性はあって正直ユルユルだが最悪抜かれてもそんなに困らないようになっている(した)

2. 外部向けのSaaSレガシー

クライアント免許証等の個人情報ファイルが山ほどあるところ

ファイルは自社で保存じゃなくてAWSのs3にシステム経由でアップロードされるようになっているのでファイルサーバー、あるいはSharePointなどとは別系統認証必要

それでもRDPで繋げられるAWS上のWindowsServer上にのっているのでハックした上で頑張ればとれてしまうけれどブラウズしてファイルがみれるものに比べれば難易度は上

3. SaaSの移行先のマイクロサービス

同じ情報をあつかってるけどサービス自体コンテナ化されてAWS上で動いているので乗っ取れるサーバーがなくて会社がハックされても関係ない

API経由で認証してAPI経由で情報を取り出すようになっているので個々のAPI安全性は書いた人次第だけどそれで盗める情報はそのAPIが扱う一部に限られる

ここ経由で雑に免許証だのなんだの大量に出る可能性はかなり低い


結論として

1.2.3.とそれ以外のケースは大きな会社なら混在してて、いくらノートラストとか言ってて実際一部が3.でやっていてもだめだし

VPNやRDPを乗っ取られないようにするスキルAPIセキュリティーを設計して書くスキルとでも全く違うし

仮にノートラストで全部3にしようってしてもできる人間は限られてるし高いしいきなりできるものでもないんだけど

その辺雑だからこういうことになるのかね

記事への反応 -
  • まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワード...

    • anond:20240702102611 これでなんとなく長文書いたらビビるくらいブクマついたので弊社の例も書いてみる ここからはプロでも分野で違うので伸びなそうな気がするけど 弊社の規模等 20年前...

    • クッキングのお話して

    • いつものオチになるのはツラアジ というか 自動生成パスワードにしてるので変え方すら忘れてることに今気づいたわ ニコニコは解約したけど、カクヨムとか角川のやってるのはぜんぶ...

    • これは恥ずかしい増田ですよ

    • ユーザーの情報も流出してるやで。 内情に詳しそうな人が図解でデータセンター内にニコニコIDの認証機能書いてたし実際にニコニコID使えなくなってるのがその証拠。

    • 2000年代のセキュリティ意識で解説してて草

      • 元増田みたいなのって自営業でしか働いたことないよの以外の場合、 組織意識ってどうなってるんだろう?

        • ないんじゃないかな ファイルサーバはNASとかLinux+sambaで構成してるとか思ってそうだし

          • だけどさっぱり具体的な反論はないよね

            • 別の盛り過ぎ増田にも突っ込んだけど、 今はオンプレファイルサーバー使ってないか、オンプレ使っていても、SharePoint に移行中なのよ MSに両親を殺された人は GoogleDrive (SharePointとGoogleDr...

              • 中小には情シスいなかったりするけどどこにでもいると思ってる奴は盛ってると決めつけるんやろなあ😟

                • 今は改善してる(はずだ)と思うが、俺が5年前まで勤めていた地方の某公益法人の某施設では、システムはSIerに丸投げで正規職員の一人が本来の職務の片手間に業者と折衝してるという...

              • うーん、 正直KADOKAWAもここまで体勢があったかわからんと思うぞ 連結でも7000人ちょいの非IT企業だから

                • その規模感でなってないはあまり一般的じゃ無いとおもいます いちおう情報システム部門は企業のIT戦略を担当するという建前があるので   もし何かがうまくいっていなかったのなら、...

                  • いやいや、KADOKAWAの連結って倉庫番などの現場系を入れてだからね 本体だけならたかだか2千人だから。

                    • 別に何台でもいいですけど、その規模感で情シスはヘルプデスクでしかないも、無軌道に管理も、あんま一般的ではないです 下記の話と同じく無限にループするやつ? これも盛り加減...

      • 実際、コンサルはこんな感じよ

        • その認識改めて貰っていい?中小も馬鹿にしすぎ。盛り過ぎなんよ 盛っているつもりないならだいぶ時代は変わって増田がデスクワークやってた頃と違うと認識持つとええで

          • それは誰目線の話なの? コンサルがバタバタ廃業に追い込まれたの 時代についていけてないからよ ボクハサイセンタンノニンゲンデスって言いたいなら、壁に呟いてたら?

            • まぁこう言うのが面倒なわけよ → anond:20240703095544 相手しても無限ループするだけだし

              • この増田 適当に投稿消す何時もの増田かね 会話にならなくなるのも通例って感じ

                • 言い過ぎた時はたまに消すが 基本的に消さないから安心してどうぞ むしろ消えたのキャッシュ拾って繋げたりしてる

    • 私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 ...

      • 興味ないね

        • 増田 様 拝啓 盛夏のみぎり、 増田 様におかれましてはますますご繁栄のこととお慶び申しげます。 さてこの度は、ご興味がないにも関わらず、レスを賜りまして大変ありがとうご...

      • 同じこと書いて伸びてたのになんでまた書いてるの

        • 私は書いてないです 同じような事を考えてる人がいるなら参考にしたいので、もしよかったら教えて下さい

        • おまえの知能ではこれが同じにみえるのか 前者があまりにも幼稚すぎるから、後者の人が訂正してくれてる図だと理解できない星の人か

          • そうだな。ほとんど同じレベルだけどほんの少しだけマシだな 同じやつが書いてなかったら驚くわ

            • これが同一人物認定できちゃうの、かなり頭悪そうだね かわいそう

              • ID漏れてるとまでは思わないけど、中の人ならできる

                • PCが苦手な場合 PCが苦手っぽくてパスワードの扱いに苦労している兄やんが、肌身離さず常にiPhoneを握りしめているのは興味深い。 6sから11へスイッチしたようだが、ホームボタンがな...

              • 日本語の使い方おかしいよ? 「これが同一人物認定できちゃうの、かなり頭悪そうだね」 だと、同一人物認定できちゃうことそのものを「頭悪そう」と言ってることになるから 運営に...

      • AADとゼロトラストのない世界

        • それな。ゼロトラストの原則で運用してあれば被害の拡大は防げたはず AAD(Entra ID)は使っててもゼロトラストの原則に従って運用してなけりゃ駄目だって事ではなかろうかと ここがち...

          • これやってるところどこにも存在しないって謎の人は言うんですけど たぶんどこでもやってると思うんで会社のPCで確認して見て欲しいのよ とりあえず、[職場または学校にアクセスする...

            • >これやってるところどこにも存在しないって謎の人は言う 俺にはこの「謎の人」が見つからなかったんですが誰のことですか

            • AADはもうありません。 今はMicrosoft Entra IDと言う名前になっています。 全然定着してないけどな!

              • そーね、Entra ID だわね ポータルも変わってるね

                • Azure Active Directory は Actirve Directoryとは全然別物なのに、なんで似たような名前にするんや!と当初叩かれてたけど なんだかんだで定着したところで、Entra IDって名前変えたのなんなんだろ...

                  • みんな最低でもハイブリッドになったからと違う?これから会社興すところは最初から Entra ID のみだし、 ADみたいにPCやIDや認証管理するやつだよの説明も要らなくなったので、紛らわし...

                    • MS名前変えすぎ問題な この間MSの認定資格とったけど、問題文にすら旧名称と新名称が混ざってて、流石にこれはどうなんやと思ったやで

      • 一度購入したら4年間は使わないといけない これはザイム真理教が悪い システム関連は単年償却を認めるべき 社員用のPCがしょぼいのもこれが原因

        • ザイム真理教信者「だって、教祖の税務署様がそうしろっていうし。。。」

      • 多くの一般人は専門的なワードが入ると興味が消失するのでわかりやすい例えで解説してもらえるのはありがたいです。 専門的なワードを使わなくても概要は得られる。 時折生まれる大...

        • どうしたらこんなの書けるのって思う

          • いい人なんでしょうね 他人を褒めることになれているって言うか どうやったらそう言う人になれるかは俺も知りたい

            • もちろん悪い意味で言ってるぞ、ゼロトラストの認識を持ち始めた、 言われた通りに設計して実装して運用してるだけだぞが理解できているのはマシだけど   えらい猫(予算を決める絶...

              • またお前か。お前はもういいよ。 支離滅裂ってのはお前のためにある言葉だ。

                • anond:20240626111726 anond:20240626121552 anond:20240629093614 anond:20240629112517 anond:20240703103307

                  • こっちのセリフだよ

                  • こうやって自分の気にくわない奴は同一人物だと認定するのって相当精神的にヤバいんじゃないかな まぁ知らんやつが勝手に病んで消えていっても俺は別にどうとも思わないし、こうや...

              • 新たなに誕生した増田のスターに拍手! 評論 行動からシンプルに命名。 エクセルホーガン氏と仲が良さそう。 ニッポンの伝統的な風習を残すSIer一本でやってきたために、企業ブランド...

                • 今はチャットだぞ。再放送しておくね 2000年代のセキュリティ意識で解説してて草 ↓ 元増田みたいなのって自営業でしか働いたことないよの以外の場合、 組織意識ってどうなってる...

      • プロじゃないけどってとこで読むのやめたんだけどなんでこれがこんなに伸びてるの?

        • 雑な内容だとツッコミ需要で伸びやすいからでしょ

          • 全ての行動を「伸びる」「伸びない」で説明するやつはシンプルでいいよな 人生たのしそう

      • 外部向けのサービスが落とされて復旧できない 社内情報も流出している という状況について、元増田よりこっちの「社内の様々なシステム入れる鍵束が奪われた」って説のほうが説...

      • オンプレミスは①のことやろ。なんで仮想化限定やねん

      • 毎回そこに言及してるのは単に問い合わせが多いからやろ。非保持非通過はいまクレジットカード決済やるならやってない方がおかしい 今回も、自社で管理している部分が攻撃されま...

      • 「犯人が悪いからやられた」の頭の悪さ

        • 日本が原爆落とされたのは日本の頭が悪かったって言うんですか!

        • 確かに犯罪の被害者を攻撃する奴って自称頭がいい馬鹿が多い気がするな そいつらは頭がよく見えることが事実よりなにより大事なんだろ

      • あんた結構頭良いだろ

        • だったらどんなによかったことか 日々七転び八起き、どころか、七転八倒

    • こいつら統一教会擁護ガチ勢だから、朝鮮・ロシアと組んで自作自演してるんちゃうか?

    • それも推測に過ぎないじゃん ここは沈黙が正解

    • めちゃくちゃ雑で笑った 今まで見た中で1、2位を争う雑さ 馬鹿じゃないの

    • その程度の被害で動画も書籍もN高も全部長期間システム停止してるんですか

    • IT系ではない中小企業のシステム担当っぽい

    • そこは元ネタ増田の anond:20240702102611 「まあプロじゃない人たちがわからないのは当たり前なんだけど」に対するネタでしょ あるいは、セキュリティのプロって知れば知るほど名乗りがた...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん