技術者たちはもうずっと前から脆弱性があることはわかっていたんだと思う。素人レベルで立ち上げたサービスに安かろう悪かろうに気づかない多くのユーザがつき、脆弱性に気づいた技術者もその改善にコストがかかり会社の評判に関わる問題の深刻さから沈黙せざるをえなかったのではないだろうか。
攻撃が公知となったあとの技術的な対応は当初バカにされていたが、原因とみられている問題からあらためて見てみると技術的には概ね的確に進んでいるように思える。外部からのアドバイスもあったのだろうが、問題を理解し対応する能力がなかったようにはとても思えない。これまで報告者を恫喝するような総帥が率いるグループ会社の中で、対策したくてもできなかったことをやっと解消に取りかかることができたというところではないだろうか。
そして他の会社でもこの機にユーザに脆弱性対応に協力を呼びかけるところが沸いて出てきているらしい。これまで何も起きないでくれ、利用者は問題に気づかないでくれと祈るように脆弱性に目をつぶったまま、安かろう悪かろうで走ってきた会社が多いのではないだろうか。そうしなければ競争に勝てなかったのだから。そして足元はズブズブの泥沼状態になってしまったのがインターノットの世界なのだろう。
陰謀と考えるより単にバカだと考えるべきだというセオリーがあるらしいが、そんなにみんなバカだったの? わかってたんでしょ?
参考:「某レンタルサーバでの大規模改ざんで起こっていた(と推測される)状態の整理」より
共有サーバには、ユーザーサイドで直接はどうにもできない脆弱性がある可能性がある。
同様の脆弱性は他の共有サーバにもある可能性がある。
※近々大規模メンテナンスが行われるようなサービスは慌てて対処を始めたものな可能性があり、リリース内に明確な説明がない場合、「そういうベンダーなんだ」と認識できる。
p.s.
共用DNSサーバの脆弱性の問題も業界の主たるところの技術者たちは概ね理解しているように見えますね。でも手が打てないで悩んでいるのは知ってますよ。
Copyright by T.Suzuki
共有サーバを使うひとは危険性を承知で使うべきですね。(すくなくとも今後は)<br><br>共用DNSサービスなんて対応は簡単。やらないのは経営判断だとしか思えない。
対策は頓珍漢ではないものの不十分であり、根本解決は既存の仕様を守りながらでは難しそうです。http://fumiyas.github.io/2013/09/03/no-followsymlinks-is-not-safe.html
共用DNSサービスが対応簡単てのはサービスやめちゃえってことですかね w
某所のtogetterにある。
力のないことを自覚できないから、無謀なサービスを始めたのでしょうね。<br> それに気づかないひとたちが利用しはじめ、大きくなった。
オープンリゾルバー関連での数社での対応を見ていても、ここにかかれたような背景がありそうです。経営者がだめということと、それを言えないだめ(弱い?)技術者たち。