cyber-g9e24554b5_640

1: 名無しさん必死だな 2022/05/18(水) 12:06:21.87 ID:CAP_USER
 富士通クラウドテクノロジーズは5月16日、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)に登録しているパブリッククラウド「ニフクラ」「FJcloud-V」が不正アクセスを受けたと発表した。ロードバランサー(負荷分散用の装置)の脆弱性を突かれ、一部ユーザーのデータや認証情報を盗まれた可能性があるという。

 不正アクセスがあったのは7日午後3時ごろから9日午後10時30分ごろの間で、サービスのコントロールパネルやAPIへのアクセス情報、ロードバランサーを経由した情報、ロードバランサー上にあるユーザー証明データなどが盗まれた可能性がある。

 攻撃者は4日に装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる。富士通クラウドテクノロジーズによる防御システムの設定不備も原因になった可能性がある。

3: 名無しさん必死だな 2022/05/18(水) 12:09:54.49 ID:kHZGHHM5
まじかよ
クラウドって一番堅牢じゃなかったのか


2: 名無しさん必死だな 2022/05/18(水) 12:08:53.18 ID:7UiM0z1v
すぐ対応しないとやられるだろそりゃ

5: 名無しさん必死だな 2022/05/18(水) 12:12:17.36 ID:kHZGHHM5
データーはクラウドに入れとけば安心だと思ってたのに><

11: 名無しさん必死だな 2022/05/18(水) 12:16:18.68 ID:RbPNx+o6
NIFTY-SERVEからやり直せ

12: 名無しさん必死だな 2022/05/18(水) 12:16:27.87 ID:OdlMx6jk
AWSじゃなく国産でやれと発狂してた人いたけど、これが国産の現実

13: 名無しさん必死だな 2022/05/18(水) 12:17:21.28 ID:EY1n0we/
こんなの日常茶飯事だろ
ベンダは無理な開発スケジュールやコスト削減のせいでセキュリティ設計、実装、試験全般に十分にやってない
たまたま発覚しただけ

16: 名無しさん必死だな 2022/05/18(水) 12:19:59.64 ID:M/IV7gGG
設定不備とか、間抜けにもほどがある。

33: 名無しさん必死だな 2022/05/18(水) 13:57:37.11 ID:qHgbw2kM
ロードバランサー自体の問題なら
アーキテクチャ設計の問題ではなくて、
クラウドサービス提供者側の問題っぽいな
まあAWS、GCP、Azure以外に普通選択肢ないわな

51: 名無しさん必死だな 2022/05/18(水) 14:35:35.56 ID:AV5xhpnl
富士通って昔ロードバランサ―作ってたと思うけど、、、
 
linuxで簡単に作れるのに、もう自社でlinuxいじれる人材が
いないんだろうな

52: 名無しさん必死だな 2022/05/18(水) 14:36:20.93 ID:hQpmf7gt
>>1
4日に判っていた脆弱性の対策をしたのが12日、しかも被害がでたから・・・
これでインフラ受注してるんだから、○○が悪くなるはずだわ。
4日にわかっていたことの対策とらなかったのは何故だ?
どうせGWだったからとかふざけたこと言うんだろうな。

57: 名無しさん必死だな 2022/05/18(水) 14:47:51.91 ID:njcOiSgo
GW優先です

62: 名無しさん必死だな 2022/05/18(水) 15:01:02.14 ID:E2hxcW/y
これってF5 BIG-IPの<CVE-20222-1388>iControl REST認証回避の脆弱性のやつか?

79: 名無しさん必死だな 2022/05/18(水) 15:40:24.29 ID:qxtuN79X
>>1
「装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる」
なんでメーカーは脆弱性をユーザーに通達とかじゃなく「公表」するの?

97: 名無しさん必死だな 2022/05/18(水) 16:23:55.67 ID:vCDDsz0V
>>79
普通はユーザーに前もって通知し、対応が済んだ頃合いに公表するはず。
どこのロードバランサー使ってたのかわからんが、ロードバランサー会社と富士通の間で行き違いがあったのかもな。

120: 名無しさん必死だな 2022/05/18(水) 17:06:47.37 ID:Typ0oWBP
結局運用が糞だとセキュリティも何もない
インフラ側はパッチ出てるならすぐ当てないと
それができないインフラの運用ならもうAWSでも使っておけよ

132: 名無しさん必死だな 2022/05/18(水) 17:44:28.00 ID:9QaCBipe
なんでロードバランサーの脆弱性で認証情報が盗まれるのかと思って読んだら、ロー
ドバランサー上に認証情報を置いているとは。
ロードバランサーの使い方がおかしいと思うが、それとも社内的にロードバランサー
と呼んでるだけのアプリケーションサーバーなのか?

10: 名無しさん必死だな 2022/05/18(水) 12:15:27.62 ID:y4DTlZ8c
これはひどい

引用元: https://egg.5ch.net/test/read.cgi/bizplus/1652843181/


クラウドエンジニア養成読本[クラウドを武器にするための知識&実例満載! ] (Software Design plusシリーズ)
佐々木 拓郎(著), 西谷 圭介(著), 福井 厚(著), 寳野 雄太(著), 金子 亨(著), 廣瀬 一海(著), 菊池 修治(著), 松井 基勝(著), 田部井 一成(著), 吉田 裕貴(著), 石川 修(著), 竹林 信哉(著)
(2018-03-14T00:00:01Z)
5つ星のうち4.0