1: 名無しさん必死だな 2022/05/18(水) 12:06:21.87 ID:CAP_USER
富士通クラウドテクノロジーズは5月16日、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)に登録しているパブリッククラウド「ニフクラ」「FJcloud-V」が不正アクセスを受けたと発表した。ロードバランサー(負荷分散用の装置)の脆弱性を突かれ、一部ユーザーのデータや認証情報を盗まれた可能性があるという。
不正アクセスがあったのは7日午後3時ごろから9日午後10時30分ごろの間で、サービスのコントロールパネルやAPIへのアクセス情報、ロードバランサーを経由した情報、ロードバランサー上にあるユーザー証明データなどが盗まれた可能性がある。
攻撃者は4日に装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる。富士通クラウドテクノロジーズによる防御システムの設定不備も原因になった可能性がある。
不正アクセスがあったのは7日午後3時ごろから9日午後10時30分ごろの間で、サービスのコントロールパネルやAPIへのアクセス情報、ロードバランサーを経由した情報、ロードバランサー上にあるユーザー証明データなどが盗まれた可能性がある。
攻撃者は4日に装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる。富士通クラウドテクノロジーズによる防御システムの設定不備も原因になった可能性がある。
3: 名無しさん必死だな 2022/05/18(水) 12:09:54.49 ID:kHZGHHM5
まじかよ
クラウドって一番堅牢じゃなかったのか
クラウドって一番堅牢じゃなかったのか
2: 名無しさん必死だな 2022/05/18(水) 12:08:53.18 ID:7UiM0z1v
すぐ対応しないとやられるだろそりゃ
5: 名無しさん必死だな 2022/05/18(水) 12:12:17.36 ID:kHZGHHM5
データーはクラウドに入れとけば安心だと思ってたのに><
11: 名無しさん必死だな 2022/05/18(水) 12:16:18.68 ID:RbPNx+o6
NIFTY-SERVEからやり直せ
12: 名無しさん必死だな 2022/05/18(水) 12:16:27.87 ID:OdlMx6jk
AWSじゃなく国産でやれと発狂してた人いたけど、これが国産の現実
13: 名無しさん必死だな 2022/05/18(水) 12:17:21.28 ID:EY1n0we/
こんなの日常茶飯事だろ
ベンダは無理な開発スケジュールやコスト削減のせいでセキュリティ設計、実装、試験全般に十分にやってない
たまたま発覚しただけ
ベンダは無理な開発スケジュールやコスト削減のせいでセキュリティ設計、実装、試験全般に十分にやってない
たまたま発覚しただけ
16: 名無しさん必死だな 2022/05/18(水) 12:19:59.64 ID:M/IV7gGG
設定不備とか、間抜けにもほどがある。
33: 名無しさん必死だな 2022/05/18(水) 13:57:37.11 ID:qHgbw2kM
ロードバランサー自体の問題なら
アーキテクチャ設計の問題ではなくて、
クラウドサービス提供者側の問題っぽいな
まあAWS、GCP、Azure以外に普通選択肢ないわな
アーキテクチャ設計の問題ではなくて、
クラウドサービス提供者側の問題っぽいな
まあAWS、GCP、Azure以外に普通選択肢ないわな
51: 名無しさん必死だな 2022/05/18(水) 14:35:35.56 ID:AV5xhpnl
富士通って昔ロードバランサ―作ってたと思うけど、、、
linuxで簡単に作れるのに、もう自社でlinuxいじれる人材が
いないんだろうな
linuxで簡単に作れるのに、もう自社でlinuxいじれる人材が
いないんだろうな
52: 名無しさん必死だな 2022/05/18(水) 14:36:20.93 ID:hQpmf7gt
>>1
4日に判っていた脆弱性の対策をしたのが12日、しかも被害がでたから・・・
これでインフラ受注してるんだから、○○が悪くなるはずだわ。
4日にわかっていたことの対策とらなかったのは何故だ?
どうせGWだったからとかふざけたこと言うんだろうな。
4日に判っていた脆弱性の対策をしたのが12日、しかも被害がでたから・・・
これでインフラ受注してるんだから、○○が悪くなるはずだわ。
4日にわかっていたことの対策とらなかったのは何故だ?
どうせGWだったからとかふざけたこと言うんだろうな。
57: 名無しさん必死だな 2022/05/18(水) 14:47:51.91 ID:njcOiSgo
GW優先です
62: 名無しさん必死だな 2022/05/18(水) 15:01:02.14 ID:E2hxcW/y
これってF5 BIG-IPの<CVE-20222-1388>iControl REST認証回避の脆弱性のやつか?
79: 名無しさん必死だな 2022/05/18(水) 15:40:24.29 ID:qxtuN79X
>>1
「装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる」
なんでメーカーは脆弱性をユーザーに通達とかじゃなく「公表」するの?
「装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる」
なんでメーカーは脆弱性をユーザーに通達とかじゃなく「公表」するの?
97: 名無しさん必死だな 2022/05/18(水) 16:23:55.67 ID:vCDDsz0V
>>79
普通はユーザーに前もって通知し、対応が済んだ頃合いに公表するはず。
どこのロードバランサー使ってたのかわからんが、ロードバランサー会社と富士通の間で行き違いがあったのかもな。
普通はユーザーに前もって通知し、対応が済んだ頃合いに公表するはず。
どこのロードバランサー使ってたのかわからんが、ロードバランサー会社と富士通の間で行き違いがあったのかもな。
120: 名無しさん必死だな 2022/05/18(水) 17:06:47.37 ID:Typ0oWBP
結局運用が糞だとセキュリティも何もない
インフラ側はパッチ出てるならすぐ当てないと
それができないインフラの運用ならもうAWSでも使っておけよ
インフラ側はパッチ出てるならすぐ当てないと
それができないインフラの運用ならもうAWSでも使っておけよ
132: 名無しさん必死だな 2022/05/18(水) 17:44:28.00 ID:9QaCBipe
なんでロードバランサーの脆弱性で認証情報が盗まれるのかと思って読んだら、ロー
ドバランサー上に認証情報を置いているとは。
ロードバランサーの使い方がおかしいと思うが、それとも社内的にロードバランサー
と呼んでるだけのアプリケーションサーバーなのか?
ドバランサー上に認証情報を置いているとは。
ロードバランサーの使い方がおかしいと思うが、それとも社内的にロードバランサー
と呼んでるだけのアプリケーションサーバーなのか?
10: 名無しさん必死だな 2022/05/18(水) 12:15:27.62 ID:y4DTlZ8c
これはひどい
引用元: https://egg.5ch.net/test/read.cgi/bizplus/1652843181/
クラウドエンジニア養成読本[クラウドを武器にするための知識&実例満載! ] (Software Design plusシリーズ)
posted with AmaQuick at 2022.05.18
佐々木 拓郎(著), 西谷 圭介(著), 福井 厚(著), 寳野 雄太(著), 金子 亨(著), 廣瀬 一海(著), 菊池 修治(著), 松井 基勝(著), 田部井 一成(著), 吉田 裕貴(著), 石川 修(著), 竹林 信哉(著)
(2018-03-14T00:00:01Z)
(2018-03-14T00:00:01Z)
コメント
コメント一覧 (10)
wavefanc
がしました
wavefanc
がしました
wavefanc
がしました
wavefanc
がしました
修正専用ブランチっぽいし、脆弱性の警告レベルから考えればもっと早く対応すべきだったよね
wavefanc
がしました
富士通はダメだろ
wavefanc
がしました
メンテの承認作業でさえ1週間はかかりそうだよな
それとも、定期メンテまで放置する予定だったとか
どっちにしろ、既知の脆弱性を突かれたとか笑えないよな
wavefanc
がしました
糞垂れるのが仕事の富士通に何で任せてるんだよ。
wavefanc
がしました
wavefanc
がしました
コメントする