みらいマニアックス !

お笑いハッカー集団アノニマスは、PSNは防御に深刻な脆弱性を抱えていた、と主張。
（http://www.computerbild.de/artikel/cbs-News-Spiele-Sony-Playstation-Network-PSN-Anonymous-Details-Sicherheitsluecken-Apache-OpenSSH-6190430.html）

アノニマスは、COMPUTER BILD上で以下のように主張している。
・アノニマスはDDoSアタックを仕掛けた際、ポートスキャンを同時に実行した
・その結果は驚くべきものだった
・いくつものサーバ上で、サポート期限が切れたプログラムやWebサービスがが実行されていた
・あるソフトウエアは、数年も前から既知のセキュリティーホールがパッチされていなかった
・例えばOpenSSH 4.4 serviceは通信暗号化のためのソフトウエアで、この版のセキュリティホールは5年前に発見されている。（なお、OpenSSHの最新版は5.7）



（以下、一応本ブログ的に知るところ等)
アノニマスの主張は良くあるシチュエーションなので、ソニーがそれに当てはまったとしても結構うなづけちゃうような内容。これは本当なかもね。


サポート期限が切れたソフトウェアが使い続けられている例は決して少なくないし、そもそもサポートすらないフリーのものが利用されているケースも結構ある。これは主にソフトウエアのサポート料金が極めて高額であり、たまに提供されるセキュリティホールパッチでは費用に見合わないと感じる企業が多いためだ。
それにパッチ当て作業の運用工数も決してバカにできない。企業のソフトウェアは往々にしてヘビーにカスタマイズされているし、カスタマイズなしで使われているものであっても、パッチ後の動作検証にかなりの工数が必要になるため、二の足を踏む企業も少なくない。

ウインドウズのようにパッチが頻繁に出るソフトウェアに対しては、ある程度の頻度でまとめてパッチを当てることもある。パッチが提供されるたびに当てるのでは、あまりにも手間と費用がかかってしまうためだ。もっともな話だが、これは0Dayアタックの対象になってしまうのだ。
（誤りとのご指摘があり、記述を削除）

サーバの管理がローカルに分散していて各サーバーの担当者が兼務だったり、名前だけの担当だったりして、タイムリーなセキュリティパッチ等とてもできないという状況になっていることもある。こうなっては目もあてられないが、よくある話。
今回落とされたPSNではさすがにそんなことはないと思うが。


ソニーは甘かったとは思う。結果が証明しているし。

そう思うがその一方で、そんな企業はいっぱいあるよねとも、率直な感想として思う。ソニーを擁護するつもりは大してないのだが、あまり騒がれると違和感があるという感じ。
ソニーは今回の件で相当にイタイ目を見て、人も金もちゃんとつけるようにしたみたいだから、少なくとも今回のようなことにはなりにくいだろうことが救いかもしれない。