なんとなく綴ってみた

アクセスカウンタ

zoom RSS 「最先端の佐賀県システム破られるとは」・・・これでショックとは酷い

<<   作成日時 : 2016/06/27 17:01   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

これは、発言が酷いのだが・・・これで一流の国家職なのだから情けない。これが、米国や欧州なら、まずは漏れた人に対して、申し訳ないとした上で、何から漏れたか、今後どうするかを調査するとしただろう。最先端が17歳に破られました。凄いお金を掛けたのに・・・もうだめだ、みたいな話は社会を不安に陥れるだけであり、官庁の責任ではないと責任を転嫁していることになる。

これでは、同じような過ちが今後も繰り返されるだろう。

本当にお役所は嘗めているとしか言いようがない。何度も書くが、ショックなのは漏らされた側であって、お役所は対策が甘かったことを、まず反省しているかどうかである。本当に最先端で、システムの管理が徹底していたなら、情報漏洩中にでも、検知して相手を特定していたことだろう。
これは、B-CASのお陰で捕まり、さらにプラスの情報が得られたということになると思われ、最低最悪の失態である。まあ、JTBを叩いていたが、文科省は年金機構と同じように人のことは言えないという話になる。

http://mainichi.jp/articles/20160627/k00/00e/040/156000c


<国地方主導のICTは急速にリスクが増している>

企業のリスク管理も相当危険な領域に入っているが、国や地方主導のICTやIoTというのは、本当に消費者がショックを感じるほど、酷いように見える。これは、「ICT(情報通信技術)化が最も進んでいる佐賀県のシステムが破られた。とても驚いている」という点を見れば明らかである。

そもそも、ずいぶん前から日本は攻撃される前提で、行動計画を作るように、企業や団体に指示していたはずだ。だから、破られた時に、ただ驚くのではなく、可能な限り対策を講じ、状況を把握することに努めるのだ。狙われ漏れることを考えて、攻撃があった場合には、それを未然に警告する仕組み作りも求められてきた。

しかし、最先端という佐賀県のシステムは、B-CASという足を捕まれた17歳の少年によって、漏れており、予想するに捕まらなければ、誰が漏らしたか、どこから漏れたかも分からなかった可能性がある。

これは、最先端から漏れたと言うより、どう考えてもシステムに明らかな設計ミスがあるか、利用方法に問題があるのだろう。


<校内ネットワークに接続したうえで・・・>

そもそも、校内ネットワークというのは閉塞ネットワークで構築された構内通信網なのだろうか?それとも、インターネットにプロキシやファイアウォールなどゲートウェイ機器を介して繋がっている回線なのだろうか?もし後者なら、インターネット経由で学校内のシステムにアクセス出来る端末に、ウィルスや監視ソフト、キーロガーを仕掛け、制御できればいつでも情報は抽出できるだろう。

画像


学生なら、JTBより簡単かもしれない。何せ、学校には毎日通うのだ。その17歳の少年が無職でも友人に頼んで、USBメモリーの内容でも、学内のPCに入れて貰えれば終わる。それが出来なくとも、学校のような場所は、生徒が多いため、ネットワークコンセントを利用して解析できるかもしれない。一つ一つの学校にシステム管理者などいないのだから・・・。

何より、もし上記のような攻撃だったなら、校内ネットワークからの特定端末のアクセスは、ほぼ監視の対象から外れ、何でも出来た可能性が高い。そうなってしまうと・・・漏れていても何も分からず漏れっぱなしになる。

最先端もこうなると形無しであるが、きっと使う側にそういう考えなどないだろう。
そういう設置や教育もしていない可能性が高い。


ちなみに、校内ネットワーク経由でなく、インターネット側から攻撃されて漏れたとしたら・・・もう手の付けようがない。最先端というより、そもそも金だけ最先端並に湯水のように使ったが、作って貰ったシステムは、管理者が大した知識もなかったため、利便性と新しさばかりを追求して、見かけだけ凄かったというレベルだろう。ネット専用の参照DBを作らず外からも内からも、全体アクセスが可能と言うことになる・・・要は、管理ページが開けるか開けないかだけの違いで、同じサーバー上のDBを参照しているわけだ。何のための端末特定なのか分からない。
自己満足も良いところである。

-追記-
今回の件では、学生用のインターネットサイト内に既に、管理者ユーザーのパスワードとIDが保存されていたようだ。それを入手したという情報がある。また、インターネットサイト側を開発した専用プログラムでクラッキングしていたようだ。

他の情報によると校内ネットワークはインターネットに繋がっていなかったようだ。
校内ネットワークは無線LAN(Wi-Fi)を介して端末同士を繋いでおり、そのシグナルを傍受して不正アクセスをしていたようだ。

重要なネットワークなら、WPA2-Enterpriseで端末毎にRADIUS認証をするかまたは、RADIUSサーバーが構築できないなら、最低でもMACアドレスフィルタリングを使い。E-SSIDは隠蔽するが、それらもやっていなかったのだろう。まあ、学校には専門の部署はないため、厳しいのは確かだが、今後はそれ(管理が出来るスペシャリスト)が必要になっていくだろう。



<最先端のシステムより、訓練教育使い方>

米国でも社会保障番号などが漏れたときに、管理していた企業から管理者パスとユーザーIDが漏れていたことが発覚した。そのシステムは最先端だったが、スーパーユーザーの権限が漏れれば、最先端でも情報は漏れる。
JTBもメール一通で漏れ出したが、これも一人のミス(判断できるかは別として)である。

そもそも、最先端だから漏れないのではない。いくら最先端のシステムでも、内側から崩されたり、運用の裏を掻かれれば漏れ出すものだ。それは、ユーザーマネジメントや環境マネジメントに置ける不備(不慮の事故ということもある)によって生じる。システムではなく、ヒューマンエラーや運用構造的な脆弱性が発端なのだ。

今、最先端のシステムで漏れるケースの9割はこれだと言われる。即ち、システムが最先端だから漏れないと思っている人が組織に多い時点で、漏れることは決まっているのだ。それは、システムを過信しているということになるからだ。

今日はもう一つこれに関する記事を書いたが、彼が凄い技術をもし持っていて、最先端のシステムに拘るなら、文科省で雇って、最先端のシステムを一緒に構築して貰うと良いだろう。今度こそ、漏れないストッパーが出来るかもしれない。たぶん、こういう記事が出回るような組織ではいくらシステムを構築しても無理だろう。

これで、IoTを先進国やA.I先進国を目指すのだから、哀しい。
http://powerpro.at.webry.info/201606/article_44.html



ノートン【3年版 3台利用可能】【税込】 シマンテック ノートン セキュリティ デラックス【返品種別B】【送料無料】【RCP】
Joshin web 家電とPCの大型専門店
在庫状況:最短24時間以内出荷□「返品種別」について詳しくはこちら□2015年10月 発売秒単位で進


楽天市場 by ノートン【3年版 3台利用可能】【税込】 シマンテック ノートン セキュリティ デラックス【返品種別B】【送料無料】【RCP】 の詳しい情報を見る / ウェブリブログ商品ポータル



テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
「最先端の佐賀県システム破られるとは」・・・これでショックとは酷い なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる