パスワードを忘れた? アカウント作成
9213 story

住基ネット侵入実験に関する専門家の発表に総務省が「待った」 219

ストーリー by Oliver
蓋をしちゃえー 部門より

ccd 曰く、 "朝日新聞の記事によると、11月11、12日に渡って行われたPacSec.JP/core04において予定されていた、イジョビ・ヌーワー氏による長野県での住基ネットの安全確認実験に関する技術報告が、総務省の強い要請により差し止められたとのことです。
総務省はこの要請の理由を「住基ネットと庁内LANを混同している。脆弱(ぜいじゃく)性を具体的に示すおそれがある」としていますが、ヌーワー氏はセミナー当日の夕方、マスコミに対し「私はプロのセキュリティ・コンサルタントなので、日本の市民のセキュリティを損なうことはしない。また、私の名誉を損なうようなこともしない。」とのコメントと中止までの経緯(要認証、ID/passwordは認証要求メッセージに記載)がセキュリティホールmemo MLに伝えられています。"

ヌーワ氏のブログ差し止めに対するコメントおよび発表予定だったスライドが掲載されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by sync.neo (16796) on 2004年11月14日 22時59分 (#652614)
    リンク先のブログを読むと...
          1. 残念だが、住基ネットにはセキュリティ上の問題がある。
          2. だが幸いなことに技術的な改善は簡単である。
          3. 最大の問題は総務省が問題の存在さえ認めようとしないこと。
    と書いてありますね。

    # これ以上何をか言わんや...
    • なんつーかもう…

      最大の問題は総務省が問題の存在さえ認めようとしないこと
      これに尽きますよね。国会答弁での発言が嘘になるからなんでしょうな。

      がしかし、しょうもない面子気にするから認めないんでしょうけど、世の中「絶対」なんてありゃせんですよ?ましてやセキュリティホール、見つけて即座に直してなんぼでしょうが。面子なんて気にすることないのに。せっかく見つけてくれて、対応策まで教えてくれそうなのに、なんでこう、あわてふためくかねぇ…とほほ、見てて恥ずかしいですわ。

      国民にきっちりセキュリティホールとはなんぞや?というのを説明できない限りは、理解できていない住基ネットシステムの運用は止めておく方がいいと思う。面子なんてどうでもいいから。

      --
      ほえほえ
      親コメント
      • by Anonymous Coward on 2004年11月15日 0時28分 (#652644)
        「きおくにないことはなかったこと きおくなんてただのきろく きろくなんてかきかえてしまえばいい」がリアルな世界(笑)

        そもそも国のトップである首相の答弁でさえ「疑惑なんてどこにあるんですか、ないでしょ」で通っちゃうくらいなんですから、その位、お国というのは認めなければなかったことにできる権力がある。後はどれだけ恥を忘れられるかだけの問題。
        親コメント
      • >最大の問題は総務省が問題の存在さえ認めようとしないこと
        >これに尽きますよね。国会答弁での発言が嘘になるからなんでしょうな。
        ぶっちゃけ、国会答弁とかを表だと仮定してね。
        実際は、しっかり対策しててくれる裏の顔があってほしいね。

        #寝る前に/.jみてたらこんな時間に、、、私のコメント夢見てますかね?おやすみなさい・・・
        --
        <ナイスな返事をいただいた方を、スラドモに指定する方針でいこうかと…恐縮ですが>
        親コメント
  • by Anonymous Coward on 2004年11月15日 16時33分 (#652933)

    ヌーワ氏のブログの11月12日付部分を勝手に訳してみました。 誤訳もあるかと思うので、内容については 原文 [ejovi.net]を確認の上、議論の参考にしていただければと思います。

    ----ここから----

    2004年11月12日

    日本政府が私の講演を禁止

    http://www.ejovi.net/archives/2004/11/japanese_govern.html [ejovi.net]

    [住基ネットは日本の国民IDシステムである。 私は一年前、長野県のためにこのシステムのセキュリティ監査を行った。]

    長い一日だった。総務省、すなわち住基ネットを維持する日本政府が、 PacSecセキュリティカンファレンスでの私の今日の発表を差し止めた。 総務省は、今現在政府から契約を得ようと努めている日本のイベントを脅して、 私が話せないようにしたのだ。

    日本政府は私に二つの選択肢を与えた。

    1) 話すな。
    2) 彼らの求める通りのことを言うように、抜本的にスライドを変更しろ。

    スライドを一切使わずに、私自身の意見を言うのではどうかと申し出たところ、 彼らは私に*一切何も*話すことは許されざるべしと告げた。 私にとって明らかなのは、 彼らが私のスライドやプレゼンを問題にしているわけではないということだ。 彼らは、私が住基ネットの問題に注意を引くのを恐れていたのだ。 総務省は問題から逃れられると思っている。 彼らは、人々がその問題について話すのを禁止しておけば、 問題はどこかへ消えてしまうと考えているのだ。 私は、そのような日本政府の圧力から免れると思っていたが、 そうした圧力をかける総務省の能力について、過小評価していた。

    私に話すのを禁ずるにあたって、総務省の言い分はこうだ。 「我々はこのカンファレンスを後援しているのだから、 君の講演を止めろと言う権利が当然ある。」 もしそうなら、日本政府は、気に入らない*いかなる*イベントであろうとも、 単に協賛や後援をしておくだけで、その組織に内容変更を強制できてしまう。 もしそうなら、日本は今後決して、 より安全な環境へ向けて進歩することは無くなるだろう。

    私が一番いらいらする点は、 私は日本政府を*非難するつもりはなかった*という事実なのだ。 私の話は、両方の側から挙げられた問題について、 非常に公平でバランスのとれた扱いをするはずだったのだ。 実際、総務省がかかえているかもしれない問題について、 私と直接会って話せるように、彼らを招待もした。 私はこのことを彼らに、電話でも、Eメールでも話した。 しかし彼らは、カンファレンスの代表者達に圧力をかける方を選んだ。 彼らは私と直接話すよう試みもしなかった。 これはどういうことなんだ?

    私が言うかも知れないことで、もしも彼らに何か問題があるというなら、 どうして私にそう言わなかったのだ? 政府との契約に頼っている会社に、どうして圧力をかけるのか? これがフェアと言えようか? 私の話の目的は、住基ネットセキュリティシステムの両面について述べることだった。 私には、それが失敗しようと成功しようと、何らの既得権益があるわけでもない。 私はただ、それをもっと安全にするにはどうするのが一番か、 システムを改良するにはどうするのが一番か、忠告をしたかっただけなのだ。 しかし総務省は、セキュリティをいかに改善するかという私の忠告それだけで、 住基ネットには問題があるという意味なのだろうと思い込み、 この内容を認めることを拒絶したのである。 こう言うのは残念だが、住基ネットにはセキュリティ上の問題がいくつか有るのだ。 良いニュースは、技術上の問題は簡単に解決できるということだ。 しかし住基ネットにおける最大の問題は、技術上にあるのではなく、 問題が存在することすら認められない総務省にあるのだ! もし日本政府が、問題を指摘する誰かに耳を傾けようとしないなら、 一体どうしてシステムが安全になるというのか。

    今日は日本にとっては悲しむべき日であり、 私にとってはフラストレーションを引き起こす日だった。

    ----ここまで----

    内容については 原文 [ejovi.net]を確認のこと。

  • by Anonymous Coward on 2004年11月14日 18時47分 (#652530)
    >「住基ネットと庁内LANを混同している。脆弱(ぜいじゃく)性を具体的に示すおそれがある」

    結局、総務省はどっちをいいたかったんだ?
    A「資料は正しいので、この情報をもとにして実際に侵入されてしまう」
    B「資料は間違っているので、資料を見た人に誤った知識を与えてしまう」

    発言の前半をみるとBの気がするが、後半だとAだよな
    • by hoihoi-p (5571) on 2004年11月14日 21時30分 (#652581) 日記
      「脆弱(ぜいじゃく)性を具体的に示すおそれがある」って。
        「住基ネットに脆弱性はない。」と、一貫して言ってなかったか?
      このコメントで、既に住基ネットの脆弱性と認めてしまってるじゃないですか。

      それとも、あの国会答弁は、あたしの聞き違いですか?

      クラックするのに、正面きって入るクラッカーはいないとおもうんですが。
      やっぱり、弱い所見付けて入るでしょう。
      「庁内LANを混同」と言うのが、正に以前から指摘されてた問題だと思うんですが。

      総務省の偉い人にお願いです。
      住基ネットは、もう運用が始まってるんです。
      一刻も早い対策をお願いします。 総務省の良心に強く期待します。
      --
      hoihoi-p  得意淡然、失意泰然。
      親コメント
    • いくらなんでも… (スコア:2, すばらしい洞察)

      実際は、
      C「住基ネットも(総務省の)庁内LANも(非常に重大な)脆弱性があるのがばれるので止めてくれ」

      って事はないよな。

      #ソレは余りにも馬鹿にしすぎか。
      --

      /* Kachou Utumi
      I'm Not Rich... */
      親コメント
    • by Anonymous Coward on 2004年11月14日 21時25分 (#652577)

      間違いなくAでしょ。Bだとしたら謎の暗号なし無線LANアクセスポイントが総務省近くで大量に引っかかったりしませんって。

      侵入はしてないですよ。単に iwlist scanning したら大量に引っかかったので覚えてただけですから。

      親コメント
  • 当時の経緯 (スコア:2, 参考になる)

    by yanagi (6075) on 2004年11月14日 20時18分 (#652559) ホームページ 日記
    当時の経緯をまとめようと思ったけど、午睡直後の寝ぼけ頭なんで
    とりあえず長野県庁での知事発表のビデオ [nagano.jp]と音声 [nagano.jp]のリンクを。
    8月19日に記者質問があったけど予算とか今後の予定だったんで省略。
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
  • 甘い。 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2004年11月14日 20時58分 (#652571)
    > 住基ネットと庁内LANを混同している。

    今日び、Yahoo!BBの個人情報流出にしても
    内部にアクセスできる者から流出しているわけで。

    仮に庁内LANからも見えないとしても、運用も含めて
    万全を期さなければいけないってのに…。
    • Re:甘い。 (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2004年11月14日 21時44分 (#652582)
      > 運用も含めて万全を期さなければいけないってのに…。

      住基ネットに限らず、役所のシステムにその手の指摘をすると
      「公務員には守秘義務があり一般人より重い罰則があるから大丈夫」
      という返事が返ってきます。
      親コメント
  • by seraen (6928) on 2004年11月14日 22時10分 (#652596)
    サンデージャポンという番組の中で、テリー伊藤が「オレオレ詐欺」を行っている人物に対し、突撃インタビューみたいなのを行っていました。
    その中で、その詐欺師は、家族構成などの情報は住基ネットにハッキングして家族情報を得ていると断言していました。それも、裏では普通ですよ、みたいな勢いで。
    まあ、テレビの番組内のことなので、そんな説得力もないかもしれませんが、あんなにはっきり断言されていると、怖くなってしました。
    それとも、やっぱ、本当のことなのだろうか。。。

    # 信憑性もソースもないネタだが、IDで。
  • 1.手柄が欲しかったから推し進めた官僚の偉い人
    2.官僚に言われるままお墨付きを与えた政治家(金か票も動いた?)
    3.そのときの最高責任者の総理大臣
    4.とりあえずスケープゴートで中間管理職
    5.下請けの業者(天下り先?)
    6.孫請けの業者(そんなのあるのか?)
    7.犯人を別に仕立てて先に殺しておく

    うーんお役所仕事もソフトウェア業務にも縁のない全くの外野なので
    自分のワイドショー的思考ではこれくらいしか思いつかないんですが
    実情はどんな感じなんでしょうか。

    もしくは穴があってもノーガード戦法で「それは穴ではありません」と主張して誰も切られずに終わりかな?
    国ぐるみでノーガード戦法を推し進めれば日本の安全神話は守られるかも。笑い。
  • by shibaten (4263) on 2004年11月15日 1時43分 (#652673) 日記
    嶌信彦のエネルギッシュトーク [tbs.co.jp] の11月7日放送分に出演した月尾嘉男氏 [5012.jp]、元総務省総務審議官。

    当時、住民基本台帳の情報は必ず漏れると分かっていた(人的要因により)が、絶対安全だと言わされた、とインタビューに答えていた。
  • 参照 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年11月14日 18時33分 (#652523)
    http://japan.internet.com/public/news/20041109/5.html

    「私たちが行った監査で侵入が可能であることが判明した。しかし日本のメディアでは、侵入が可能な理由についての詳しい報道はなかった。この講演では監査を行った結果、発見したことや脅威等を客観的に伝えたい」

    らしい
  • 次の (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年11月14日 18時42分 (#652527)
    「スラッスドットに聞け」にこの人なんてどうかな。
  • by Anonymous Coward on 2004年11月14日 18時44分 (#652528)
    発表内容も気になりますが、調査結果を現在のシステムに対してどのように反映するのかも気になるところです。
    脆弱性が判明したのであれば、それをいかに塞いで行くかということも重要ですよね。

    規模が規模だし、関わっている人たちの意識改革も必要になると思うので一筋縄ではゆかないと思いますが、動かしてしまったシステムなのだから何とかしてもらわないと。

    #どちらかと言うと反対派なのでAC
  • さっくりいえば (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年11月14日 19時59分 (#652551)
    LANから入れる、っていうことでしょ。
  • こんなときこそ (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年11月14日 23時18分 (#652621)
    誰か、IPAの脆弱性情報の届出 [ipa.go.jp]にタレこまない?
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...