住基ネット侵入実験に関する専門家の発表に総務省が「待った」 219
ストーリー by Oliver
蓋をしちゃえー 部門より
蓋をしちゃえー 部門より
ccd 曰く、 "朝日新聞の記事によると、11月11、12日に渡って行われたPacSec.JP/core04において予定されていた、イジョビ・ヌーワー氏による長野県での住基ネットの安全確認実験に関する技術報告が、総務省の強い要請により差し止められたとのことです。
総務省はこの要請の理由を「住基ネットと庁内LANを混同している。脆弱(ぜいじゃく)性を具体的に示すおそれがある」としていますが、ヌーワー氏はセミナー当日の夕方、マスコミに対し「私はプロのセキュリティ・コンサルタントなので、日本の市民のセキュリティを損なうことはしない。また、私の名誉を損なうようなこともしない。」とのコメントと中止までの経緯(要認証、ID/passwordは認証要求メッセージに記載)がセキュリティホールmemo MLに伝えられています。"
ヌーワ氏のブログに差し止めに対するコメントおよび発表予定だったスライドが掲載されている。
ブログで明言してますね。 (スコア:5, 参考になる)
1. 残念だが、住基ネットにはセキュリティ上の問題がある。
2. だが幸いなことに技術的な改善は簡単である。
3. 最大の問題は総務省が問題の存在さえ認めようとしないこと。
と書いてありますね。
# これ以上何をか言わんや...
Re:ブログで明言してますね。 (スコア:1)
なんつーかもう…
これに尽きますよね。国会答弁での発言が嘘になるからなんでしょうな。がしかし、しょうもない面子気にするから認めないんでしょうけど、世の中「絶対」なんてありゃせんですよ?ましてやセキュリティホール、見つけて即座に直してなんぼでしょうが。面子なんて気にすることないのに。せっかく見つけてくれて、対応策まで教えてくれそうなのに、なんでこう、あわてふためくかねぇ…とほほ、見てて恥ずかしいですわ。
国民にきっちりセキュリティホールとはなんぞや?というのを説明できない限りは、理解できていない住基ネットシステムの運用は止めておく方がいいと思う。面子なんてどうでもいいから。
ほえほえ
Re:ブログで明言してますね。 (スコア:1, すばらしい洞察)
そもそも国のトップである首相の答弁でさえ「疑惑なんてどこにあるんですか、ないでしょ」で通っちゃうくらいなんですから、その位、お国というのは認めなければなかったことにできる権力がある。後はどれだけ恥を忘れられるかだけの問題。
Re:ブログで明言してますね。 (スコア:1)
>これに尽きますよね。国会答弁での発言が嘘になるからなんでしょうな。
ぶっちゃけ、国会答弁とかを表だと仮定してね。
実際は、しっかり対策しててくれる裏の顔があってほしいね。
#寝る前に/.jみてたらこんな時間に、、、私のコメント夢見てますかね?おやすみなさい・・・
<ナイスな返事をいただいた方を、スラドモに指定する方針でいこうかと…恐縮ですが>
(試訳)Japanese Government Bans My Speech (スコア:5, 興味深い)
ヌーワ氏のブログの11月12日付部分を勝手に訳してみました。 誤訳もあるかと思うので、内容については 原文 [ejovi.net]を確認の上、議論の参考にしていただければと思います。
----ここから----
----ここまで----
内容については 原文 [ejovi.net]を確認のこと。
資料は正しかったのか? (スコア:2, 興味深い)
結局、総務省はどっちをいいたかったんだ?
A「資料は正しいので、この情報をもとにして実際に侵入されてしまう」
B「資料は間違っているので、資料を見た人に誤った知識を与えてしまう」
発言の前半をみるとBの気がするが、後半だとAだよな
Re:資料は正しかったのか? (スコア:3, すばらしい洞察)
「住基ネットに脆弱性はない。」と、一貫して言ってなかったか?
このコメントで、既に住基ネットの脆弱性と認めてしまってるじゃないですか。
それとも、あの国会答弁は、あたしの聞き違いですか?
クラックするのに、正面きって入るクラッカーはいないとおもうんですが。
やっぱり、弱い所見付けて入るでしょう。
「庁内LANを混同」と言うのが、正に以前から指摘されてた問題だと思うんですが。
総務省の偉い人にお願いです。
住基ネットは、もう運用が始まってるんです。
一刻も早い対策をお願いします。 総務省の良心に強く期待します。
hoihoi-p 得意淡然、失意泰然。
Re:資料は正しかったのか? (スコア:4, おもしろおかしい)
Null Pointer Exception.
いくらなんでも… (スコア:2, すばらしい洞察)
C「住基ネットも(総務省の)庁内LANも(非常に重大な)脆弱性があるのがばれるので止めてくれ」
って事はないよな。
#ソレは余りにも馬鹿にしすぎか。
/* Kachou Utumi
I'm Not Rich... */
Re:いくらなんでも… (スコア:3, すばらしい洞察)
本気で直そうという意識のある人間なら拒否するとも思えん。
Re:資料は正しかったのか? (スコア:1, 興味深い)
間違いなくAでしょ。Bだとしたら謎の暗号なし無線LANアクセスポイントが総務省近くで大量に引っかかったりしませんって。
侵入はしてないですよ。単に iwlist scanning したら大量に引っかかったので覚えてただけですから。
Re:資料は正しかったのか? (スコア:1, すばらしい洞察)
それはAだわな。
Re:資料は正しかったのか? (スコア:2, 興味深い)
軍人は有能か無能か、そして働き者か怠け者か、これらによって4種に分類できる。
有能な怠け者は司令官に、有能な働き者は参謀にせよ。
無能な怠け者は…そうだな、連絡将校ぐらいならできるだろう。
無能な働き者? それは処刑するしかあるまい。
なぜ有能な働き者を参謀に留めるか。それは、もしそいつが無能だった場合に
あまりにもリスクが高いからだと思いました。
オフトピだけど (スコア:2, 興味深い)
・有能な怠け者は、自分にできないことやめんどいことをそつなく
下のものに任せるから司令官
有能だからこそ組織的に事を運びそつがない、でも下にすると
手抜きを始める(能力をフルにつかって)
・有能な働き者はその司令官の指揮を受けきちんとこなす
また司令官にすると組織的なものが阻害されることがある
(何でも自分でやるしやれるため人に委任できない)
が司令官と参謀の意味だと聞きました
当時の経緯 (スコア:2, 参考になる)
とりあえず長野県庁での知事発表のビデオ [nagano.jp]と音声 [nagano.jp]のリンクを。
8月19日に記者質問があったけど予算とか今後の予定だったんで省略。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:当時の資料 (スコア:3, 参考になる)
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
甘い。 (スコア:2, すばらしい洞察)
今日び、Yahoo!BBの個人情報流出にしても
内部にアクセスできる者から流出しているわけで。
仮に庁内LANからも見えないとしても、運用も含めて
万全を期さなければいけないってのに…。
Re:甘い。 (スコア:3, おもしろおかしい)
住基ネットに限らず、役所のシステムにその手の指摘をすると
「公務員には守秘義務があり一般人より重い罰則があるから大丈夫」
という返事が返ってきます。
Re:甘い。 (スコア:1)
オンラインなんかに侵入しなくても「インターネットバンキング」が
ありますよ。こっちも問題の存在を認めてないんだそうで...
# みなさん「見なかった事にする」のが好きなのね。
Re:甘い。 (スコア:2, おもしろおかしい)
某車の故障しないという都市伝説 [3web.ne.jp]みたいなもんですかね。
Re:甘い。 (スコア:2)
>> この場合は「うちの車が故障するはずない」と砂漠に放置。
ネタの解説するのもバカバカしいけど、あまりにもトンチンカンなことを書かれているので。住基が嫌いなのはわかりますが、ちゃんと状況を把握できてます?
現状は「将来クラックされる可能性がある」という「可能性」の指摘であって、「実際に侵入に成功できた」という例ではないですね。まともな技術者だったら「可能性だけを挙げている」のと「実際に起きている」の間には大きな違いがあるのはわかるはずですが。皆は「将来的にルールスロイスが砂漠で止まってしまう可能性があるから、何とかしろ」と騒いでるだけで、実は今の時点では誰のロールスロイスも故障してない。そして、ロールスロイスは「当社の車は故障しません!」と言い張っているのが現状。
注:俺は「だから住基ネットは現状で良い」と主張しているわけではないよ。
では、このまま放置されて将来的にクラックされた場合には、お役所はどうするのかな?と考えると、例の都市伝説のように、クラックされた時の穴は塞ぎつつも、「住基ネットがクラックされる事はありえませんので」と、公式には無かったことにされちゃうんじゃないかなぁ、という話だったんですけどねぇ。あー、つまらん。
サンデージャポンの (スコア:2, 興味深い)
その中で、その詐欺師は、家族構成などの情報は住基ネットにハッキングして家族情報を得ていると断言していました。それも、裏では普通ですよ、みたいな勢いで。
まあ、テレビの番組内のことなので、そんな説得力もないかもしれませんが、あんなにはっきり断言されていると、怖くなってしました。
それとも、やっぱ、本当のことなのだろうか。。。
# 信憑性もソースもないネタだが、IDで。
Re:サンデージャポンの (スコア:3, すばらしい洞察)
Re:サンデージャポンの (スコア:2, すばらしい洞察)
申請すれば(然るべき理由をつけて)、1件あたり
数百円で、堂々と閲覧できます。
#幼稚園や小学校の入学も住民票で調べてる。
#心当たりない?
あっ、三文判も忘れずにね。
穴が公になったとして誰の首が飛ぶんだろうか? (スコア:2, 興味深い)
2.官僚に言われるままお墨付きを与えた政治家(金か票も動いた?)
3.そのときの最高責任者の総理大臣
4.とりあえずスケープゴートで中間管理職
5.下請けの業者(天下り先?)
6.孫請けの業者(そんなのあるのか?)
7.犯人を別に仕立てて先に殺しておく
うーんお役所仕事もソフトウェア業務にも縁のない全くの外野なので
自分のワイドショー的思考ではこれくらいしか思いつかないんですが
実情はどんな感じなんでしょうか。
もしくは穴があってもノーガード戦法で「それは穴ではありません」と主張して誰も切られずに終わりかな?
国ぐるみでノーガード戦法を推し進めれば日本の安全神話は守られるかも。笑い。
Re:穴が公になったとして誰の首が飛ぶんだろうか? (スコア:1, おもしろおかしい)
そんな話もあったような…。
月尾嘉男氏のインタビュー (スコア:2, 興味深い)
当時、住民基本台帳の情報は必ず漏れると分かっていた(人的要因により)が、絶対安全だと言わされた、とインタビューに答えていた。
参照 (スコア:1, おもしろおかしい)
「私たちが行った監査で侵入が可能であることが判明した。しかし日本のメディアでは、侵入が可能な理由についての詳しい報道はなかった。この講演では監査を行った結果、発見したことや脅威等を客観的に伝えたい」
らしい
次の (スコア:1, すばらしい洞察)
志村、単語単語 (スコア:1, おもしろおかしい)
調査結果は活用されるのか? (スコア:1, 興味深い)
脆弱性が判明したのであれば、それをいかに塞いで行くかということも重要ですよね。
規模が規模だし、関わっている人たちの意識改革も必要になると思うので一筋縄ではゆかないと思いますが、動かしてしまったシステムなのだから何とかしてもらわないと。
#どちらかと言うと反対派なのでAC
さっくりいえば (スコア:1, すばらしい洞察)
こんなときこそ (スコア:1, すばらしい洞察)
Re:ネチケット不足 (スコア:2, すばらしい洞察)
(I can't get no) satisfaction
Re:そのとおりです( ・_・)y-~~ (スコア:1, 参考になる)
ただしWindows版のみ。いちおうOpenOffice.orgでも開けるみたいだけどね。
Re:ネチケット不足 (スコア:1)
オリジナルのデータ形式で公開することに難癖つけるってのは
どうかと思いますが。こういう人に限ってAcrobat形式で
配布したら今度はソース(オリジナル)を提供しろとか
言い出すんでしょうね。
それよりも総務省に提出した一番最初のバージョンが見てみたい。
Re:ネチケット不足 (スコア:2)
解説しましょう。
Tsann氏は「オリジナルのデータ形式で公開することに難癖つける」タイプの奴は「Acrobat形式で配布したら今度はソース(オリジナル)を提供しろとか言い出す」んじゃないかという推論、つまり、どんなデータで公開しようとも結局はアレコレと難癖つけてブーブー文句を言うわけでしょ?という推論を述べた。
それを読んだ#652597のAC氏は読解力が欠如していたため、「オリジナルのデータ形式で公開することに難癖つけ」てる人が、別のシチュエーションで「ソース(オリジナル)を提供しろ」と言い出す可能性が理解できなかった。そのため、その2つの反する発言を取り上げて「矛盾している」と書いて(他人の矛盾に突っ込んだつもりが)自らの読解力の無さを誇示する結果になった。
Re:ネチケット不足 (スコア:1)
印刷するにしてもpptからだと自分で好きな形式にできるがpdfからだとそうもいかないんで(1頁あたりの枚数など)
私としてはpptの方がありがたいことが多いです。
確かにpdfの方が普及していますが、pdf見る能力がある環境ならOOoでpptも見れるのでは。
#ベストはpptとpdf、txtと3つ載せることでしょうが
Re:ネチケット不足 (スコア:1)
俯瞰しよう。何事も俯瞰しなくちゃ駄目だ。
Re:ネチケット不足 (スコア:1)
Primo pdfや クセロ pdfやPSを利用する方法等いろいろ出てきますよ。
「いきなりPDF」で済ます手もあるし。
価格の比較 (スコア:1)
Standard版で比較しても価格にたいした差異は見受けられません。
実際にはOfficeの場合プリインストールのPersonalからのアップグレード [sofmap.com]になる場合が多いので、見た目上「Acrobat本体とOfficeProfessionalがほぼ同額」にはなりますけど。
さらに昔の話ですが、Officeフル版を付けているのはほとんどなく(記憶にあるのはBrezzaくらいか)てたいていの機種は「Word+Excel」または「一太郎+Lotus 1-2-3」だったと思います。
当時のAcrobatは日本語で使うのが苦痛でした。
Re:価格の比較 (スコア:1)
#Acrobat Mac版の売れ行きが心配だなあ。
#Windows版だと(フリーorシェアウェアで出来ることを知らない/箱に入ってないと不安という人たちが考える選択肢の)ソースネクストあたりが競合になるだろうけど
Acrobat Mac版 (スコア:2, 参考になる)
そのため、Acrobat 5.0.5 のままで 6 へのアップグレードは見送りました……。
Re:こんなオチ? (スコア:2, 参考になる)
長野のFWが、特別タコで特殊な事例であるかは不明。
庁内の住基サーバーと総務省のサーバーとの間のFWは侵入実験を
認めていないとの「天の声」がありで現時点では「グレー」。
よって、総務省が直接管理する住基ネット本体は「神聖不可侵」を保っています。
Re:こんなオチ? (スコア:3, おもしろおかしい)
自ら法律を作り、その法律を盾にノーガード戦法を取る。
国って最強。
Re:こんなオチ? (スコア:1, すばらしい洞察)
Re:こんなオチ? (スコア:1)
ちがう。
クラックできそうな気がするので、クラックできたことにしただけ。
Re:脆弱性放置の理由 (スコア:3, おもしろおかしい)
1.と2.を省略してくれない?
Re:お若いの (スコア:2, 余計なもの)
それは有名な論語の誤読例(もしくは、好意的に解釈してパロディ)です。出典は泰伯第八「子曰、民可使由之、不可使知之」です。この場合の「べし(可)」は可能の意。「民は従わせることはできるが、その理由は理解させることはできない」が正しい解釈です。
> この原則にのっとれば、今回の件はその通りなんじゃよ。
従わせることができていない以上、「その通り」ではないんですね。でも、
> 結果は今回は役所がいかに「アホ」を絵に描いた
この結論は変わらないかもしれません。
Re:イジョビ・ヌーワ氏、損害賠償請求訴訟提起 (スコア:2)
ヌーワー氏曰く「この訴訟はコンピュータ技術やハッキングに関するものではなく、言論の自由に関するものだ。総務省には、いかなる人々に対しても、『話してはならない』という権利はない。私は、総務省の妨害行為を見過ごすことができない。この訴訟は政治活動のためのものではない。民主主義とオープンな対話を促進するためのものだ」
「言論の自由」と言われて、ITにとって何が重要であったか、突きつけられた想いがした。日本の役人がどうこう、という問題より、それに抗議したり、法的対策をとり、権利を守るということが大事なんだなと。
#(背景としては)大陸法(的感覚)と判例法(的感覚)の違いもあるかな。