パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に」記事へのコメント

  • by Anonymous Coward on 2013年11月08日 14時06分 (#2492007)

    >公開されていたのはファイアウォール自体がない所であり、PCなど他の機器からも情報が漏れている可能性がある。

    まさにこの指摘の通りで複合機内部の情報どころかNASやらファイルサーバーやらの情報が抜かれてる可能性の方が高いのでは?
    FWがないとかそれ以前にそこらの安ルーターでNATかませばポート解放しない限り内部へのアクセスなんて
    どかにバックドアでもしかけないと難しいのに…。
    それとも今はNATかましてても簡単に外から内側に入れてしまうのですかね?

    • by Anonymous Coward on 2013年11月08日 14時28分 (#2492014)

      いや、この記事を理解するためには、旧帝大のIPアドレス事情を考える必要がある。

      つまり、こういう研究室ではIPv4は基本的に余ってるから、普通、研究室ごとに数個のグローバルIPが割り当てられており、下手するとPC1台につき1つずつグローバルアドレスが振ってある。逆に、コピー機は各研究室に一台ずつあるわけじゃなくて、廊下や専用の部屋に置いてあって、各教室が共同で使うものだから、ほぼ確実に1台ごとにグローバルなIPアドレスが振ってあると思う。

      隣の研究室のホームページですらグローバル越しにアクセスするんだから、コピー機様をローカルネットワークの中に置けるわけがないんだな。

      親コメント
      • そのうち便器にもIPを振ったりするんですかね

        // これ [srad.jp]を連想した(:>^

        親コメント
      • by Anonymous Coward

        > 下手するとPC1台につき1つずつグローバルアドレスが振ってある。

        学部あたりグローバル数個とかにして、残りは返してもらおうよ。

        v4のアドレスの空きもできるし
        学校側もコピー機大公開とか気にしなくてよくなるから
        Win-Winじゃん。

        ちょうどいい機会だと思う。

        • by Anonymous Coward

          この期に及んで「IPv4アドレス取り上げろ」とか冗談でしょ…
          「空きもできるし」とか言うけどそれで何日もつと思って?

          • by Anonymous Coward

            例え1秒で消費されてしまうとしても、誰かの役には立つだろう。
            間抜けに与えておいても害悪でしかない。

            • by Anonymous Coward

              サーバやfirewallでは、IPアドレスを元に、内部からのアクセスを許可しているものが多いわけです。
              IPアドレスを返還するには、それらを全て修正することになります。税金で。
              また、外部の組織へも周知する必要があるでしょう。
              内部、外部にかかわらず、設定の変更を怠った機関が狙われるかも知れません。

              • by Anonymous Coward

                そのやるべき事をやってなかったから漏れたんだろ。
                どうせこれから再構築しなきゃならん。税金で。

              • by Anonymous Coward
                とはいえ貴重はv4グローバルアドレスを学生の端末ごときにいちいち与えてたら、その税金以上の価値が損なわれるわけで。
              • by Anonymous Coward

                いや、DHCPとかは、IPv4が足りなくなってきてから当たり前になったわけで、それまでは、「ああそんなものもあるけどそれが?」状態だった。工学系でない学部なら猶更そうだった。

                IPアドレスってのはもともとマシンごとに振るために設計されているし、大抵のOSだってそう。設定画面やツールはその傾向が顕著で、DHCPで簡単に繋げるようになったのはごく最近のこと。

                だから、IPアドレスを返すだの返さないだのは、筋違いな話で、IPv6を全マシンに振ればいいだけの話でしょ。既に固定IPのやつは放っとけよ。

              • by Anonymous Coward

                IPv6が実用になるとかホントに思ってるんですか?

          • by Anonymous Coward

            空きが出ると、またまたまた嘘つき呼ばわりされるから困るんですね。
            わかります。

      • by Anonymous Coward

        うちも旧帝大だけどその状況は5~10年前くらいに改善しました。
        グローバルIPアドレスは基本的には全部召し上げられました。
        必要性と安全対策を説明できれば、申請書を出せば、いくつかは割り当ててもらうことができます。
        一方で、人手不足だからメールサーバを用意することはできないので各研究室で勝手にしろとか言うんだよな。
        情報系ならともかく。

    • by Anonymous Coward

      大学だし、NATかましてない可能性も...

      2年前のコメント
      http://it.srad.jp/comments.pl?sid=521300&cid=1896738 [srad.jp]
      http://it.srad.jp/comments.pl?sid=521300&cid=1896737 [srad.jp]

      • by Anonymous Coward

        こういう問題起きるたびに「グローバルIP」が風評被害を受けてるように見えて悲しくなるね。
        ファイアウォールで適切に防御されていればグローバルもローカルもセキュリティ面では同等。

        • by Anonymous Coward

          裏を返すと、ファイアウォールで適切に防御しないと
          グローバルIPでの運用はローカルよりも危険。

          • by Anonymous Coward
            なるほど。

            ローカルなアドレスをそのままグローバルに使っちゃって、「192.168.0.1 と 192.168.0.2 は、わたしが使っている IP アドレスですので勝手に使わないでください。」という問題に発展するんですね。

            怖い怖い
          • by Anonymous Coward

            この先IPv4アドレスの枯渇でラージスケールNATが採用されて、ISPからもローカルIPアドレスしか振り出されなくなるから、もっと安全になるね!
            こうですかわかりません><

          • by Anonymous Coward

            NATを構築するというだけで自動的にある程度のファイアウォールが強制されるというだけじゃないかな。
            ソフトウェアでやるにしてもハードウェア挟むにしても、ファイアウォール入れるだけならNATなんかより技術的に楽なはず。
            大体の家庭やオフィスはグローバルIPを直に使ってないから簡単にできるようなUIなり機器なりがそこまで出来てないだけで、IPv6が普及する頃には当たり前になるだろ。

    • by Anonymous Coward

      NATの内側へ直接外からセッションを張るのは無理です。
      ルータにポートフォワードが設定されてるとか、ルータをジャックしてるとかでないと。
      内側にトロイを飼ってるとNATだけってのは防護なんて無いも同然になるので、
      NAT+ポートフィルタ+IPアドレス別通信許可位はしておきたいですね。
      安物ルータでもこのくらいはできるはず。

      • by Anonymous Coward

        そうでもない。NAT Traversal と総称される技術がある。

    • by Anonymous Coward

      つまり……、

      「ファイルサーバにパスワード設定が必要だとは知らなかった」
      「NASがネットに繋がっているんですか?」
      「メーカーは危険性について説明してくれなかった」

      ……言ってそう。

    • by Anonymous Coward

      firewallがあっても、内部の人間からはアクセス出来るわけで、規模がそれなりに大きい所であれば
      見せるべきでは無い人にも情報が漏れてしまいます。

      なのでちゃんとしたパスワード等の設定が大事なのですが、実際にフィールドに来る複合機の
      エンジニアもその辺りの認識が薄いようで積極的に設定するよう薦めません。
      (パスワード忘れましたと、呼ばれるのが面倒なのかもしれませんが、、、、)

      また、複合機側も利便性のために印刷ジョブを認証の無いwebで確認できるようにしてあったりするのですが、
      例えジョブタイトル(印刷の場合多くはファイル名)や印刷者アカウントだけでも他に知られては困る場合もあります。
      機種によっては処理中ジョブだけではなく履歴一覧が参照できたりも。。。。。

      • by Anonymous Coward

        ものによってはWeb経由をパスワード保護したところで、SNMP経由でジョブリストがだだもれ。さらにSNMPのコミュニティ名をpublic以外にすると、ドライバインストーラが動かなくなるおまけ付きです。どうしろっていうの。

    • by Anonymous Coward

      いや、このタレコミは間違ってると思うよ。

      ファイアーウォールがあれば大丈夫ではなくて、ファイアーウォールで設定=ブロックしていたら問題ないとメーカーが言ってるだけなんだよね。
      実際にはファイアーウォールはあったはず。

      ファイアーウォールを抜けて入れる場所に、複合機納入業者が誰でもアクセスできる状態で設置したって言うのが正しいんじゃないか。

      • by Anonymous Coward

        そりゃ「誰でもアクセス出来る状態な場所に設置する」なんて事がそもそも想定されてないからね。
        特にFWの外側に置くなんて完全に想定外でしょ。
        だから、要件に書いておけばよかったのさ。
        「FWの外側からでもアクセス出来て、セキュリティーも確保出来るもの」って。

        • by Anonymous Coward

          問題があったのは大手4社のうち2社だからね。パスワードとかそんなご大層な設定じゃなくても、サブネットマスクで学部に割り当てられているIP以外を弾けば済む話だろう。

          • by Anonymous Coward

            報道を見る限り、4社中の4社がやらかしてるようだけど…。

        • by Anonymous Coward

          いや、FWの内側だが通常は開いているサービスで外から見れたってことでしょう。
          複合機メーカーは大学の特殊な事情を考慮してなかったんでしょう。

          今時はNATが普通ですから。

          大学側も、まさかサーバー機能をもった複合機を認証無しで勝手に設置されるとは想定外だったのでは?

最初のバージョンは常に打ち捨てられる。

処理中...