アカウント名:
パスワード:
そんなことより、技術的原因がどういうものだったのか知りたいのですが、あまり情報がないですね。
それはやっぱりなかなか公開できるものではないですよね。情報処理学会の研究会 [nii.ac.jp]でも、予稿では公開情報しか掲載されていないけど、当日の口頭発表ではオフレコなお話があったとかなかったとか。
技術的に謎な点・教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか? 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・パスワードだけがキャプチャーで取られるのか。・「管理者IDとパスワードを使って同システムにログインし、利用者情報を不正に持ち出した」とあるのは、どのシステムなのか。Office 365なのか。管理者ログインで利用者情報が窃取されたのは、どんな機能によるものだったのか。・窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。・不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。
そもそも、不正ログイン被害のアカウント数が本当に59だったのか。どうやって調べたんだろう。本人のアクセスもあるだろうから、区別して調べないといけないよね。
匿名の臆病者の立場で、よく存じあげもしないのに分かったようなことを口をするご無礼をお許し頂ければ恐縮です。
> 教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを> 解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか> 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・> パスワードだけがキャプチャーで取られるのか。
これは大学が発表した 資料 [osaka-u.ac.jp]の
> 教育用計算機システムに不正ログインされ、システム内部に不正プログラ
噂レベルで持ち上がったのとしては、スニッファが仕掛けられてパスワードが窃取されたとか、管理ツールの中にパスワードがベタ書きされていて窃取されたとかいうのを聞きました。
どこまで本当かわからんですがなー
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
自己紹介、乙です。 (スコア:1)
そんなことより、技術的原因がどういうものだったのか知りたいのですが、あまり情報がないですね。
Re:自己紹介、乙です。 (スコア:1)
それはやっぱりなかなか公開できるものではないですよね。情報処理学会の研究会 [nii.ac.jp]でも、予稿では公開情報しか掲載されていないけど、当日の口頭発表ではオフレコなお話があったとかなかったとか。
Hiroki (REO) Kashiwazaki
Re:自己紹介、乙です。 (スコア:2, 興味深い)
技術的に謎な点
・教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか? 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・パスワードだけがキャプチャーで取られるのか。
・「管理者IDとパスワードを使って同システムにログインし、利用者情報を不正に持ち出した」とあるのは、どのシステムなのか。Office 365なのか。管理者ログインで利用者情報が窃取されたのは、どんな機能によるものだったのか。
・窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。
・不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。
Re: (スコア:0)
そもそも、不正ログイン被害のアカウント数が本当に59だったのか。どうやって調べたんだろう。本人のアクセスもあるだろうから、区別して調べないといけないよね。
Re: (スコア:0)
匿名の臆病者の立場で、よく存じあげもしないのに分かったようなことを口をするご無礼をお許し頂ければ恐縮です。
> 教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを
> 解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか
> 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・
> パスワードだけがキャプチャーで取られるのか。
これは大学が発表した 資料 [osaka-u.ac.jp]の
> 教育用計算機システムに不正ログインされ、システム内部に不正プログラ
確認しようのないデマですが (スコア:0)
噂レベルで持ち上がったのとしては、スニッファが仕掛けられてパスワードが窃取されたとか、管理ツールの中にパスワードがベタ書きされていて窃取されたとかいうのを聞きました。
どこまで本当かわからんですがなー