パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否」記事へのコメント

  • by Anonymous Coward

    リンク先の過去記事

    > 教委側は損害額を約1億6500万円と算定している。
    > これは「この問題の対応費用」約1億円に加えて、
    > ネットワークの再構築費など約5000万円、
    > それに諸経費を加えたものだという。

    それ以前にまず、

    > 児童生徒など約4万7000人の個人情報が流出

    に対する補償をするのが筋なんじゃないか。
    #一人500円で2350万円? 対応費用の内?

    同じ過去記事に

    > お、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、
    > 流出したという証拠となるものは現在のところないようだ。

    とあるな。

    • by Anonymous Coward

      そういうこともひっくるめて、NTT東が「うちに責任はない」と言ってるってことでは。

      • これだけの記事だとわからないため単なる推定ですが,内部ネットワークやその機器はNTT東の管理でなくて,
        NTT東管理の公開サーバーやファイアウォールがだめでも,内部ネットワークのマシンがきちんとしていれば,
        流出することはなかったということでしょうか。
        だから公開サーバの直接的な損失以外の補償は必要ないと。

        • by Anonymous Coward

          前橋市は問題のサーバーの保守管理はNTT東が請け負っていたという。
          NTT東は責任範囲外という。
          矛盾してるよな。
          こういう場合は大抵契約無視でごねてるものだけど、さあどっちでせう。

          • 報告書が
            https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]
            にありますが,これでもわからないです。
            踏み台になったことは確かみたいですが,流失したデータを保存したサーバはどこが管理していたかです。
            あと
            市の情報政策課は,情報セキュリティの監査の中で,人的セキュリテ
            ィ(USB,パスワードなど)に関する監査については市教委を含めて実
            施していた。しかし,技術的セキュリティに関する監査は,行政ネット
            ワークについては順次実施していたが,MENET については実施してい
            なかった。また,市教委は,自身が行う MENET についての自己点検を
            実施していなかった。
            とも書いてあります。

            • by Anonymous Coward on 2020年02月22日 0時37分 (#3766823)

              報告書ではバックドアが仕込まれた『教育資料公開サーバの管理は,市教委の中の前橋市総合教育プラザ』と書かれています。

              データを保存したサーバは内部のファイルサーバで、ドメインコントローラに管理者アカウントで接続した、とあるので、公開サーバに仕込んだツールでIDとPWを抜いたんですかね?

              DMZから内部に接続できる設定のFWを納品したNTTも致命的ではあるけど、意思伝達漏れで公開サーバを管理者不在にして放置した前橋市総合教育プラザもなんらかの過失は問われるべきかと。

              親コメント
              • by Anonymous Coward

                ドメインのメンバーのPC、サーバーは自閉が出来ない
                (ドメインサーバーの予期しないタイミングのアクセスに
                 全て答えないと、ドメインネットワークでなくなる。)
                のでは?

              • by Anonymous Coward

                RODCがいればそのメンバ自体がネットワーク境界を超える必要はないね。

              • by Anonymous Coward

                RODCは、DC自身のセキュリティーを高める
                (ROなので、施錠されていない所に置いてもOK)為のみで、

                やはり自閉出来る訳では無く、ROで無いDCとの通信は
                必要で、そのポートを利用してDomain Adminsがリモートで
                各PC、サーバーにサインイン出来るのでは?

              • by Anonymous Coward

                DC-RODC-メンバの構成はできますよ。というかしてますよ。
                あと意外と勘違いしてるかもですが、もともとActive Directory自体メンバ側はオフライン運用もできます。

              • by Anonymous Coward

                でも、そのメンバPCが、ドメインの信頼関係に頼った
                共有フォルダのアクセスをしたいなら、
                SMBのボートは、双方向でアクセス可能(FW的にはざる)に
                しないといけなく、それはオフライン運用とは言えないのでは?

                http、httpsのように一方向+そのセッションに限り双方向で
                その共有フォルダの良さを享受しようと、
                VPNルータを買って、やって見たのですが、いくらやっても
                駄目でした。

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...