アカウント名:
パスワード:
この部分には衛星部品の技術評価をした文書などが収められており、三菱電機にとっては重要な機密情報。この社員は、これらの情報を盗み見るとともに、不正にアクセスできることを、メールで複数の関係者に知らせたため、翌13日に不正アクセスが発覚したという。計4人が侵入したとの情報もある。
「実害はない」ってとこが、脆弱性の指摘が目的であって、機密情報の不正 入手が目的ではなかったと思うのですが、私人が良すぎますか?
たとえばクロスサイトスクリプティングあたりでも指摘したら訴えられたりして
>NASDAの職員の目の前で宣言してやってみせれば… ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。
不正アクセス行為の禁止等に関する法律第三条2一 当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
NASDAの職員の目の前で宣言してやってみせれば… (スコア:1)
masamic
Re:NASDAの職員の目の前で宣言してやってみせれば… (スコア:1)
現行犯逮捕されたりして。(w;
しかし、セキュリティを破っておいて警告するってのは、海外のニュースだと時々耳にするニュースなんですが、今回の場合は相手が悪かったのでしょう。
本来、その程度で破られるようなセキュリティ(今回の場合安易なパスワード)だったってのが恥ずかしくて公にしたくないのでしょうが、*ミセシメ*に訴えておけば心理的なセキュリティ強化に繋がるとでも思ったのかな。
# 人生のキャリーオーバー継続中
とばっちりは,事業団も。 (スコア:1)
その記事 [yomiuri.co.jp]によれば,「文部科学省は、機密情報が漏れたことを重大視し、情報管理徹底の指導に乗り出している」とのことなんで,これから事業団もふんだりけったりになることでしょう。
また,各紙によれば,
事業団は「パスワードは事業団側が割り当てたが、割り当て方法に問題があったかもしれない。今後、情報管理を徹底する。しかし、不正アクセスには違いなく、厳正に対処した」(NIKKEI NET)
そして,システム社の社員は「自分のパスワードの一部を少し変えただけでアクセスできた」(読売新聞)
とのことなので,パスワードが思いっきり適当だったのは確実。
>NASDAの職員の目の前で宣言してやってみせれば…
ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。
斜点是不是先進的先端的鉄道部長的…有信心
Re:とばっちりは,事業団も。 (スコア:2, 参考になる)
おお、こりゃ分かりやすい。読売はそのうち消えてしまうので一部引用: というわけで、組織的犯行ですね。これはむしろ刑事告発したほうが良さそう。
Re:とばっちりは,事業団も。 (スコア:2, 参考になる)
# 某イスラ工儿にはこういう前科 [3web.ne.jp]もありますし
Re:とばっちりは,事業団も。 (スコア:1)
不正アクセスをさせやすいようにしていたのかも。
んで気に食わない奴がハクったら晒し者にすると。
このサーバのlogが読みたいですな。
Re:とばっちりは,事業団も。 (スコア:2, 参考になる)
自分の身は自分で守ろう!という事で、他人の心配はしてはいけないんだね。
「実害はない」ってとこが、脆弱性の指摘が目的であって、機密情報の不正 入手が目的ではなかったと思うのですが、私人が良すぎますか?
Re:とばっちりは,事業団も。 (スコア:1)
いや、おっしゃる通りと思います。
少なくとも、「まさかこんなアマイパスワードにしてねーだろな」と思ってやってみたら入れたので、びっくりして親切心で報告してあげたとかね。
こうなってくると、たとえばクロスサイトスクリプティングあたりでも指摘したら訴えられたりして、そうなると、方法は
1.危険の喚起と注意のために、匿名で晒す
2.放置する
のどちらかしかなくなってしまう。
ネットのセキュリティを、家のカギや金庫と同じ認識で考えるのは変な話ですよね。
一般に利用される空港や銀行のセキュリティと同じように考えるべきでしょう。それなら「試してみたら密入国できた」となると、仮に密入国できた人間が処罰されるにしても、その空港のセキュリティの甘さは大いに非難されるし。
Re:とばっちりは,事業団も。 (スコア:1)
まったく別の団体の別のサイトですが、 cross site scripting vulnerability があるよ、と指摘した相手から音沙汰がないのは、ひょっとして訴訟の準備をしているからとか……? そんなぁ。 (T_T)
鵜呑みにしてみる?
Re:とばっちりは,事業団も。 (スコア:1)
Re:とばっちりは,事業団も。 (スコア:1)
>ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。
ここはやんわりと、NASDAの上級職員に端末の前に座っていただいて、この割り当てられたユーザー名に数字のxxxを加えたもの(たとえば)をパスワードのところに入れてみて、とかやれば、自分の手を汚さなかったのに!
Re:とばっちりは,事業団も。 (スコア:1)
>し変えただけでアクセスできた」(読売新聞)
いやだいやだ……
この社員がもらったパスワード、"eisei_n"だったりしたら
いやだなあ。で、勝手に変えるなとか言われたり……
IN EARTH AND SKIE AND SEA STRANGE THYNGES THER BE.
Re:とばっちりは,事業団も。 (スコア:1, すばらしい洞察)
> 今後、情報管理を徹底する。しかし、不正アクセスには違いなく、厳正に対処した」(NIKKEI NET)
つーかパスワードって割り当てられるものなんですな。
で、割り当て方法に問題があるようなパスワードの割り振りしてるんですか。
訴える云々は別にして、ポリシーからしてぬるすぎるのでは。
# よかった NASDA 行かなくて(謎)