アカウント名:
パスワード:
ユーザーの一人として侵入したのに全IDとパスワードが取得できるシステム構築をしてるんだろうか?
しかも国の中で情報漏れが一番起きちゃいけない組織で
毎日新聞の記事 [mainichi.jp]には、
侵入者は8月22日、院内LANのサーバーにアクセスするための「管理者権限」のIDやパスワードを何らかの方法で入手。サーバーや運用管理パソコンを感染させ、全議員のIDやパスワード情報を取得した。パスワードは暗号化されていたが解読も可能で、一部の議員の受信メールが盗み見られた可能性があるという。
とあります。トロイの木馬にやられるのは、それはそれで問題ですが、それよりも、「「管理者権限」のIDやパスワードを何らかの方法で入手」できたことの方が大問題です。また、ユーザサービス用ネットワークからサーバーや運用管理パソコンにアクセスした様ですが、この経路はなんだったのでしょうか?ユーザサービス経由であれば、ある意味仕方がありません。しかし、例えばSSHなんかの管理用サービスがユーザサービス用ネットワークからアクセスできていたのだとすると、設計上のミスなのではないでしょうか。暗号化されたパスワードが解読されるのは、ある意味仕方がありません。/etc/{passwd,shadow}が盗まれて、辞書攻撃されれただけでもかなりの確率で当てることができるでしょう。文字数を限定してブルートフォース攻撃をやっても当たるかもしれない。
衆院事務局は8月下旬、システムを管理しているNTT東日本から異変の報告を受けたが、深刻なサイバー攻撃との認識はなかったという。これも問題ですね。ITの素人である事務局が深刻度を見積もれないのは、仕方ないとしても、ITのプロであるNTT東日本の説明がマズかったとは言えるでしょうね。
衆院事務局は8月下旬、システムを管理しているNTT東日本から異変の報告を受けたが、深刻なサイバー攻撃との認識はなかったという。
これも問題ですね。ITの素人である事務局が深刻度を見積もれないのは、仕方ないとしても、ITのプロであるNTT東日本の説明がマズかったとは言えるでしょうね。
そこらへんは議事録や文書が残ってるでしょうしNTTがそこまでヘマやらかすとは思えんが事務局の方じゃいくら失敗したってクビが飛んだりしないでしょうし緊張感が無いんじゃないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
なんで (スコア:1)
ユーザーの一人として侵入したのに
全IDとパスワードが取得できるシステム構築をしてるんだろうか?
しかも国の中で情報漏れが一番起きちゃいけない組織で
Re:なんで (スコア:2)
毎日新聞の記事 [mainichi.jp]には、
とあります。
トロイの木馬にやられるのは、それはそれで問題ですが、それよりも、「「管理者権限」のIDやパスワードを何らかの方法で入手」できたことの方が大問題です。
また、ユーザサービス用ネットワークからサーバーや運用管理パソコンにアクセスした様ですが、この経路はなんだったのでしょうか?ユーザサービス経由であれば、ある意味仕方がありません。しかし、例えばSSHなんかの管理用サービスがユーザサービス用ネットワークからアクセスできていたのだとすると、設計上のミスなのではないでしょうか。
暗号化されたパスワードが解読されるのは、ある意味仕方がありません。/etc/{passwd,shadow}が盗まれて、辞書攻撃されれただけでもかなりの確率で当てることができるでしょう。文字数を限定してブルートフォース攻撃をやっても当たるかもしれない。
Re: (スコア:0)
そこらへんは議事録や文書が残ってるでしょうしNTTがそこまでヘマやらかすとは思えんが
事務局の方じゃいくら失敗したってクビが飛んだりしないでしょうし緊張感が無いんじゃないの?