アカウント名:
パスワード:
そんなことより、技術的原因がどういうものだったのか知りたいのですが、あまり情報がないですね。
それはやっぱりなかなか公開できるものではないですよね。情報処理学会の研究会 [nii.ac.jp]でも、予稿では公開情報しか掲載されていないけど、当日の口頭発表ではオフレコなお話があったとかなかったとか。
技術的に謎な点・教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか? 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・パスワードだけがキャプチャーで取られるのか。・「管理者IDとパスワードを使って同システムにログインし、利用者情報を不正に持ち出した」とあるのは、どのシステムなのか。Office 365なのか。管理者ログインで利用者情報が窃取されたのは、どんな機能によるものだったのか。・窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。・不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。
匿名の臆病者の立場で、よく存じあげもしないのに分かったようなことを口をするご無礼をお許し頂ければ恐縮です。
> 教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを> 解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか> 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・> パスワードだけがキャプチャーで取られるのか。
これは大学が発表した資料 [osaka-u.ac.jp]の
> 教育用計算機システムに不正ログインされ、システム内部に不正プログラムが仕掛けられ、> 同システムの管理者 ID が盗まれた
を指していると思いますが、この公式資料の文がうまいなあと思うのは、「、」で区切られた3つの事象は全て and で繋がれてはいますが、それらの関係性は明示されていないんですよね。すなわち、不正ログインされたアカウント「で」不正プログラムが設置された、とは書いていないし、そのプログラム「で」管理者 ID が盗まれた、とも書いていない。
> 窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。
公式発表情報には明示されておりませんが、これに関連しそうな部分には珍しく因果を示した書き方がされております。
> 〜、同システムから利用者情報が漏えいいたしました (snip)> 漏えいした利用者情報から教職員 59 名の ID を利用して不正ログインされ
とはいえ、利用者情報は ID だけで、ログインされたのは総当たり、という可能性も否定はできませんね。でもそのようなことが「それなりに短期間」で、管理者に発見されることもなくできるものか、というと、これはまあなんとも分かりません。
> 不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。> 管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。
先ほども記したことではありますが、ハッシュが漏れて、それが「それなりに短期間」で 59 名分、平文に復元できるできるものかどうか。どのようなハッシュ関数が使われていたかにも依存するでしょうけれども。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
自己紹介、乙です。 (スコア:1)
そんなことより、技術的原因がどういうものだったのか知りたいのですが、あまり情報がないですね。
Re: (スコア:1)
それはやっぱりなかなか公開できるものではないですよね。情報処理学会の研究会 [nii.ac.jp]でも、予稿では公開情報しか掲載されていないけど、当日の口頭発表ではオフレコなお話があったとかなかったとか。
Hiroki (REO) Kashiwazaki
Re: (スコア:2, 興味深い)
技術的に謎な点
・教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか? 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・パスワードだけがキャプチャーで取られるのか。
・「管理者IDとパスワードを使って同システムにログインし、利用者情報を不正に持ち出した」とあるのは、どのシステムなのか。Office 365なのか。管理者ログインで利用者情報が窃取されたのは、どんな機能によるものだったのか。
・窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。
・不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。
Re:自己紹介、乙です。 (スコア:0)
匿名の臆病者の立場で、よく存じあげもしないのに分かったようなことを口をするご無礼をお許し頂ければ恐縮です。
> 教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを
> 解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか
> 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・
> パスワードだけがキャプチャーで取られるのか。
これは大学が発表した資料 [osaka-u.ac.jp]の
> 教育用計算機システムに不正ログインされ、システム内部に不正プログラムが仕掛けられ、
> 同システムの管理者 ID が盗まれた
を指していると思いますが、この公式資料の文がうまいなあと思うのは、「、」で区切られた3つの事象は全て and で繋がれてはいますが、それらの関係性は明示されていないんですよね。すなわち、不正ログインされたアカウント「で」不正プログラムが設置された、とは書いていないし、そのプログラム「で」管理者 ID が盗まれた、とも書いていない。
> 窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。
公式発表情報には明示されておりませんが、これに関連しそうな部分には珍しく因果を示した書き方がされております。
> 〜、同システムから利用者情報が漏えいいたしました (snip)
> 漏えいした利用者情報から教職員 59 名の ID を利用して不正ログインされ
とはいえ、利用者情報は ID だけで、ログインされたのは総当たり、という可能性も否定はできませんね。でもそのようなことが「それなりに短期間」で、管理者に発見されることもなくできるものか、というと、これはまあなんとも分かりません。
> 不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。
> 管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。
先ほども記したことではありますが、ハッシュが漏れて、それが「それなりに短期間」で 59 名分、平文に復元できるできるものかどうか。どのようなハッシュ関数が使われていたかにも依存するでしょうけれども。