パスワードを忘れた? アカウント作成
2283 story

宇宙開発事業団に不正侵入 77

ストーリー by wakatono
不正といえば不正かもしれないけど…ねぇ… 部門より

enhydra曰く、"親切心が仇となったか。NIKKEI NETの記事によると、NEC東芝スペースシステム社員が宇宙開発事業団のコンピュータで推測しやすいパスワードを使用されていることを突き止め同事業団に警告したところ、同事業団はこれを不正アクセスとしてNEC東芝スペースシステム社を1ヶ月間の指名停止処分に処したとのこと。
実害が無いため刑事起訴はしない方針だそうだが、せっかく通報した社員と同社には気の毒。パスワードの甘さを検証する必要性はあったかもしれないが、単にのぞき見願望を抑えられなかった可能性も有る。
なんにせよ断片的な話だけなので判断しにくいのだが、この処分ってアリ?"

毎日新聞にもこの事件に対する報道があった。コンピュータの内容ものぞき見たとのことだが、目的はまったくもって謎。宇宙開発事業団のセキュリティの甘さのとばっちりを食ったのかな…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by k3c (4386) on 2002年02月14日 18時32分 (#62787) ホームページ 日記
    がはっきりと書かれていないのでアレですが。

    たとえば毎日の記事 [mainichi.co.jp]では機密データを盗んで、しかも事業団の担当者だけに知らせるのではなく他のヒトに知らせる目的で「容易に推測できるパスワード」であることを公表したような書きっぷり。これだとまるっきり悪人だしはっきりと不正アクセス禁止法違反。
    # ところで「電子メールシステム」ってなんやねん>毎日新聞どの

    一方、日経の記事 [nikkei.co.jp]では、不正アクセスだけできることを確認して、事業団関係者を意図的に対象に含めて周知したような書きっぷり。これだと情報を取り出していないので善意のように見えるが、実はこれだけでも不正アクセス禁止法に違反しています。

    というわけでどっちにしても違法行為に間違いないと思われます。指名停止処分は妥当といえるでしょう。刑事告発しないだけでも有難いと思いなさい。って何様やねんワタシ。
    まあ、一番イケナイのは、そもそもそんな簡単に類推できるパスワードを与えていた事業団。なにもかもごっそり持っていかれなかったことには感謝すべきでしょう(誰に?)。
    • by koromo-h (3935) on 2002年02月14日 20時26分 (#62837)
      asahi.com [asahi.com]だと
      社員は不正アクセスが可能な問題を事業団職員に知らせ、事業団はすぐに情報システムを停止した。
      とのことなんで、「発見した社員が不具合を善意で知らせたら、事業団が逆ギレした」としか読めません。

      さて、真相はいかに。

      親コメント
      • 「事業団はすぐに情報システムを停止した(朝日新聞)」

        なるほど,それで騒ぎが大きくなって,ひっこみがつかなくなったわけですね。まずい対応をしたもんだ。
        --
        斜点是不是先進的先端的鉄道部長的…有信心
        親コメント
      • 毎日の記事だと

        >  この社員が、事業団関係者も参加する電子メールシステムで、容易に情報にアクセスできることを知らせたため、不正アクセスが判明した。

        電子メールシステムってのはMLのことかな?

        ただのメールで事業団の人に知らせたってんなら善意だと思うけど、もしMLで指摘したんなら問題にされて当然。他人の間違い(しかも機密絡み)を晒し上げたんですから。

        私的にはセキュリティとか全然分かってないお偉いさんが、業者風情に不備を指摘されて、勝手にキレちゃったって感じに受け取れるんですが。

        いえ、私がそういう人種を相手にして苦労してるからってんじゃないです。
        --
        : 〜〜〜 パルナス、けだるい日曜日。 〜〜〜
        親コメント
    • ダメっぷりが実証されただけなような気もしますが?
      法案が出た時にそういう議論があったと記憶しているし「ほ~らやっぱり」てなとこでしょ。
      親コメント
  • とりあえず確かなこと (スコア:3, おもしろおかしい)

    by sketch (7027) on 2002年02月14日 20時22分 (#62836) 日記

    今後、NASDAのサーバにどんなに重大なセキュリティ上の欠陥があっても、教えてくれる人は一人もいないと言うことだけは確かでしょうね。

  • 情けね~ (スコア:3, すばらしい洞察)

    by bugbird (4706) on 2002年02月14日 22時44分 (#62873) ホームページ 日記

    何がどうあれ、第三者に侵入された段階であんたの負け > 事業団

    ディスクロージャに対してロックアウトを行使して「対応しました」 というポーズを取り繕った段階であんたの負け > 事業団

    テッチー的センスの良さのかけらもないぞ。ロケット打ち上げという 本業であれこれと失敗を重ねるのもこれではやんぬるかな…

    --
    --- Toshiboumi bugbird Ohta
  • プロジェクトは (スコア:2, 参考になる)

    by teltel (1423) on 2002年02月14日 18時37分 (#62790) 日記
    ここ [nasda.go.jp] のなかのWINDS ってやつですね。

    しかしNASDA の管理が悪いのに、メーカーが指名停止だもんね。
    お役所は強いねえ。
    # 宇宙、衛星事業のほとんどが公共事業(?)だから仕方ないのかねえ。
    • by k3c (4386) on 2002年02月14日 18時40分 (#62795) ホームページ 日記
      って、超高速で飛びながらネットサーフィンする衛星なんでしょうか。
      親コメント
  • by usay (8) on 2002年02月14日 19時38分 (#62819) 日記
    >実害が無いため刑事起訴はしない方針だそうだが

    不正侵入されたこと自体に、害を感じない体質がアレ。
    --
    May the source be with you... always.
  • by Anonymous Coward on 2002年02月14日 21時02分 (#62847)
    この例のように、日本の政府機関やその外郭団体のセキュリティの甘さをみつけて、それを報告すると、

    「逆ギレ」

    されたあげく、

    「取引停止」
    「訴訟を起こされて出入り禁止」

    になります。

    もし、偶然に、当該団体のセキュリティの甘さを見つけてしまった場合は、当該団体には、

    「一切の連絡をせず」

    米国や中国のハッカーサークルにこの種の情報を開示して、そのシステムを、

    「海外からのアクセスによって」、
    「ガタガタにして」

    もらいましょう。

    そうしないと、あなたの身があぶないし、当該団体も反省を一切しないと思いますから。

    これを、

    「正しい選択」

    と言います。

    以上。
  • 「お役所仕事」 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2002年02月14日 21時40分 (#62857)
    NASDAのホームページ [nasda.go.jp] を見ると、お役所仕事だねぇ。いいことしか書いてないもんね。自分たちにマイナスの評価がつくような情報は開示しないんだね。米国のお役所のサイトなんかは「ハッキングされてすみませんでした」なんていうことが書いてあることがあるんだけどね。

    日本はまだまだ情報開示の後進国ということだね。宇宙開発にお金を使うくらいだったら、雇用対策とか、役所の近代化にお金を使って欲しいもんだと思うがな。もうそろそろ、見栄なんか張れなくなっちゃうんだからさ。日本という国は。宇宙開発するカネはあるのに、年間3万人という「働き盛りの自殺者」をかかえる国が日本じゃないか。これは先進国中でダントツよ。まぁ、ロケット作っちゃいけない、とは言わないけどさ、他にもっとお金を使うべきところがあると思うんだがな。で、そのカネを使った結果がこれじゃね。税金だよ。こちとらの少ない給料から、強引にむしりとっていった。東芝とか三菱は、いくら官との癒着が強いとはいえ、民間企業だから、まだいいわな。完全100%税金で賄う「事業団」は、こういうご時世だからこそ、こんなことは許されないし、それを民間企業のせいにして、自分たちはその民間企業を罰しました、ということで一件落着させよう、なんて、甘い甘い。マスコミはじめ、ミニコミやネットで市井の民間人が見てるよ。なにも言わないかもしれないけど、じっと、じっと、見てるよ。それがどこで爆発するか、楽しみに待ってるんだね。せいぜいな。情報を手にした昔の日本人と、今の日本人じゃメンタリティが変わってきてることも忘れないで欲しいな。もうすぐ徳政令も出るらしい、と言うじゃないか。こういうお役所がいつまで生き残れるか、とくと拝見してやろうじゃないかね。
    • by KENN (3839) on 2002年02月14日 23時15分 (#62891) 日記
      こういうお役所がいつまで生き残れるか、とくと拝見してやろうじゃないかね。

      そこまで悪者扱いしなくても。

      少なくともNASDAは何をやっているかははっきりしてる訳で、やってることも良く判らん特殊法人なんてのはごまんとあると思うんだが。

      そのやってることが何せ派手なので、NASDAは善きにつけ悪しきにつけ目立ちやすい、ってのは間違いなくあると思う。レポーターに追い回される芸能人や著名人のようなものですな。

      だからこそ身辺は常にクリーンに保たなければいけないんだが…今回の一件はちとお粗末、というのが正直な感想。

      親コメント
    • Re:「お役所仕事」 (スコア:2, すばらしい洞察)

      by simon (1336) on 2002年02月15日 0時16分 (#62911)
      NASDAは国の見栄のために衛星を上げている、という認識ですか?
      ヨーロッパやNASAと比較して一ケタから二ケタ(!)低い予算で [geocities.co.jp]頑張って衛星を上げて全国の需要にこたえているNASDAの予算は低すぎると思えはしても決して高くはないと思いますよ?

      もちろん厳しい目で見つめるのは必要だけどね。
      親コメント
      • by masamic (1186) on 2002年02月15日 0時54分 (#62937) ホームページ 日記
        しかも日本の打ち上げている実用衛星は、日本のためだけのものではないものも多いです。

        気象衛星ひまわりは周辺諸国の気象観測と気象情報発信の役目を負っていますし、放送衛星ゆりも日本に割り当てられたトランスポンダの数は搭載量の半分だけだったと思います。またひまわりの後継となる予定の運輸多目的衛星では、気象に関するものに加え、日本周辺地域の国内・国際航空管制の一部を担当することになっています。これらは日本の予算で打ち上げられていると思いますが。

        #違いましたでしょうか?間違っていれば指摘願う。
        --
        masamic
        親コメント
      • 予算を投入して日本が衛星打ち上げ技術を確立しなければならない経済的合理性なんてどこにもないでしょう。ですから、NASDA の予算は問答無用で高すぎ、というか無駄金。
        親コメント
        • by severus (4454) on 2002年02月15日 17時57分 (#63219)
          >予算を投入して日本が衛星打ち上げ技術を確立しなければならない経済的合理性なんてどこにもないでしょう。

          人工衛星は将来的に大きなビジネスですよ。りっぱな経済的合理性です。
          親コメント
          • 4番手5番手が採算がとれるわけがない。民間なら検討するまでもなくばっさりです。まぁ、これに限ったことでもありませんが、単に自分の懐に金がねじ込めれば、あとは税金で尻拭いすればいいという、いつもの官僚のお仕事ですね。
            親コメント
    • >自分たちにマイナスの評価がつくような情報は開示しないんだね。

      たとえば,こんなの [nasda.go.jp]も出しています。いいことだけ開示しているわけではありません。今回の件についても真面目に情報開示した結果でしょう。文部省の指導については,また別な意図があるような気はしますが。
      --
      斜点是不是先進的先端的鉄道部長的…有信心
      親コメント
  • 何の問題もなかったんでしょうけどねぇ。
    --
    masamic
    • > NASDAの職員の目の前で宣言してやってみせれば…

      現行犯逮捕されたりして。(w;

      しかし、セキュリティを破っておいて警告するってのは、海外のニュースだと時々耳にするニュースなんですが、今回の場合は相手が悪かったのでしょう。
      本来、その程度で破られるようなセキュリティ(今回の場合安易なパスワード)だったってのが恥ずかしくて公にしたくないのでしょうが、*ミセシメ*に訴えておけば心理的なセキュリティ強化に繋がるとでも思ったのかな。
      --
      # 人生のキャリーオーバー継続中
      親コメント
    • この事件は,今日の読売新聞の一面にも載ってました。特ダネ扱いですね。

      その記事 [yomiuri.co.jp]によれば,「文部科学省は、機密情報が漏れたことを重大視し、情報管理徹底の指導に乗り出している」とのことなんで,これから事業団もふんだりけったりになることでしょう。

      また,各紙によれば,

      事業団は「パスワードは事業団側が割り当てたが、割り当て方法に問題があったかもしれない。今後、情報管理を徹底する。しかし、不正アクセスには違いなく、厳正に対処した」(NIKKEI NET)

      そして,システム社の社員は「自分のパスワードの一部を少し変えただけでアクセスできた」(読売新聞)

      とのことなので,パスワードが思いっきり適当だったのは確実。

      >NASDAの職員の目の前で宣言してやってみせれば…
      ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。
      --
      斜点是不是先進的先端的鉄道部長的…有信心
      親コメント
      • by k3c (4386) on 2002年02月14日 18時37分 (#62791) ホームページ 日記
        > 今日の読売新聞の一面にも載ってました

        おお、こりゃ分かりやすい。読売はそのうち消えてしまうので一部引用:
        この部分には衛星部品の技術評価をした文書などが収められており、三菱電機にとっては重要な機密情報。この社員は、これらの情報を盗み見るとともに、不正にアクセスできることを、メールで複数の関係者に知らせたため、翌13日に不正アクセスが発覚したという。計4人が侵入したとの情報もある。
        というわけで、組織的犯行ですね。これはむしろ刑事告発したほうが良さそう。
        親コメント
        • by hix (3507) on 2002年02月14日 19時51分 (#62826) 日記
          中東の某国が打ち上げる衛星が、日本の衛星にそっくりだったりして?

          # 某イスラ工儿にはこういう前科 [3web.ne.jp]もありますし
          親コメント
        • わざとわかりやすいパスワードにしておいて
          不正アクセスをさせやすいようにしていたのかも。
          んで気に食わない奴がハクったら晒し者にすると。
          このサーバのlogが読みたいですな。
          親コメント
          • by naruaki (2658) on 2002年02月14日 20時31分 (#62838) 日記
            まさに薮蛇。セキュリティーが甘々なサーバーを見つけても、 親切心でソレを指摘してはいけない。見てみぬ振りをする事 が大人の態度なのだと。私はこの事件で、そう学習しました。
            自分の身は自分で守ろう!という事で、他人の心配はしてはいけないんだね。

            「実害はない」ってとこが、脆弱性の指摘が目的であって、機密情報の不正 入手が目的ではなかったと思うのですが、私人が良すぎますか?

            親コメント
            • >「実害はない」ってとこが、脆弱性の指摘が目的であって、機密情報の不正 入手が目的ではなかったと思うのですが、私人が良すぎますか?

              いや、おっしゃる通りと思います。

              少なくとも、「まさかこんなアマイパスワードにしてねーだろな」と思ってやってみたら入れたので、びっくりして親切心で報告してあげたとかね。

               こうなってくると、たとえばクロスサイトスクリプティングあたりでも指摘したら訴えられたりして、そうなると、方法は

              1.危険の喚起と注意のために、匿名で晒す
              2.放置する

              のどちらかしかなくなってしまう。
              ネットのセキュリティを、家のカギや金庫と同じ認識で考えるのは変な話ですよね。
              一般に利用される空港や銀行のセキュリティと同じように考えるべきでしょう。それなら「試してみたら密入国できた」となると、仮に密入国できた人間が処罰されるにしても、その空港のセキュリティの甘さは大いに非難されるし。
              親コメント
              • たとえばクロスサイトスクリプティングあたりでも指摘したら訴えられたりして

                まったく別の団体の別のサイトですが、 cross site scripting vulnerability があるよ、と指摘した相手から音沙汰がないのは、ひょっとして訴訟の準備をしているからとか……? そんなぁ。 (T_T)
                --
                鵜呑みにしてみる?
                親コメント
      • >NASDAの職員の目の前で宣言してやってみせれば…
        ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。
        目の前で宣言してやろうとして、止められなければ、
        不正アクセス行為の禁止等に関する法律第三条2一

        当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。
        に該当するかも?
        親コメント
      • >>NASDAの職員の目の前で宣言してやってみせれば…
        >ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。

         ここはやんわりと、NASDAの上級職員に端末の前に座っていただいて、この割り当てられたユーザー名に数字のxxxを加えたもの(たとえば)をパスワードのところに入れてみて、とかやれば、自分の手を汚さなかったのに!
        親コメント
      • >そして,システム社の社員は「自分のパスワードの一部を少
        >し変えただけでアクセスできた」(読売新聞)

        いやだいやだ……
        この社員がもらったパスワード、"eisei_n"だったりしたら
        いやだなあ。で、勝手に変えるなとか言われたり……
        --
        IN EARTH AND SKIE AND SEA STRANGE THYNGES THER BE.
        親コメント
      • by Anonymous Coward on 2002年02月15日 0時44分 (#62927)
        > 事業団は「パスワードは事業団側が割り当てたが、割り当て方法に問題があったかもしれない。
        > 今後、情報管理を徹底する。しかし、不正アクセスには違いなく、厳正に対処した」(NIKKEI NET)

        つーかパスワードって割り当てられるものなんですな。
        で、割り当て方法に問題があるようなパスワードの割り振りしてるんですか。
        訴える云々は別にして、ポリシーからしてぬるすぎるのでは。

        # よかった NASDA 行かなくて(謎)
        親コメント
  • by Anonymous Coward on 2002年02月14日 18時27分 (#62783)
    三菱電機は、どっちにしろ被害者(重要機密をみられた?)なので、訴える権利はありますよね。

    管理者責任を問うべきでしょうねぇ、やっぱり。でも、そうすると、お仕事もらえないし...
    • by sato4 (4413) on 2002年02月14日 21時31分 (#62854) 日記

      訴えるのはNASDAをでしょう。
      NEC東芝システムだってNASDAを訴える権利持ってると思います。

      気づいたNEC東芝システムの社員も、自分たちの機密情報も第三者が容易に 閲覧できる危険な状態にあったのを指摘して、何とかしてもらおう とおもったのだと思います。なのに、まさか懲罰されるとは 夢にも思わなかったんでしょう。
      逆にいえば、三菱電機の社員も容易に東芝NEC側のパスワードを 容易に推測できた可能性は否定できないため、黙ってただけで、もしかしたら…。

      親コメント
  •  宇宙開発事業団関連の人も見ているはずだから、詳しい経緯などを 教えて欲しいな。
    --
    李 露星
  • by f6_6m (6762) on 2002年02月14日 18時56分 (#62804)
    AC(匿名さん)で投書するが。
    わざわざお役所の逆鱗に触れなくてもねぇ…お気の毒さま。
  • by Anonymous Coward on 2002年02月15日 0時51分 (#62935)
    就業時間中に社内から不正アクセスというのはやっぱりまずいんじゃないかなあ。
    セキュリティアナリストとして知られる古川泰弘さんでさえそれでSRAを首になったというし。
    • >就業時間中に社内から不正アクセスというのはやっぱりまずいんじゃないかなあ。

      不正アクセスという観点からは、就業時間中でなくても、
      会社の資源を使っている限りでは、まずいことに変わりはないでしょう。
      自宅からすればよいというものでもないですが。
      --
      masamic
      親コメント
    • じゃあどうすればよかったのかな?
      1.会社で、上司に文書で確認を取り「脆弱性のレポート」として直接NASDAに連絡をとる。

      2.自宅でこっそり「善意のハッカー」として侵入、記念写真を撮ってNASDAにこっそり送りつける。

      1も2もダメ?うーむ。じゃあマスコミに証拠を送り付けるか(マスコミにわかる人間がいないとダメ)、所轄官庁にタレ込む(こっちのほうが望み薄)……
      親コメント
      • by jbeef (1278) on 2002年02月15日 10時38分 (#63023) 日記
        • 方法A:(方法Bができそうにない場合)
          1. 与えられたパスワードが規則的なため類推可能である疑いが濃いことを論理的に説明する文書を作成する。(実証実験は行わない。)
          2. 「この状況では当社の秘密が守られていない疑いがある」として、問題提起することの正当性を文書中に示す。
          3. この文書を事業団だけに送る。このとき、実際に不正アクセスがなかったかを調べて結果を関係各社に開示するよう求める。
          4. これを上司の許可を得て、組織としての対応とする。
        • 方法B:
          1. 他社の社員と、類推の可能性、およびそれがもたらす互いの会社への脅威について、議論をかわす。(実証実験は行わない。)
          2. 一方の社員が、他社のパスワードを、互いに類推し、紙に書き出してみる。その中に当たっているものがあるかどうかを互いに調べ、あるかないかだけを伝えあう(どれが正解かは伝えない)。 見つかったならば、問題があることが(不正アクセス行為を伴わずに)証明される。
          3. この仮想実験の内容を文書にし、事業団に提出する。
          4. これを上司の許可を得て行い、組織としての対応とする。
        • 方法C:(方法Bでシカトされた場合)
          1. 他社の、当該識別符号に係る利用権者の承諾を得て、実際に類推したパスワードでログインし、ファイルの内容は表示させないで、その様子をビデオに撮影し証拠とする。このとき、当該識別符号に係る利用権者もその場に立ち会い、実験内容を了承する。
          2. その結果を事業団に再提出する。
        方法Cは不正アクセス禁止法以外の点で問題にされるかも…。
        親コメント
  • ここまでのコメントも参考にして見ると、

    1.事業団が不正侵入されたということ。
    2.その原因の1つに「不正侵入されやすい甘いセキュリティ」がある。ということ。
    3.民間企業職員が事業団の許可なく侵入行為を働いたということ。
    4.不正侵入をした民間企業職員がその情報を他に漏らしたということ。
    5.以上「1~4」までの問題を事業団が解決するとき、民間企業のみにその責を負わせようとしているように「見える」ようなやりかたをしたこと。

    ということになりますな。

    特にここでは「5.」が問題になっているけれど、どれ1つをとっても、問題が残るやりかたでの解決が図られているのではないか、という疑念を抱かせますね。上記の問題をきちんと分類/分析し、自分たちで「この問題はこう解決しました」という「情報開示」が不完全なうちにマスコミに出してしまうから、こういうたたかれ方をするんじゃないですかね。

    最近の企業も官庁も、こういった「事後の処置」みたいなことがまるで冷静/慎重にできていない、としか思えないね。みんなガッコの成績のいい優秀なおぼっちゃまおじょーちゃまだったんでしょーにねぇ。状況の把握や判断、常識、という面から見ても、点数をつけるとすると100点満点で10点くらいのことしかできていないよね。

    「今日も昨日と同じ」ことに慣れてしまうと、人間、ここまで堕落するものかなぁ。なんか悲しいなぁ。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...