宇宙開発事業団に不正侵入 77
ストーリー by wakatono
不正といえば不正かもしれないけど…ねぇ… 部門より
不正といえば不正かもしれないけど…ねぇ… 部門より
enhydra曰く、"親切心が仇となったか。NIKKEI NETの記事によると、NEC東芝スペースシステム社員が宇宙開発事業団のコンピュータで推測しやすいパスワードを使用されていることを突き止め同事業団に警告したところ、同事業団はこれを不正アクセスとしてNEC東芝スペースシステム社を1ヶ月間の指名停止処分に処したとのこと。
実害が無いため刑事起訴はしない方針だそうだが、せっかく通報した社員と同社には気の毒。パスワードの甘さを検証する必要性はあったかもしれないが、単にのぞき見願望を抑えられなかった可能性も有る。
なんにせよ断片的な話だけなので判断しにくいのだが、この処分ってアリ?"
何を見たか、どこで周知したか (スコア:3, すばらしい洞察)
たとえば毎日の記事 [mainichi.co.jp]では機密データを盗んで、しかも事業団の担当者だけに知らせるのではなく他のヒトに知らせる目的で「容易に推測できるパスワード」であることを公表したような書きっぷり。これだとまるっきり悪人だしはっきりと不正アクセス禁止法違反。
# ところで「電子メールシステム」ってなんやねん>毎日新聞どの
一方、日経の記事 [nikkei.co.jp]では、不正アクセスだけできることを確認して、事業団関係者を意図的に対象に含めて周知したような書きっぷり。これだと情報を取り出していないので善意のように見えるが、実はこれだけでも不正アクセス禁止法に違反しています。
というわけでどっちにしても違法行為に間違いないと思われます。指名停止処分は妥当といえるでしょう。刑事告発しないだけでも有難いと思いなさい。って何様やねんワタシ。
まあ、一番イケナイのは、そもそもそんな簡単に類推できるパスワードを与えていた事業団。なにもかもごっそり持っていかれなかったことには感謝すべきでしょう(誰に?)。
Re:何を見たか、どこで周知したか (スコア:3, 参考になる)
さて、真相はいかに。
Re:何を見たか、どこで周知したか (スコア:1)
なるほど,それで騒ぎが大きくなって,ひっこみがつかなくなったわけですね。まずい対応をしたもんだ。
斜点是不是先進的先端的鉄道部長的…有信心
Re:何を見たか、どこで周知したか (スコア:1)
> この社員が、事業団関係者も参加する電子メールシステムで、容易に情報にアクセスできることを知らせたため、不正アクセスが判明した。
電子メールシステムってのはMLのことかな?
ただのメールで事業団の人に知らせたってんなら善意だと思うけど、もしMLで指摘したんなら問題にされて当然。他人の間違い(しかも機密絡み)を晒し上げたんですから。
私的にはセキュリティとか全然分かってないお偉いさんが、業者風情に不備を指摘されて、勝手にキレちゃったって感じに受け取れるんですが。
いえ、私がそういう人種を相手にして苦労してるからってんじゃないです。
: 〜〜〜 パルナス、けだるい日曜日。 〜〜〜
不正アクセス禁止法の (スコア:1)
法案が出た時にそういう議論があったと記憶しているし「ほ~らやっぱり」てなとこでしょ。
とりあえず確かなこと (スコア:3, おもしろおかしい)
今後、NASDAのサーバにどんなに重大なセキュリティ上の欠陥があっても、教えてくれる人は一人もいないと言うことだけは確かでしょうね。
情けね~ (スコア:3, すばらしい洞察)
何がどうあれ、第三者に侵入された段階であんたの負け > 事業団
ディスクロージャに対してロックアウトを行使して「対応しました」 というポーズを取り繕った段階であんたの負け > 事業団
テッチー的センスの良さのかけらもないぞ。ロケット打ち上げという 本業であれこれと失敗を重ねるのもこれではやんぬるかな…
--- Toshiboumi bugbird Ohta
プロジェクトは (スコア:2, 参考になる)
しかしNASDA の管理が悪いのに、メーカーが指名停止だもんね。
お役所は強いねえ。
# 宇宙、衛星事業のほとんどが公共事業(?)だから仕方ないのかねえ。
超高速インターネット衛星 (スコア:2, おもしろおかしい)
Re:プロジェクトは (スコア:1)
実質的には損害なく厳正に処分したように見えるだけとか。
NEC、事業団、三菱の三者で打ち合わせした上での決定なのかなあ、
などとうがってみたりしました。
# 期末だから今後もう新しい指名?はない、とか。
Re:プロジェクトは情報操作されている? (スコア:1)
「~関係者からの指摘があり、それを認めて改善したことを発表した。なお、実際にデータが流出するなどの被害はなかったとのこと~」
とかいう記事だったとしたらどうでしょうか? それこそ勘違い自称ハッカーが言い訳に利用するだけなんでは。弱いパスワードを指摘してやっただけだぜぃ、とかいって。
そこであえて(談合の上?)
> 実質的には損害なく厳正に処分したように
見せかけているとかいうことが、はたしてあるでしょうか?
いや、そうだとしてあんまりうまくいっているようにも思えないんだけど。
重大な被害じゃないのか (スコア:2, 参考になる)
不正侵入されたこと自体に、害を感じない体質がアレ。
May the source be with you... always.
これからはこうしましょうね (スコア:2, おもしろおかしい)
「逆ギレ」
されたあげく、
「取引停止」
「訴訟を起こされて出入り禁止」
になります。
もし、偶然に、当該団体のセキュリティの甘さを見つけてしまった場合は、当該団体には、
「一切の連絡をせず」
米国や中国のハッカーサークルにこの種の情報を開示して、そのシステムを、
「海外からのアクセスによって」、
「ガタガタにして」
もらいましょう。
そうしないと、あなたの身があぶないし、当該団体も反省を一切しないと思いますから。
これを、
「正しい選択」
と言います。
以上。
Re:これからはこうしましょうね (スコア:1)
NEC東芝スペースって名の通りNECと東芝の協業なのですが、NECに絞った情報ってどこで手に入れたのでしょうか?非常に興味があります。
#しかしNECも必死ですね。宇宙では東芝と組み、次世代携帯では松下と組み [nec.co.jp]、ディスプレイでは三菱と組み [nmv.co.jp]となりふり構っていられないようですね。
「お役所仕事」 (スコア:2, すばらしい洞察)
日本はまだまだ情報開示の後進国ということだね。宇宙開発にお金を使うくらいだったら、雇用対策とか、役所の近代化にお金を使って欲しいもんだと思うがな。もうそろそろ、見栄なんか張れなくなっちゃうんだからさ。日本という国は。宇宙開発するカネはあるのに、年間3万人という「働き盛りの自殺者」をかかえる国が日本じゃないか。これは先進国中でダントツよ。まぁ、ロケット作っちゃいけない、とは言わないけどさ、他にもっとお金を使うべきところがあると思うんだがな。で、そのカネを使った結果がこれじゃね。税金だよ。こちとらの少ない給料から、強引にむしりとっていった。東芝とか三菱は、いくら官との癒着が強いとはいえ、民間企業だから、まだいいわな。完全100%税金で賄う「事業団」は、こういうご時世だからこそ、こんなことは許されないし、それを民間企業のせいにして、自分たちはその民間企業を罰しました、ということで一件落着させよう、なんて、甘い甘い。マスコミはじめ、ミニコミやネットで市井の民間人が見てるよ。なにも言わないかもしれないけど、じっと、じっと、見てるよ。それがどこで爆発するか、楽しみに待ってるんだね。せいぜいな。情報を手にした昔の日本人と、今の日本人じゃメンタリティが変わってきてることも忘れないで欲しいな。もうすぐ徳政令も出るらしい、と言うじゃないか。こういうお役所がいつまで生き残れるか、とくと拝見してやろうじゃないかね。
目立つだけ (スコア:2)
そこまで悪者扱いしなくても。
少なくともNASDAは何をやっているかははっきりしてる訳で、やってることも良く判らん特殊法人なんてのはごまんとあると思うんだが。
そのやってることが何せ派手なので、NASDAは善きにつけ悪しきにつけ目立ちやすい、ってのは間違いなくあると思う。レポーターに追い回される芸能人や著名人のようなものですな。
だからこそ身辺は常にクリーンに保たなければいけないんだが…今回の一件はちとお粗末、というのが正直な感想。
Re:「お役所仕事」 (スコア:2, すばらしい洞察)
ヨーロッパやNASAと比較して一ケタから二ケタ(!)低い予算で [geocities.co.jp]頑張って衛星を上げて全国の需要にこたえているNASDAの予算は低すぎると思えはしても決して高くはないと思いますよ?
もちろん厳しい目で見つめるのは必要だけどね。
Re:「お役所仕事」 (スコア:3, 参考になる)
気象衛星ひまわりは周辺諸国の気象観測と気象情報発信の役目を負っていますし、放送衛星ゆりも日本に割り当てられたトランスポンダの数は搭載量の半分だけだったと思います。またひまわりの後継となる予定の運輸多目的衛星では、気象に関するものに加え、日本周辺地域の国内・国際航空管制の一部を担当することになっています。これらは日本の予算で打ち上げられていると思いますが。
#違いましたでしょうか?間違っていれば指摘願う。
masamic
Re:「お役所仕事」 (スコア:1)
Re:「お役所仕事」 (スコア:1)
人工衛星は将来的に大きなビジネスですよ。りっぱな経済的合理性です。
Re:「お役所仕事」 (スコア:1)
きちんと「情報開示」してますよ。 (スコア:1)
たとえば,こんなの [nasda.go.jp]も出しています。いいことだけ開示しているわけではありません。今回の件についても真面目に情報開示した結果でしょう。文部省の指導については,また別な意図があるような気はしますが。
斜点是不是先進的先端的鉄道部長的…有信心
卑しい国民だ。 (スコア:1)
「勝者のアラさがしで庶民の嫉妬心をやわらげ、
敗者の弱点をついて大衆にささやかな優越感を与える。」
「これが日本人の快感原則に一番合うんだな。」
…なんて、セリフもどっかにありましたね。
セリフの方は、
「だから独裁者も革命かも出現しないんだよ。いい国じゃないか全く。」
なんて、続いてましたが…
NASDAの職員の目の前で宣言してやってみせれば… (スコア:1)
masamic
Re:NASDAの職員の目の前で宣言してやってみせれば… (スコア:1)
現行犯逮捕されたりして。(w;
しかし、セキュリティを破っておいて警告するってのは、海外のニュースだと時々耳にするニュースなんですが、今回の場合は相手が悪かったのでしょう。
本来、その程度で破られるようなセキュリティ(今回の場合安易なパスワード)だったってのが恥ずかしくて公にしたくないのでしょうが、*ミセシメ*に訴えておけば心理的なセキュリティ強化に繋がるとでも思ったのかな。
# 人生のキャリーオーバー継続中
とばっちりは,事業団も。 (スコア:1)
その記事 [yomiuri.co.jp]によれば,「文部科学省は、機密情報が漏れたことを重大視し、情報管理徹底の指導に乗り出している」とのことなんで,これから事業団もふんだりけったりになることでしょう。
また,各紙によれば,
事業団は「パスワードは事業団側が割り当てたが、割り当て方法に問題があったかもしれない。今後、情報管理を徹底する。しかし、不正アクセスには違いなく、厳正に対処した」(NIKKEI NET)
そして,システム社の社員は「自分のパスワードの一部を少し変えただけでアクセスできた」(読売新聞)
とのことなので,パスワードが思いっきり適当だったのは確実。
>NASDAの職員の目の前で宣言してやってみせれば…
ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。
斜点是不是先進的先端的鉄道部長的…有信心
Re:とばっちりは,事業団も。 (スコア:2, 参考になる)
おお、こりゃ分かりやすい。読売はそのうち消えてしまうので一部引用: というわけで、組織的犯行ですね。これはむしろ刑事告発したほうが良さそう。
Re:とばっちりは,事業団も。 (スコア:2, 参考になる)
# 某イスラ工儿にはこういう前科 [3web.ne.jp]もありますし
Re:とばっちりは,事業団も。 (スコア:1)
不正アクセスをさせやすいようにしていたのかも。
んで気に食わない奴がハクったら晒し者にすると。
このサーバのlogが読みたいですな。
Re:とばっちりは,事業団も。 (スコア:2, 参考になる)
自分の身は自分で守ろう!という事で、他人の心配はしてはいけないんだね。
「実害はない」ってとこが、脆弱性の指摘が目的であって、機密情報の不正 入手が目的ではなかったと思うのですが、私人が良すぎますか?
Re:とばっちりは,事業団も。 (スコア:1)
いや、おっしゃる通りと思います。
少なくとも、「まさかこんなアマイパスワードにしてねーだろな」と思ってやってみたら入れたので、びっくりして親切心で報告してあげたとかね。
こうなってくると、たとえばクロスサイトスクリプティングあたりでも指摘したら訴えられたりして、そうなると、方法は
1.危険の喚起と注意のために、匿名で晒す
2.放置する
のどちらかしかなくなってしまう。
ネットのセキュリティを、家のカギや金庫と同じ認識で考えるのは変な話ですよね。
一般に利用される空港や銀行のセキュリティと同じように考えるべきでしょう。それなら「試してみたら密入国できた」となると、仮に密入国できた人間が処罰されるにしても、その空港のセキュリティの甘さは大いに非難されるし。
Re:とばっちりは,事業団も。 (スコア:1)
まったく別の団体の別のサイトですが、 cross site scripting vulnerability があるよ、と指摘した相手から音沙汰がないのは、ひょっとして訴訟の準備をしているからとか……? そんなぁ。 (T_T)
鵜呑みにしてみる?
Re:とばっちりは,事業団も。 (スコア:1)
Re:とばっちりは,事業団も。 (スコア:1)
>ルーズなところほど指摘されると逆ギレするパターンもあるし。どうだろ。
ここはやんわりと、NASDAの上級職員に端末の前に座っていただいて、この割り当てられたユーザー名に数字のxxxを加えたもの(たとえば)をパスワードのところに入れてみて、とかやれば、自分の手を汚さなかったのに!
Re:とばっちりは,事業団も。 (スコア:1)
>し変えただけでアクセスできた」(読売新聞)
いやだいやだ……
この社員がもらったパスワード、"eisei_n"だったりしたら
いやだなあ。で、勝手に変えるなとか言われたり……
IN EARTH AND SKIE AND SEA STRANGE THYNGES THER BE.
Re:とばっちりは,事業団も。 (スコア:1, すばらしい洞察)
> 今後、情報管理を徹底する。しかし、不正アクセスには違いなく、厳正に対処した」(NIKKEI NET)
つーかパスワードって割り当てられるものなんですな。
で、割り当て方法に問題があるようなパスワードの割り振りしてるんですか。
訴える云々は別にして、ポリシーからしてぬるすぎるのでは。
# よかった NASDA 行かなくて(謎)
三菱電機はどっちを訴えるべきか (スコア:1, 興味深い)
管理者責任を問うべきでしょうねぇ、やっぱり。でも、そうすると、お仕事もらえないし...
Re:三菱電機はどっちを訴えるべきか (スコア:3, 興味深い)
訴えるのはNASDAをでしょう。
NEC東芝システムだってNASDAを訴える権利持ってると思います。
気づいたNEC東芝システムの社員も、自分たちの機密情報も第三者が容易に 閲覧できる危険な状態にあったのを指摘して、何とかしてもらおう とおもったのだと思います。なのに、まさか懲罰されるとは 夢にも思わなかったんでしょう。
逆にいえば、三菱電機の社員も容易に東芝NEC側のパスワードを 容易に推測できた可能性は否定できないため、黙ってただけで、もしかしたら…。
Re:三菱電機はどっちを訴えるべきか (スコア:1)
結びつきが強いと、八つ当たりするほか無いと言う事だったりするのかもしれない。
NECって立場的にどうなんでしょうね。
Re:三菱電機はどっちを訴えるべきか (スコア:1)
NEC東芝の従業員個人に対して損害賠償or刑事告発するならまだしも、会社側は使用者責任を問われてるわけですから
物事にはやりすぎと言うことがあるのだが (スコア:1)
李 露星
Re:物事にはやりすぎと言うことがあるのだが (スコア:1)
たとえば肝心のいいかげんなパスワードを発行した人間は、なんらかの処分を受けたのかとか、ね。
両成敗ならまだしも、一方的な処分だったとしたら、ただの腹いせとしか思えんぞ。
Re:物事にはやりすぎと言うことがあるのだが (スコア:1)
>なんらかの処分を受けたのかとか、ね。
あと,いい加減なパスワードをもらって変更しなかったユーザに
注意をするのも必要.(本当は,処分まで必要かも)
おいらなら… (スコア:1)
わざわざお役所の逆鱗に触れなくてもねぇ…お気の毒さま。
責任を問われても仕方ない (スコア:1, すばらしい洞察)
セキュリティアナリストとして知られる古川泰弘さんでさえそれでSRAを首になったというし。
Re:責任を問われても仕方ない (スコア:1)
不正アクセスという観点からは、就業時間中でなくても、
会社の資源を使っている限りでは、まずいことに変わりはないでしょう。
自宅からすればよいというものでもないですが。
masamic
Re:責任を問われても仕方ない (スコア:1)
1.会社で、上司に文書で確認を取り「脆弱性のレポート」として直接NASDAに連絡をとる。
2.自宅でこっそり「善意のハッカー」として侵入、記念写真を撮ってNASDAにこっそり送りつける。
1も2もダメ?うーむ。じゃあマスコミに証拠を送り付けるか(マスコミにわかる人間がいないとダメ)、所轄官庁にタレ込む(こっちのほうが望み薄)……
どうすればよかったか (スコア:1)
2つの問題かな? (スコア:1)
1.事業団が不正侵入されたということ。
2.その原因の1つに「不正侵入されやすい甘いセキュリティ」がある。ということ。
3.民間企業職員が事業団の許可なく侵入行為を働いたということ。
4.不正侵入をした民間企業職員がその情報を他に漏らしたということ。
5.以上「1~4」までの問題を事業団が解決するとき、民間企業のみにその責を負わせようとしているように「見える」ようなやりかたをしたこと。
ということになりますな。
特にここでは「5.」が問題になっているけれど、どれ1つをとっても、問題が残るやりかたでの解決が図られているのではないか、という疑念を抱かせますね。上記の問題をきちんと分類/分析し、自分たちで「この問題はこう解決しました」という「情報開示」が不完全なうちにマスコミに出してしまうから、こういうたたかれ方をするんじゃないですかね。
最近の企業も官庁も、こういった「事後の処置」みたいなことがまるで冷静/慎重にできていない、としか思えないね。みんなガッコの成績のいい優秀なおぼっちゃまおじょーちゃまだったんでしょーにねぇ。状況の把握や判断、常識、という面から見ても、点数をつけるとすると100点満点で10点くらいのことしかできていないよね。
「今日も昨日と同じ」ことに慣れてしまうと、人間、ここまで堕落するものかなぁ。なんか悲しいなぁ。
Re:どうせなら (スコア:1)
だったら、自分のパスワードを変えるがよろし。
# それができないシステムって一体...。