パスワードを忘れた? アカウント作成
3459 story

総務省が全国市町村の使用OSバージョンリストを配布 118

ストーリー by Oliver
いらぬお世話か的確な指示か 部門より

sato_rue 曰く、 "asahi.com伝えたところによると、総務省が全国の市町村が設置しているサーバのIPアドレス及びOSのバージョン情報を、各市町村に配布したらしい。そのバージョン情報等は、匿名の電子メールで送付されてきたものだとか。
「自分たちのバージョン情報などを他の市町村に知られてしまった形で、安全対策上好ましくない」として抗議した市町村の姿勢に疑問を感じる。同記事内で総務省の担当役人が「この程度の情報は、ネット上で不正をしようとする者なら容易に集められる」と言っている通りだと思うのだが
(追記:この記事にもツッコミを入れたくなる点が多々ある。「IPアドレスは不正に接続しようとする者には必要」、記事から考えるとウェブサーバのIPアドレスであると思われる「自治体のIPアドレス」など)"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Net Securityの記事 (スコア:4, 参考になる)

    by otk (8452) on 2002年07月23日 0時30分 (#131041) ホームページ 日記
    最新のセキュリティ情報などを掲載しているサイト、Net Security [netsecurity.ne.jp]の記事をたどると、

    ○Scalperワーム 企業WEBの10%、自治体WEBの13% =1万件以上に影響の可能性(2002.6.30) [netsecurity.ne.jp]
    ○Scalper ワームに感染する可能性のある自治体、行政府のサーバ 157件(2002.7.8) [netsecurity.ne.jp]
    ○SCAN Security Alert 2K2-004 自治体サーバ実態調査結果から見る危険性(2002.7.8) [netsecurity.ne.jp]
    ○三重県をはじめとしてセキュリティ対応遅れる自治体ドメイン(2002.7.15) [netsecurity.ne.jp]
    …などなど出てきます。

    これらの記事によると、運営元は自治体・行政府のサーバ状況について、数ヶ月前から幾度も総務省に警告(通知)を行っているようです。スレッド元記事の7/8-9あたりにも、警告を送ったとの事。もしかしたら関連があるのかも…(憶測ですが)。
  • 参考までに (スコア:3, 参考になる)

    by Anonymous Coward on 2002年07月22日 17時57分 (#130749)
    Linuxベースサイトの改竄被害急増 [srad.jp]の中で,すでに 軽く話題 になって [srad.jp]いますので,そちらも参照してください.
  • by jbeef (1278) on 2002年07月22日 17時28分 (#130722) 日記
    総務省が市町村に電子メールで連絡をしたこと自体、不用心ですねえ。

    これで市町村は、総務省を名乗る電子メールには、疑いなく指示に従ってしまう癖が付いたでしょうね。たとえそれがニセモノで、トロイの木馬ActiveXコントロールを埋め込む罠のサイトへのアクセスを指示するものであっても。

    将来的には、LGPKI [lgpki.jp] と GPKI [gpki.go.jp] の相互認証で、総務省担当者の電子署名付きのメールで連絡を取るようにするのでしょうか。その場合でも、「署名のないメールは信じないように」という運用の徹底が必須ですが、そういうことちゃんと考えてるかなあ。

  • by Anonymous Coward on 2002年07月22日 17時39分 (#130731)
    もともと、IPアドレスとサーバーバージョンが知られたら困ると考えている事が可笑しい。大笑いです。

    # 間違ったセキュリティー対策情報が質の低いSI/SEから発信されている!?

    ネットワークセキュリティーの基礎用語のポートスキャンとかフィンガープリンティングとかをお勉強してもらわないと。勉強する気がないのなら信頼のおけるSIに任せるベキ。

    # もともと知識がないので信頼できるSIを見極める事も難しいようだが
    # 困ったもんだ....
    • ペネトレーション(模擬侵入)テストによる検査をお望みのお客様から
      「え、IPアドレスや内部ネットの構成や状況をお教えするんですか?
      現実のクラッカーと同じ立場でお願いしたいのですが」
      と言われたので、

      「別にそれでも構いませんが、
      現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」

      と言ったコトあります。

      Yes だったら、ホントに RootKit 仕込むつもりでいました :-)
      --
      みんつ
      親コメント
      • > 別にそれでも構いませんが、

        って内部構成を聞かなければ侵入テストできないんですか?
        そんなプロに料金払いたくないなぁ。

        「手がかりなしで侵入テストできるか」と「侵入してホントに悪さをする」というのは別の問題ですよ。

        今回のように(IPアドレスだけではどうかと思いますけど)全く手がかりがないよりは、あったほうが断然クラックし易いと思いますが?
        親コメント
        • あらら、いっぱいコメントがついてる (^^; 投稿主です。

          ペネトレの意義ってやっぱり勘違いされているんだなあ、と改めて思います。

          「侵入」が目的ではなくて、「侵入可能性の探」が目的であり、かつ、短時間に網羅的にやる必要がありますので、
          当然、事前情報は可能な限り収集します。

          フロントエンドのWWWサーバのクラックに成功するかしないか程度でテストが終了するなら、情報ナシでもいいかも
          しれませんが、そういうわけではないですからね。(そういう「厨」なコンサル屋も良くいますが)

          #クラッキングコンテストやってるんじゃないんですから。
          --
          みんつ
          親コメント
        • >> 別にそれでも構いませんが、

          から

          > って内部構成を聞かなければ侵入テストできないんですか?

          にどうやって話を繋げたかは謎ですねぇ。
          構わないんだから内部構成を聞かなくても
          侵入できるんじゃないんですかねぇ。
          --
          俯瞰しよう。何事も俯瞰しなくちゃ駄目だ。
          親コメント
      • >現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?

        ま、まさか盗聴していていいわけないですよ。
        それは、
        内部構成を教えるか教えないかと、
        盗聴しつづけていいかどうかは無関係だからですよ。
        まさか事前情報無しのときは悪事放題という会社ではありますまいな。

        まず事前情報無しでテストして、
        その結果を受けた後、更に情報アリでテストするってことはできないものでしょうか。

        っつーか顧客側からはそのように願いたいものですが。
        親コメント
        • > ま、まさか盗聴していていいわけないですよ。

          そうですか?テスト環境にもよりますし、実際にやるかどうかはともかく、ですが、

          本来であれば、ペネトレをやる以上は、盗聴や辞書攻撃してでも「クラックされる可能性があるか」を
          探索するのは、目的からして当然のコトだと考えますが、いかがでしょうか。

          盗聴やクラックを継続して行ったり、システムに影響を与えそうな場合には、顧客には通知しますよ、もちろん。
          また、その担保にNDA契約等を締結しますよね。勝手放題するわけぢゃあないです。

          > 内部構成を教えるか教えないかと、
          > 盗聴しつづけていいかどうかは無関係だからですよ。

          盗聴によって直接パスワードなどのクラックをするのでなくても、アドレス情報、ルーティング状況、ファイアウォール・ルータやIDS等の設置状況、
          などなど、内部構成につながる情報は、盗聴(言葉が悪ければモニタリング)により、たくさん手に入るのではないでしょうか。
          とてもじゃないが「無関係」とは思えません。
          --
          みんつ
          親コメント
          • はなしが通じてないっぽいですな。

            >「え、IPアドレスや内部ネットの構成や状況をお教えするんですか?
            >現実のクラッカーと同じ立場でお願いしたいのですが」
            >と言われたので、

            >「別にそれでも構いませんが、
            >現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
            というやり取りから、
            >盗聴やクラックを継続して行ったり、システムに影響を与えそうな場合には、顧客には通知しますよ、もちろん。
            >勝手放題するわけぢゃあないです。
            というニュアンスを感じ取ることができませんでした。
            申し訳ない。
            もしわたくしが客の立場で
            >「別にそれでも構いませんが、
            >現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
            と言われたら、
            そのように言ってくる人に仕事は依頼しないですし。
            >Yes だったら、ホントに RootKit 仕込むつもりでいました :-)
            ってねぇ。

            >盗聴や辞書攻撃してでも「クラックされる可能性があるか」を探索する
            ような人が
            >侵入したまま半年間盗聴していてもいいですか?
            なんて言いますかねぇ。
            少なくともわたくしには意味が通じないですけど。

            オフトピで掘り下げるのも申し訳ないので、
            これにて失礼させていただきます。
            親コメント
    • by Anonymous Coward on 2002年07月22日 18時16分 (#130775)
      セキュリティー対策として、サーバーバージョン(OSやサービスプログラム等)を知られないようにするのは、crackerに極力情報を採取されないようにするために必要な対策だと思います。

      また、IPアドレス自体はping等のコマンドで存在がわかるとしても、それだけでは自治体で使用しているかどうかわからないので黙っていれば攻撃対象になる確率を減らすことができます。

      ですから、今回のように不用意にIPアドレス等の情報をメールで送ったことが問題だと考える人を笑うのはどうかと思います。

      親コメント
      • また、IPアドレス自体はping等のコマンドで存在がわかるとしても、それだけでは自治体で使用しているかどうかわからないので黙っていれば攻撃対象になる確率を減らすことができます。

        ん? この場合の IP Address てただ単に Web Server のでしょう? そんなもの誰でも簡単に調べられるのだから,IP Address を隠したとして何の利益があるの?

        セキュリティー対策として、サーバーバージョン(OSやサービスプログラム等)を知られないようにするのは、crackerに極力情報を採取されないようにするために必要な対策だと思います。

        必要なのかもしれないけど十分ではないよね。いくら隠したつもりでもバレてしまえば一巻の終わりだし,既知のホールなら順に試せばいいことだし。

        親コメント
      • Yahoo!かなんかでアドレスを調べられるし、そもそもどこぞの役所を狙うならアドレス(www.****.****.jp等)で攻撃すると思うのですが。というより、私がクラッカーなら、そうします。(^_^;)
         それと最近の攻撃は絨毯爆撃状態なので、IPアドレスを隠していても攻撃対象になりますし。私の地域ではCATVではDHCPをIPアドレスを割り当てられてますが、FreeBSDマシンをつないでログを試しにとってみたら、ポートスキャンとか不正侵入の跡がありました(それも外国から・・.相手が利用した学校までは突き止めました)。
         サーバやサービスはともかくIPアドレスは全くの公開情報だと思いますね。もしIPアドレスを非公開だと言い張るなら、検索サービスやDNSからアドレス情報全部消してしまわないと意味無いです。
         と、暗黙のうちにWWWサーバのグローバル・アドレスだと仮定して書いてましたが、重要なサーバにグローバルIPアドレス(それも連番で(^_^;))を割り振って運用してました、なんていう自治体が四つあったのかしら。
        親コメント
    • コメントに対するコメントですが、
      # もともと知識がないので信頼できるSIを見極める事も難しいようだが
      # 困ったもんだ.... 何かあったときに責任を取ってくれるSIに委託すればOKでしょ。
      親コメント
  •  某地方自治体の職員の身でこんな事を云うのも何だが、地方自治体が立てている独自サーバのセキュリティなぞ、ものの数分でクラック出来ると思われます。というか、自治体(&首長)個々の認識によって、各自治体毎に相当の温度差があると思われ。

     セキュリティーとか何とか、こーいった面倒な事はサーバ設置業者におまかせー、ってところが多いと思います。で、自治体内の担当職員には高い専門的知識が必要なのだ、という認識は(多分)されていないのだろうなぁ。な訳だから、当然担当職員は他職員同様1、2年で異動もあり、という感じ(再度云うけどこの事も、自治体(&首長)個々の認識によって、各自治体に相当の温度差があると思われるので、全部が全部とは云いませんが)。

     で、怒ってだか焦ってだか抗議した4自治体なんですが、生半可に知識があったんでしょうなぁ(特に首長や管理職やらに。あたしもニュース記事見て一瞬“そりゃまずかろうばらされちゃ”って思ったもん。でもそれはここだけの秘密ね♪)。
     でもって、抗議しなかったほとんどの自治体の多くは「おいおい、総務庁からこんな事言ってきたけど、うちはどうなんだ? 難しい事はいいから結論だけ云え」って訳で、設置業者に問い合わせたり何だりと処理に追われて(IPアドレスが外部からわかっても問題なし、という考えまで至らずに、従って)抗議するって発想にさえ至らなかったと思われます(ようするに生半可な知識もない、という感じですか)。

     住基の方はどうだったか無知なんですが、ばんばんマクロファイル付きエクセルファイルとか添付したメール出したり届いたり、たまーにワクチンなしのウィルスメールをアウトルックエキスプローラ(あれだけ問題になってるのに、せめて他のメーラーを使おうという発想がないみたい)で吸い取ってあたふたしてる様を横目で見てると、ま、どこもセキュリティ意識は限り無く薄いだろうな、と……どうでしょうかね?

     しかしこの匿名メールの発信者の方は、こういう騒ぎが起こる事を想定して(というか騒ぎを起こしたくて)送ったのかもしれません。今頃ここの書き込み見てほくそ笑んでたりして。うーん、知恵者。
    --

    >>after all, it is most fortunate...
    >>to read a book in a bed one person...hirofmix
  • 市町村抗争? (スコア:2, おもしろおかしい)

    by sakamoto (8009) on 2002年07月23日 15時45分 (#131523) 日記
    タレコミを見ると、OS や IP アドレスが知れ渡ったのが 他の市町村だから危ないとかあるんですけど、 自治体同士って日や情報戦争を行っているんでしょうか? 他の市町村すら信用できないという緊張感はむしろ重要で、 海外大使館で現地のスパイ女性と交際してしまうようなお役人に 聞かせてあげたい話です。

    さらに深読みをすると、抗議をした市町村は既に OS のバージョンと IP アドレスさえ知っていれば他の市町村を攻撃できる スキルを持っていると言うことになるのでしょうか?
    # つうかそれだけスキルがあってなぜアドレスがわからない!!

    --
    -- 哀れな日本人専用(sorry Japanese only) --
  • by brake-handle (5065) on 2002年07月22日 17時22分 (#130716)

    真っ当な目的で、計算機のOSなどを調べているところ [netcraft.com]ってちゃんとあると思っていたんですけどねぇ...

    まぁ、似たような人にあった時、googleを知らなかったという事実が発覚したので驚いてはいけないのかも。

    • Re:別に不正でなくても (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2002年07月22日 17時34分 (#130725)
      こういうことに遭遇したとき連中には想像力というものがないのでこういう行為を禁止しようとするんだな。
      ネズミ並みの脳みそしかないからしょうがないか
      とあきらめてはいけない。
      ネズミなぞに牛耳らせないようきちんと駆除するべし。
      親コメント
      • まあ、抗議を行ったDQNな自治体は千数百市町村中で4つ以下なので、それはまだ救いなんでしょう。

        #ぜひそこがどこなのか知りたかったり。
        親コメント
    • netcraft [netcraft.com]でmetro.tokyo.jpとかpref.chiba.jpとかで検索するといろいろ出てくるんですね。
      いまはwww.pref.chiba.jpとかは大丈夫そうだけど、それ以外はどうなんでしょうか。
      親コメント
  • 文句を言っているひまがあったらパッチなりVerUPナリしなさいっ!
    • by doctor_d (4392) on 2002年07月22日 18時00分 (#130753) ホームページ
      各自治体の担当者が「お前は対策をしていなかったのか!」と
      詰められるのが嫌で、文句を言っているとみた。

      いや、真面目に、「お宅の鍵は不用心ですよー」と言われて文句がある
      というのは変な話だ。
      親コメント
  • 引き金 (スコア:1, すばらしい洞察)

    by LightSpeed-J (4514) on 2002年07月22日 17時55分 (#130746) ホームページ
    リスクの引き金を引くような情報は「広く配布しない方が好ましい」ことには疑問の余地はないような気はするのだが、何ゆえ自治体側を叩くのだ?
    --
    -- LightSpeed-J
    • by K_O_ (7268) on 2002年07月22日 22時07分 (#130922)
      政府に依れば「役人は悪事をたらかない」ので、総務省の行動は完全に理にかなっています。:)

      抗議した人々はきっと、「自分だったらこのような情報を元に攻撃を仕掛ける」と考えてそれを恐れたのでしょう。:)

      (以下真面目モード)

      配布によるメリットとしては晒しあげによる一種の脅迫効果により早急な改善が期待できる。

      デメリットとしては弱い自治体がクラックの対象となる.

      ちょっとメリットデメリットを比較してみましょう。

      例えば私の管理しているac.jpなマシンには日に数回は世界の裏側からftpアクセスの試みが有ります。おそらく自治体のマシンも似たような頻度でプローブを受けている事でしょう。仮に、脆弱なマシンにこのようなプローブが行なわれたとし、その結果暴露された脆弱性が実際のクラックに繋がる確率を「プローブ即クラック確率」としましょう。とすると、脆弱なマシンの一日当たりの被クラック確率はプローブ即クラック確率*数回と見積もれます。

      第二に、問題のリストを受けとった全国数千の自治体の役人一人一人について、リストより判明する脆弱性情報を用いてクラックを行なう確率を「役人悪事働く確率」とすると、今回の晒しあげに由来する脆弱マシンの被クラック確率は役人悪事働く確率*数千となります。

      つまり、
      メリット: 脆弱なマシンがクラックされなくなる確率=改善脅迫効果による脆弱なマシン存続時間の短縮*時間当たり被クラック確率=短縮日数*プローブ即クラック確率*数回
      デメリット:脆弱なマシンがクラックされる確率=役人悪事働く確率*数千

      未知数は多いですが、私の感覚的にはメリットの方が大きいかな....
      (未知数を明らかにするコメント求む)
      親コメント
    • by skamio (5870) on 2002年07月22日 18時05分 (#130760)
      >「広く配布しない方が好ましい」ことには疑問の余地はない
      御意。

      この記事見た瞬間、総務省が全国市町村の使用OSバージョンリストをWebで一般向けに配布したのかと思ってしまった。そんなわけないわな。でも、そんなことした日にゃ...
      親コメント
    • そんなの 地方公共団体へのリンク [nippon-net.ne.jp]と netcraft [netcraft.com] を知っていさえすれば、 別にNet Security [netsecurity.ne.jp] の所でなくても、誰だって、ものの数時間で出来ますね。 抗議したという一部市町村は、「黙っていれば分かりはしないのに」と思う程にレベルが低いのかな。 (まあ、分かっていないのは一部市町村の担当者と上の方だけだが) 侵入されて書き換えでもされないと「教訓」を得られないというのであれば、情けない限りですね。

      でも結構、総務省も住基ネットでセキュリティー周りで叩かれているから、 報復に公開したのかもね。

      親コメント
    • by imo (5135) on 2002年07月22日 19時37分 (#130830)
      広く配布してないから。
      前提からして、既にケースバイケースだと思いますがね。
      親コメント
  • 結局は、セキュリティホールを見つけた場合の対策と同じで

    1.広く知らしめる
     知っている人だけが突ける穴も公開されてしまう
     攻撃の頻度は上がる
     善意の第三者が穴を指摘してくれる可能性も上がる

    2.秘密にしておく
     知ってる(分かる)人しか攻撃しないかも(希望的)
     攻撃の頻度は落ちる
     管理者は自分でセキュリティ情報をフォローしなくては
     ならなくなる

    何より大切なのは・・・・
    これも件の場合と同じように「自分でちゃんと管理すること」じゃなかろかねぇ。

    文句を言ってる連中はそれを棚に上げて発言してる奴等がほとんどやろうなぁ。
    # 中には隣町のことを心配して言ってやってる人もいるかもしれんけど
  • が、全国自治体でシステムを運用しているって認識していいのかな?

    誰が悪いか、どう悪いかはおいておいて。

    まだ、情報を送る側も受け取る側もこういった事例にまったく慣れていないいわいる「セキュリティ的に成熟してない人たち」が、たとえば住基ネットのような重要な情報を扱うのかと思うと不安を覚えます。
    きっと自治体間の連携はMailやFAXで、*場当たり的*に対応されるがままなんでしょう。

    まずはそういった連携等の仕組みを作るのが重要だとおもうんですけどねぇ・・。

    #新しいもの作る前にまずは足元かためろってことですな。
  • インターネットで使えるURLを公開しているのならIPアドレスは公開されているのと同じことで、あとはウェブサーバがOSバージョンを返すようになっているかどうかだけの問題なんだがなあ。

    * 調査方法の例

    $ host slashdot.jp
    slashdot.jp. has address 61.215.208.13
    $ wget -S --spider http://srad.jp/ 2>&1 | grep Server
    3 Server: Apache/1.3.26 (Unix) Debian GNU/Linux mod_gzip/1.3.19.1a mod_perl/1.26
    $

    # もっと簡単な方法あるかも。
    --
    (´д`;)
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...