パスワードを忘れた? アカウント作成
3516 story

住基ネットのクラックテスト - その効果はかなり疑問 142

ストーリー by Oliver
Enemy-of-the-State 部門より

ryosuke曰く、"来月の実施開始にせまった住基ネットですが、私もmemo MLで知ったのですが外部からのクラックテストを行なうそうです。[memo:4668] 住基ネットのクラックテスト
本当にやっているのかも問題になると思われますが、実際 /.-j のreaderで誰か総務省に依頼されてやっているのでしょうか。ってここで聞くのはまちがい?"

また、xzr 曰く、 "既に何度も話題になっている住基ネットですが、毎日インタラクティブによると、ウイルス対策の為のソフトやワクチンのアップデートは2週間に1回しか行われない模様。
Nimda 騒ぎのときには日本中の企業があれだけ大きな騒ぎになり、影響と大損害を受けまくったのにも関わらず、地方自治情報センターのシステム担当部長の弁は「住基ネットはインターネットとは異なり、閉じたネットワークで、毎日の更新は必要はない。影響が出そうなウイルスが出た場合は必要に応じて更新する」とかなりお寒いお返事。こんなところには重要な情報は任せたくないなぁ... 。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by fagen2 (10623) on 2002年07月31日 17時46分 (#136694)
    そもそも外からクラックできる構造ってのが問題のような。
    そうでなくても運用する役所とか実際に使う人間とかから 情報ダダモレになりそうなのにね。

    たとえば・・・こんな話が絶対起きますよ。

    今度家族で結婚する子がいるんだけど、結婚相手の素性を 確認したいから、市役所の**さんにちょっと包んでお願い しましょう・・・

    ぞっとしますよ。

  • by k3c (4386) on 2002年07月31日 18時01分 (#136705) ホームページ 日記
    毎日新聞記事 [mainichi.co.jp]によれば、山形県の朝日町、余目町、八幡町、平田町、三川町などは、11桁の住民票コードを町内会長さんが各家庭に配って歩くらしいです…。「郵送経費が節減でき、効率もいい。不在なら町内会長が持ち帰るので、放置されることはない」のだそうで。

    …って、そういう問題じゃないでしょ!(呆)世話好きの町内会長さんが住民票コードの控えを取らないと、誰が保証できるのでしょうか。また、町内会長さんがさらに誰かに頼んで、いつのまにやら行方不明に…なんてことにならないと、誰が保証できるのでしょうか。

    郵送なら、封印して書留で送れば、今までの実績もあり、経路での漏洩は起こりにくいはず。プライバシーに関わる情報の扱いにはそういう配慮こそが必要。経費とか効率とかは住基ネットそのもので十分です。
    # 住基ネットが効率的で経費削減に役立つかどうかは不勉強にして存じ上げません。
    • by iida60 (9868) on 2002年07月31日 23時19分 (#136905)
      >不在なら町内会長が持ち帰るので、放置されることはない
      と言われましても...こういう配布方法では、町内会未加入世帯は無視されるのが問題 [nagano.jp]になります.町内会に入っていない人にはどうするつもりなんでしょうか?会長さんちに放置?

       地方自治法では,町内会を行政の一部として解釈することは禁止(260条の2 6項)ですが,この辺の兼ね合いも知りたいところです.
      親コメント
    • by sato4 (4413) on 2002年07月31日 18時15分 (#136721) 日記

      この番号をいかに安全に住民に配布するかは各自治体に責任を 押し付けているわけですが、安全に配布するための予算は特別には 割り当てられていません。
      理想では配達証明郵便なんですが、そんな予算が確保できない自治体も 多いわけです。

      なお、総務省では普通郵便で十分だと言い放っているそうです。
      各家庭のポストから盗まれる恐れがあることは全く気にしないという 程度しかセキュリティを考えていないようです。

      親コメント
  • by sakamoto (8009) on 2002年07月31日 18時04分 (#136709) 日記
    「内閣総理大臣小泉純一郎の秘書ですが、住基ネットが 正常に動いているかどうか確認をしています。××さんの 本籍を調べてもらえないでしょうか?」とか市役所に電話して、 情報を引き出せたらクラック完了ですかね?
    --
    -- 哀れな日本人専用(sorry Japanese only) --
    • by Anonymous Coward on 2002年07月31日 18時30分 (#136735)
      可能性として
      1)ソーシャルエンジニアリングはクラック手段じゃないと思っている
      2)ソーシャルエンジニアリング自体知らない
      3)公務員はそんなものに騙されないという前提
      4)騙されるのが目に見えているので隠蔽する

      #社会的手口、ね。
      親コメント
    • by drums2002 (8283) on 2002年07月31日 18時10分 (#136712)
      いや、やっぱ扱う人間が人間だけに、ソーシャルが一番効きそうってか恐いよ・・・
      それなりに、教育はされてるんだろうけど・・・されてますよね?
      親コメント
      • by isi (4853) on 2002年07月31日 18時23分 (#136727) 日記
        「教育」されているが「故に」ソーシャルが一番効果的なのではないかと。

        わざわざ「テスト」なんていわなくても、「○○代議士の秘書」が「支持者の依頼」でうんぬん、でもってダダ漏れ…… いまでもやってそうだけど、これが全国規模で発生するわけですね。
        親コメント
    • メーカーのSEになる、という方法。
      危ない皆さんがみんなでSEを目指す世の中に。

      A:すいませんーん。住基の端末動かないんですが、
        30分以内にきてくださーい。
      B:了解でーす。
      A:ほら、うごかないでしょ?
        (ちゃんと働けよ)
      B:はい。わかりました。
        (はっはっはー。このばかめ)
        IDとパスワード教えてください。
      A:hogemachi-soumuka/hogehogeだよ。
      B:じゃあ、少し時間がかかりますので、
        ちょっとおまちください。
      A:はーい。じゃあ、別の仕事しますね。
      B:(しこしこと障害対応+データ抽出)
        はーい。完了しました。
        ログをCD-RかFDにもってかえりますね。
      A:はい。お願いね。
        (ばか、ちゃんとはたらけよ。今日は野球中継なんだよー)

      とかね。
      --
      -- LightSpeed-J
      親コメント
    • by zulu (4898) on 2002年07月31日 22時48分 (#136887)

      メディア側も、これをネタにアーティストとかいう人種に TVドラマなり映画なりラップなりを速攻で作らせて 「メッセージ性」とやらを強調すればいいのに。 民衆を扇動するのはお手のものだろうに。

      #Yo!俺の情報書き変えまくり!ヒトの情報も書き変えまくり!Yeah~

      親コメント
    • by kota128 (6016) on 2002年07月31日 23時56分 (#136928)
      もしもし、鈴木だ!XXの関係者の資料全部もってこい!
      なにこの私を知らな(以下略)

      #役所が違う?(w
      親コメント
  • by Anonymous Coward on 2002年07月31日 18時13分 (#136717)
    国民全員で800回、番号変更をする。
  • by black-hole (9124) on 2002年07月31日 20時14分 (#136815) ホームページ 日記
    ちゃんと一般職員とは別の鍵のかかる部屋ですよね?
    外部からのクラックを心配する前に、資格のない人間がコンソールに近づけないようにするのが肝心かと、
    --
    -------- tear straight across --------
  • by m-sugimt (1082) on 2002年07月31日 23時50分 (#136924) ホームページ 日記
    http://www.soumu.go.jp/c-gyousei/daityo/index.html#06
    技術面の個人情報保護措置 ってとこに

    ”技術面では、住民基本台帳ネットワークシステム全体で統一ソフトウェアを導入しており”との一文がありますね。

    複数あるFireWallも一種類のFireWallで統一してるんじゃないよね。

    不審な操作パターンを常時監視するんだね。ログの記録、監査
    するんだねー。あ、IDSも入れてるんだね。

    と思ったら、
    ” 等の措置を、関係機関全てが均質に実施できる体制を整えています。 ”とのおちがあったや :(
    --
    ---moto
  • by k3c (4386) on 2002年08月01日 1時15分 (#136995) ホームページ 日記
    野党が提出した凍結法案は衆議院総務委員会で廃案。
    自民党の衆院議員3名が党に諮った [mainichi.co.jp]住民基本台帳法改正案は党執行部が了承せず。だそうです [mainichi.co.jp]。住基ネット、いよいよ稼動へ向けてファイナルカウントダウンですな。

    上の記事には片山総務大臣と櫻井よしこさんへの短いインタビューが掲載されていますのでご参考まで。片山総務大臣は自信たっぷりの様子。まあ今さら自信ないなんて顔はできないでしょうが。
  • by k3c (4386) on 2002年08月01日 1時23分 (#137003) ホームページ 日記
    タレコミ本文にあったセキュリティmemo MLへの投稿 [ryukoku.ac.jp]に対する、当のラジオ放送の記事原稿を書いたと思しき記者の方からの返答が投稿されています [ryukoku.ac.jp]。件のテストは先週の土日に行われた模様。

    本当に記者本人かどうかは確認する術もありませんが。ご参考まで。
  • by Anonymous Coward on 2002年07月31日 18時21分 (#136724)
     Nimdaやらなんかのとき、それで何人の管理者が大騒ぎしたことか。
     みんな、前から「うちは閉じたネットワークだから」って言ってたのにね。
     同じようなOSで実質統一させてしまった今、ネットワークが切れていても、携帯電話やAirH"のダイアルアップや、自宅でFDに感染したりと、本当に「閉じた」ネットワークってのは無いでしょう。
    #逆にインターネットだって、地球上で閉じたネットワークなんですし。
  • 漏洩の話ばかり出てくるけど、番号偽造の話ってでてきませんね?
    どっちにしても扱う人のモラルに関わってきますが・・・
    --
    天琉陳(Teruching)
    • 恐ろしいことに (スコア:3, 参考になる)

      by naka64 (4590) on 2002年07月31日 20時32分 (#136830) 日記
      チェックデジットの作り方が告示 [pb-mof.go.jp]されとります(平成14年総務省告示第436号)。

         10
      11-(Σ P ×Q を11で除した余)
                n=1 n n
      ただし、10または11のときは0とする。
      P :数字の再会の桁を一桁目とするときのn桁目の数字
        n

      Q :1≦n≦6のときn+1, 7≦n≦10のときn-5
        n
      親コメント
    • by ta98 (10561) on 2002年07月31日 23時33分 (#136916) ホームページ
      「未来世紀ブラジル」だったでしょうか、タイプライター
      に虫が入って名前のスペルが間違って打たれる。犯罪者と
      同じ名前になってしまい、全く違う人が捕まるというシー
      ンがあったような。

      同姓同名で番号が似通ってしまった場合、同じようなこと
      がおきそう。捕まりはしなくとも、年金受給資格がないと
      か、健康保険使えないとか、ある日突然なるの。

      #で、お決まりの「当時の担当者がいないので」になり、
      「役所としては手続き上問題なし」で間違いを修正して
      くれず、裁判所に持ち込んだら判決が出るころには時効
      になってしまうというフルコースか?
      親コメント
  • ハッキングの (スコア:1, 参考になる)

    by Anonymous Coward on 2002年07月31日 19時42分 (#136786)
    8割から9割は、内部の者の犯行な罠。
  • 池田信夫/「ドットコミュニズム」第20回 「監視社会」の神話 [hotwired.co.jp] より
    "…「ひとり世界の例外が住基ネット」というのは、世界のサーバOS市場でウィンドウズのシェアがUNIXの2倍以上あることを知らないのだろうか。

    ・・・もうやめておこう。櫻井氏がコンピュータというものを何も理解していないことは明らかだろう。…"
    「世界のサーバOS市場でウィンドウズのシェアがUNIXの2倍以上」 = 「Windowsは信頼できる」と読ませたいようだ。他には論拠は無い。どんな連載かと思って読んでみれば…。
  • by Anonymous Coward on 2002年07月31日 22時08分 (#136879)
    こういうときは様子を見に行くだけ。なにもしない。で、実際のが始まったときに、本当にクラックしに行く。こんなの常識。
  • by Anonymous Coward on 2002年07月31日 23時11分 (#136900)
    基本的に、情報が流失しても責任を取る者がいないのが問題。 中国流に情報が流失した場合、責任者は役場の前で絞首刑か銃殺にする法律を作れば情報は漏れないでしょう。誰も責任取らないネットワークは無法地帯と同じ。最低限、不便してもいいから情報を公開するなという権利を国民に与えるべきだった。 テストで福田官房長官や片山総務大臣の情報が新聞一面に流出したらまず延期だろうな。群馬県の人、わざと流出させませんか。それともおらが県の次期総理大臣候補だからネットに情報を乗せなかったりして。片山氏はどこの人?
  • 外部からのクラックテストではなく、「内部テスト」なのでは?
    「ただの動作確認」でも可。

    #どこかの会社みたいに「うちのセキュリティを破ってみろ」と
    賞金をかけるぐらいの気合いが欲しい。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...