住基ネットのクラックテスト - その効果はかなり疑問 142
ストーリー by Oliver
Enemy-of-the-State 部門より
Enemy-of-the-State 部門より
ryosuke曰く、"来月の実施開始にせまった住基ネットですが、私もmemo MLで知ったのですが外部からのクラックテストを行なうそうです。[memo:4668] 住基ネットのクラックテスト
本当にやっているのかも問題になると思われますが、実際 /.-j のreaderで誰か総務省に依頼されてやっているのでしょうか。ってここで聞くのはまちがい?"
また、xzr 曰く、 "既に何度も話題になっている住基ネットですが、毎日インタラクティブによると、ウイルス対策の為のソフトやワクチンのアップデートは2週間に1回しか行われない模様。
Nimda 騒ぎのときには日本中の企業があれだけ大きな騒ぎになり、影響と大損害を受けまくったのにも関わらず、地方自治情報センターのシステム担当部長の弁は「住基ネットはインターネットとは異なり、閉じたネットワークで、毎日の更新は必要はない。影響が出そうなウイルスが出た場合は必要に応じて更新する」とかなりお寒いお返事。こんなところには重要な情報は任せたくないなぁ... 。"
そもそも外からクラックできる構造ってのが (スコア:4, すばらしい洞察)
そうでなくても運用する役所とか実際に使う人間とかから 情報ダダモレになりそうなのにね。
たとえば・・・こんな話が絶対起きますよ。
ぞっとしますよ。
Re:そもそも外からクラックできる構造ってのが (スコア:2, 参考になる)
あー、それ、 四日市で実例に近いのが発生 [mainichi.co.jp]していますね。
# 外からクラックできるネットワークは『閉じたネットワーク』って言わないんじゃないっすか? > 担当ぶちょー殿
Re:そもそも外からクラックできる構造ってのが (スコア:2, 興味深い)
とか、あまりに日常化してたんで問題発覚しても誰を訴えればいい
のか分からなくて被疑者不明のまま告訴したりとか。
# そして(どこにもはっきりと書かれてはいないけど)これで済ん
# だ、ああよかった、って思ってそうな当事者の方々とかね。
Re:そもそも外からクラックできる構造ってのが (スコア:2, おもしろおかしい)
公務員本人の住基IDカードにするって良いと思いませんか?
Re:そもそも外からクラックできる構造ってのが (スコア:1, 参考になる)
だから、外からクラックできるネットワークは、「閉じたネットワークでない」とは一概にはいえないと思います。
そういえば、事務手続きなどで、住民コードを使う場合の本人確認の方法は、どうなっているのかな?
Re:そもそも外からクラックできる構造ってのが (スコア:1)
そういえば、今回の騒動で social engineering の問題を扱ったメディアってありましたっけ?
Re:そもそも外からクラックできる構造ってのが (スコア:1)
#136694 の『素性を調べて』うんぬんは、学歴や職歴の話じゃないんですけど。
## 『素姓を調べて』と書いた方がわかったかもよ
Re:そもそも外からクラックできる構造ってのが (スコア:2, 興味深い)
です。あえて言うなら族歴とでも言うんですかね。
はっきり書いちゃうと、例えば同和地区の出身かどうか、とか、そう
いうことです。そういう地区に低利子で融資する制度、なんてのが
あったときに、銀行にそういう地区の居住者の台帳があって、先に
私が書いたことと全く同じようなことが銀行を舞台にして行われた、
という話を聞いたことがあります。
# なんてこと、書くだけでも気が滅入るんですが。
Re:そもそも外からクラックできる構造ってのが (スコア:3, 興味深い)
いやー、一部とは言い切れませんけど。関西なんか、この問題に関しては本当に根が深いので。
そもそも、気にする/しない、って書くと個人の主観だけの問題だと思ってしまいそうですが、
実際は、気にされる/されない、という、自分の力の及ばないところで決定されることが問題
なわけだし。もっときっちり言うならば、これは自己情報管理権の問題なんですよ。
東京の人は普通気にしないけど (スコア:1)
住宅集合地域の最小単位の意味で部落という言葉を使うといろいろ変な反応されてしまうことあるし。(最近じゃあまり使わなくなったけどね)
Re:東京の人は普通気にしないけど (スコア:1)
なされていないので、気にしていないというより
そういう知識すらないということらしいと聞きました。
# 3年前ぐらいにきいたので今は違うのかもしれませんが、
# 関東の大学で人権論をやっていたのは数校程度ということでした。
どちらにしても、今回のネットワークで
新しい差別が生まれないことを願っています。
Re:東京の人は普通気にしないけど (スコア:1)
「アパート」というようです。ちなみに、
木賃とは木造賃貸の略です。
------ nori2
住民票コードの配布方法 (スコア:4, 参考になる)
…って、そういう問題じゃないでしょ!(呆)世話好きの町内会長さんが住民票コードの控えを取らないと、誰が保証できるのでしょうか。また、町内会長さんがさらに誰かに頼んで、いつのまにやら行方不明に…なんてことにならないと、誰が保証できるのでしょうか。
郵送なら、封印して書留で送れば、今までの実績もあり、経路での漏洩は起こりにくいはず。プライバシーに関わる情報の扱いにはそういう配慮こそが必要。経費とか効率とかは住基ネットそのもので十分です。
# 住基ネットが効率的で経費削減に役立つかどうかは不勉強にして存じ上げません。
Re:住民票コードの配布方法 (スコア:3, 興味深い)
と言われましても...こういう配布方法では、町内会未加入世帯は無視されるのが問題 [nagano.jp]になります.町内会に入っていない人にはどうするつもりなんでしょうか?会長さんちに放置?
地方自治法では,町内会を行政の一部として解釈することは禁止(260条の2 6項)ですが,この辺の兼ね合いも知りたいところです.
Re:住民票コードの配布方法 (スコア:2, 参考になる)
この番号をいかに安全に住民に配布するかは各自治体に責任を 押し付けているわけですが、安全に配布するための予算は特別には 割り当てられていません。
理想では配達証明郵便なんですが、そんな予算が確保できない自治体も 多いわけです。
なお、総務省では普通郵便で十分だと言い放っているそうです。
各家庭のポストから盗まれる恐れがあることは全く気にしないという 程度しかセキュリティを考えていないようです。
Re:住民票コードの配布方法 (スコア:1)
これって、何回ぐらい「届いていないんですけど?」と申し出る事ができるのでしょうね。番号の2つ3つ貰えないかなぁ、と密かに期待。
Re:住民票コードの配布方法 (スコア:1)
こんなテストかなぁ (スコア:3, 参考になる)
-- 哀れな日本人専用(sorry Japanese only) --
社会工学ってナンデスカ (スコア:2, すばらしい洞察)
1)ソーシャルエンジニアリングはクラック手段じゃないと思っている
2)ソーシャルエンジニアリング自体知らない
3)公務員はそんなものに騙されないという前提
4)騙されるのが目に見えているので隠蔽する
#社会的手口、ね。
Re:社会工学ってナンデスカ (スコア:2, おもしろおかしい)
5)職員を騙す奴が悪いのであって、システムが悪いのではない。
Re:こんなテストかなぁ (スコア:1)
それなりに、教育はされてるんだろうけど・・・されてますよね?
Re:こんなテストかなぁ (スコア:1)
わざわざ「テスト」なんていわなくても、「○○代議士の秘書」が「支持者の依頼」でうんぬん、でもってダダ漏れ…… いまでもやってそうだけど、これが全国規模で発生するわけですね。
Re:こんなテストかなぁ (スコア:1)
危ない皆さんがみんなでSEを目指す世の中に。
A:すいませんーん。住基の端末動かないんですが、
30分以内にきてくださーい。
B:了解でーす。
A:ほら、うごかないでしょ?
(ちゃんと働けよ)
B:はい。わかりました。
(はっはっはー。このばかめ)
IDとパスワード教えてください。
A:hogemachi-soumuka/hogehogeだよ。
B:じゃあ、少し時間がかかりますので、
ちょっとおまちください。
A:はーい。じゃあ、別の仕事しますね。
B:(しこしこと障害対応+データ抽出)
はーい。完了しました。
ログをCD-RかFDにもってかえりますね。
A:はい。お願いね。
(ばか、ちゃんとはたらけよ。今日は野球中継なんだよー)
とかね。
-- LightSpeed-J
Re:こんなテストかなぁ (スコア:1)
メディア側も、これをネタにアーティストとかいう人種に TVドラマなり映画なりラップなりを速攻で作らせて 「メッセージ性」とやらを強調すればいいのに。 民衆を扇動するのはお手のものだろうに。
#Yo!俺の情報書き変えまくり!ヒトの情報も書き変えまくり!Yeah~
もっと簡単に・・・ (スコア:1)
なにこの私を知らな(以下略)
#役所が違う?(w
【依頼】テスト項目追加 (スコア:2, 興味深い)
Re:【依頼】テスト項目追加 (スコア:1)
ハッシュ値がなくなると、
ソニー製のパソコンのように後ろにA,B,Cとか付きます。
案外、256回変更するとオーバフローするかも。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
サーバーの設置場所は、 (スコア:2, 参考になる)
外部からのクラックを心配する前に、資格のない人間がコンソールに近づけないようにするのが肝心かと、
-------- tear straight across --------
Re:サーバーの設置場所は、 (スコア:2, 参考になる)
というわけで、ダメっぽいです。
統一ソフトウェアを導入 (スコア:2, 参考になる)
技術面の個人情報保護措置 ってとこに
”技術面では、住民基本台帳ネットワークシステム全体で統一ソフトウェアを導入しており”との一文がありますね。
複数あるFireWallも一種類のFireWallで統一してるんじゃないよね。
不審な操作パターンを常時監視するんだね。ログの記録、監査
するんだねー。あ、IDSも入れてるんだね。
と思ったら、
” 等の措置を、関係機関全てが均質に実施できる体制を整えています。 ”とのおちがあったや :(
---moto
国会が閉会したので (スコア:2, 参考になる)
自民党の衆院議員3名が党に諮った [mainichi.co.jp]住民基本台帳法改正案は党執行部が了承せず。だそうです [mainichi.co.jp]。住基ネット、いよいよ稼動へ向けてファイナルカウントダウンですな。
上の記事には片山総務大臣と櫻井よしこさんへの短いインタビューが掲載されていますのでご参考まで。片山総務大臣は自信たっぷりの様子。まあ今さら自信ないなんて顔はできないでしょうが。
NHK記者からの返信? (スコア:2, 参考になる)
本当に記者本人かどうかは確認する術もありませんが。ご参考まで。
閉じたネットワークって (スコア:1, 興味深い)
みんな、前から「うちは閉じたネットワークだから」って言ってたのにね。
同じようなOSで実質統一させてしまった今、ネットワークが切れていても、携帯電話やAirH"のダイアルアップや、自宅でFDに感染したりと、本当に「閉じた」ネットワークってのは無いでしょう。
#逆にインターネットだって、地球上で閉じたネットワークなんですし。
漏洩も大事だけど (スコア:1)
どっちにしても扱う人のモラルに関わってきますが・・・
天琉陳(Teruching)
恐ろしいことに (スコア:3, 参考になる)
10
11-(Σ P ×Q を11で除した余)
n=1 n n
ただし、10または11のときは0とする。
P :数字の再会の桁を一桁目とするときのn桁目の数字
n
Q :1≦n≦6のときn+1, 7≦n≦10のときn-5
n
打ち間違いだって (スコア:2, 興味深い)
に虫が入って名前のスペルが間違って打たれる。犯罪者と
同じ名前になってしまい、全く違う人が捕まるというシー
ンがあったような。
同姓同名で番号が似通ってしまった場合、同じようなこと
がおきそう。捕まりはしなくとも、年金受給資格がないと
か、健康保険使えないとか、ある日突然なるの。
#で、お決まりの「当時の担当者がいないので」になり、
「役所としては手続き上問題なし」で間違いを修正して
くれず、裁判所に持ち込んだら判決が出るころには時効
になってしまうというフルコースか?
Re:データの偽造 (スコア:1)
○×省の自前システムに住民票番号と一緒に犯歴や被検査歴をのせることはあるだろうが、そんな犯歴や被検査歴を住基ネットから配るようには出来てない。
#どこのあほーだ、本人確認権を保証するべき法律に
#メディア規制までのせたのは。
住民票自体には存在しないよなぁ…。 (スコア:1)
警察や検察はそりゃ犯歴データを持っていますが、それを住基ネット経由で流すことが出来るなんて聞いたことがない。住民票自体に書くことではないので、住基ネットが保有するように設計するわけもない。
犯歴データを持っているのは警察/検察系の独自ネットで、住基ネットを厳しく監視してもご心配の事態の予防にはなんの効果もありません。
補足 (スコア:1)
正直、どっから犯罪履歴の話が出てくるのか、まるっきり分からないのだが。
ハッキングの (スコア:1, 参考になる)
Re:ハッキングの (スコア:1)
の
Re:ハッキングの (スコア:1)
ていうか、そもそも記録をとってなかったりする罠。
-------- tear straight across --------
(おふとぴ)この程度の知識と論理で… (スコア:1)
"…「ひとり世界の例外が住基ネット」というのは、世界のサーバOS市場でウィンドウズのシェアがUNIXの2倍以上あることを知らないのだろうか。
・・・もうやめておこう。櫻井氏がコンピュータというものを何も理解していないことは明らかだろう。…"
「世界のサーバOS市場でウィンドウズのシェアがUNIXの2倍以上」 = 「Windowsは信頼できる」と読ませたいようだ。他には論拠は無い。どんな連載かと思って読んでみれば…。
Re:(おふとぴ)この程度の知識と論理で… (スコア:2, 興味深い)
「IPv4 は半分以上(23億)も余ってるから IPv6 は(永久に)いらない」 [hotwired.co.jp]とかのたまわってます。コンピュータネットワークの感覚をちゃんと持っている人なら、「もう半分しかない」と考えるのが普通だと思うんですが。そんな人があちこちにえらそうな論文出してますけど、かなり怪しい。
#そういう私もちょっと昔は、1G も disk あったら、使いきれんだろうなぁなどと、先見性のないことを言ってました。いまじゃ、100G位ないと不安で不安で。
本当にクラックを狙うプロであれば (スコア:1, 興味深い)
役人は責任を取らない (スコア:1, 興味深い)
すべて非公開のテストなら (スコア:1)
「ただの動作確認」でも可。
#どこかの会社みたいに「うちのセキュリティを破ってみろ」と
賞金をかけるぐらいの気合いが欲しい。
Re:そろそろ… (スコア:1)
ちゃんと謝罪したという話を寡聞にして知りませんが・・・
Re:そろそろ… (スコア:1)
丁度良い機会(?)ですから、本当のサイバーテロというものを体験していただきたく思います。
Re:出雲市市長曰く (スコア:1)
ということを理解していないのが
この国を運営している上層部の連中だということが
ドンドン見えてきてますな
金以外の手段で、もちっと勉強するか、キチンとしたブレインを用意しないとな