パスワードを忘れた? アカウント作成
4634 story

住基ネットで遂にデータ盗難 127

ストーリー by yourCat
意外な盗まれ方? 部門より

tabito 曰く、 "起きてしまった、というより遂に来たかという感じもいたしますが、朝日新聞の記事によると、福島県岩代町の住民基本台帳ネットワークのデータ約9600人分が盗まれたそうです。ネットワーク攻撃によるデータ盗難ではなく、バックアップテープの盗難という物理的な盗難ですが、車上荒らしという今では常に備えなくてはならない犯罪で盗まれてしまったというのは、管理会社に問題があると思います。ただ、バックアップデータには暗号化は施されている (一応ちゃんとやっていたんですね) という事ですので直ぐには漏洩する事は無いのかもしれません。"

Technobose 曰く、 "バックアップデータのコピーを遠隔地に保存すること自体はセキュリティ対策上望ましい対策です。しかしデータ管理の方法まで契約書に明記していなかった場合、町役場の責任は重いですね。このあたりが「まるなげ」しかしてこなかった政府/自治体の限界だとおもいますが……。
住民基本台帳や戸籍の管理は、法定受託事務だったと思いますが、システムからバックアップまで国が責任を持って整備して、データセンターでも作っておけば、現状よりはセキュリティが計られるのでは?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • やはり (スコア:4, すばらしい洞察)

    by deleted user (8691) <{deleted} {at} {slashdot.jp}> on 2002年12月28日 13時07分 (#227604) 日記
    最大のセキュリティホールは人間、ということなのでしょうか?

    いえ、冗談ではなく、
    コンピュータセキュリティに関心が強い人間としては、
    ちょっと悲しいような気がします…(>_)
  • 何気に… (スコア:2, 参考になる)

    by T.Sawamoto (4142) on 2002年12月28日 13時12分 (#227606)
    本家スラド [slashdot.org]によると、アメリカでも似たような事件があったみたいですね。
    こちらは軍人及び家族のヘルスケア情報五十万件が、ハードごと盗まれたようで…。
  • by snurf-kim (10835) on 2002年12月28日 13時15分 (#227607) 日記
    車内にジュラルミンケースハケーン。

    カネだ!カネが入ってるに違いない!

    中には訳のわからないテープが入っていた。

    けっ、カネじゃねえのかYO!

    いらねーから棄てちまえ。

    実害ナシ。
    • by 3110 (10857) on 2002年12月28日 14時31分 (#227633)
      ・地元では最有力な情報処理会社

      ・いかにも重要そうなものが入っていそうなジュラルミンケース

      ・しかも、ジュラルミンケースには「岩代町」のシール付き!

      少しでも知恵のある者なら、わかってしまうでしょう。

      これがクラッカーどもにわたれば、徹底的に解析されてしまう
      でしょう。ああ、おそろしや。

      もちろん、住記ネットの暗号化の方法は変えるんでしょうね>総務省
      (つーか、変えろよ)
      親コメント
      • by Anonymous Coward on 2002年12月28日 19時16分 (#227716)
        何で暗号化の方法まで変えなきゃいけないの?
        もちろんキーは変える必要があるけど、方法まで変える必然性は無いのでは。
        秘密にしている事だけでセキュリティを担保するようなマヌケな暗号化をしてたのなら話は別ですが。
        親コメント
    • by Anonymous Coward on 2002年12月28日 13時33分 (#227613)
      そういうデータって闇金融業者に高値で売れますからね。
      コードを業者が持っていて、「お前のことはすべて知っている、逃げられないぞ」と脅しに使うようで。
      その辺知っての犯行であれば、シャレにならないですよ。
      親コメント
    • ジュラルミンケースが 4 つ

      両手で全部抱えて

      雪でスッテンコロリン

      さいなら~
      親コメント
    • 「実害ナシ」って場合、
      「実害がなかった」ことを知る手段って
      あるんでしょうか?量子暗号とかなら
      あけた形跡が残りそうな気がするけど。

      #しかし、他人の情報を扱う慎重さって
      #全然教育されてないのね。
      #ま、他人から集めたお金を扱う慎重さが
      #全然ないのはみんな知ってることだし
      #似たようなもんか。

      ##ところで、公務員って公共のお金を
      ##持ち歩いていて盗難にあった場合、
      ##弁償させられるんでしょうか?
      ##なんかそーゆー保険があったりするの?
      --
      Kiyotan
      親コメント
    • …ジュラルミンケースって大切な物が入ってそうな雰囲気があるよね
      なんで本当に盗まれちゃいけない物をそういう物に入れるかなぁ

      DATぐらい警備員のポケットに入れておけばいいじゃん
      ぁ 当然、警備員は警備員であることがバレないようにスーツか私服ね

      # 大切な物を盗まれないようにするにはその存在感を限りなく無に近づけるのが重要かと
      親コメント
  • 囮捜査 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2002年12月28日 14時01分 (#227621)
    (住民基本台帳) [福島県岩代町] 9600人分.zip
  • by Technobose (6861) on 2002年12月28日 14時38分 (#227635) 日記
    盗まれたのはDATですね。恐らくDDS2か3かな。
     「暗号化されているので安全」みたいな記事ですが、疑問なのはどのレベル(アプリケーションのデータで?それともバックアップソフトで?)で暗号化されているのか、と暗号化の強度ですね。
     暗号って時間さえあれば解けるから(それが実用的な時間かは別として)、あまり過信しないほうがいいと思いますが・・。 
  • 「住基ネットはセキュリティのことを考慮していなさすぎる」と主張して住基ネット導入に反対していた人は、この事件を聞いて、「ついにきたか」とか「それみたことか」とか思うのでしょうか。だとすると、何かずれている気がするのですが……。

    住民に関するデータを入れたテープを輸送中に盗まれる可能性は、べつに住基ネット導入前からあったわけですよね? べつにゼロか非ゼロかという話をしているわけではありません。住基ネット導入で著しく可能性が高くなったというわけでもないでしょう?

    住基ネットで怖いのは、こんなレベルの事件ではないと思うのです。
    --
    鵜呑みにしてみる?
    • > 盗まれる可能性は、べつに住基ネット導入前からあったわけですよね?

      おっしゃる通り。で、住基ネットの問題は、

      「盗まれないよう対策をきちんとしている」ところも
      「盗めと言わんばかり」のところにも、

      同じものを導入させようとしているコトだと思っています。

      #なので「そらみたことか」が第一です。私。(^^;

      「管理がなっていないので、てめ~のトコはつながせない」くらいは
      言うべきなのに、逆なんです。>総務省
      --
      みんつ
      親コメント
    • by Anonymous Coward on 2002年12月28日 15時39分 (#227654)
      盗まれる確率は同じでも、
      盗まれたものが、生データではなく例えばシステムにアクセスするための設定とかパスワードとかだったら?
      そのとき盗まれるものが「岩代町内だけのもの」と「住基ネットのもの」では違うだろうしね。
      それこそが、全体で一本のネットワークにしてしまうことの危険性だろうし。
      それも含めていろんな面からの危険性をみんな心配しているんだとおもうけどね。
      いずれにしても

      >住基ネットで怖いのは、こんなレベルの事件ではないと思うのです。

      に対する返事としては「こんなレベルの事件でも十分怖い」のでは。
      親コメント
    • 情報の集約が問題 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2002年12月28日 19時30分 (#227720)
      町ひとつ分の個人データが一度に盗まれたのですよ。
      なぜジュラルミンケース一個に全町民の個人データが入っていたのか考えてください。
      住基ネットが稼動したのが原因でしょう。
      今回の事件で個人のデジタル情報を集約すると危険だということがハッキリしたのではないでしょうか。
      親コメント
    • 意味が不明瞭でした。反省。

      ぼくがこのコメントを書いたのは、「住基ネットで盗難だって? ほら、やっぱり住基ネットのせいで問題が起きた!」という感情的な話が、よくわからないままに進むことを危惧したからです。

      「こんな事件が起きるくらいセキュリティのレベルが低いのだから、住基ネットだなんて十年早い」という主張、言い換えれば、この事件が住基ネットの導入が危険であることの証拠の一つになるという主張には同意します。 #227648 [srad.jp] の“「それみたことか」とか”は余計でした。

      なので、 #227654 [srad.jp] の AC さん、 #227675 [srad.jp] の minz さん、 #227687 [srad.jp] の AC さんには同意します。

      一方、「住基ネットを導入するとこんな事件が起きると思ったから住基ネット導入に反対だったんだ」という主張、言い換えれば、この事件が住基ネットの導入の結果起きたという主張には納得できません。「ついにきたか」というのは、そういう主張の現れなのではないかと思うので、「『ついにきたか』は違うような」という思いを抱いたのです。

      こんな説明をしないで済むよう、初めから明瞭な文章を書きましょう>ぼく。
      --
      鵜呑みにしてみる?
      親コメント
  • by minz (3213) on 2002年12月28日 16時10分 (#227667) ホームページ 日記
    > 住民基本台帳や戸籍の管理は、法定受託事務だったと思いますが、
    > システムからバックアップまで国が責任を持っ て整備して、データ
    > センターでも作っておけば、現状よりはセキュリティが計られるのでは?

    同感っすね~。そもそも単一のセキュリティポリシー(難しい意味でなく、
    同じ品質の取り扱い方法、運用方針)で守られるべきと思われるのに、
    それぞれがまったく違う、各自治体の運用の中に組み込むことを
    強制しているんですから。

    データの複写・輸送という、普通ならセキュリティマネジメント
    システムの中での評価対象になるべきものに対して、それらの基準
    の制定・準拠・認証・監査はまるでなってないようですし。

    起こるべくして起きたと思いますよ、こういう事件は。

    #まあISMSでも一斉取得でもしてくれればウチは商売になるですが。(^^;
    --
    みんつ
  • いまさら11桁の番号を変えても手遅れだと思うぞ
    コードを変えても所詮キーにすぎないんだし
    検索対象の氏名、生年月日、性別、住所などが盗まれた場合11桁の番号はすでに不要
    もし やるのであれば他の市町村と合併して今の住所が跡形もなく消えるように変えるぐらいしかないでしょ
    # 当然それでも不十分 でもさすがに氏名と性別と生年月日は国の権限で変えられないしなぁ

    町長も含めて問題の大きさに気づいてないなんて…
    # この手の奴で一番やっかいなのが本人の確認が難しくなるってことだと思うのだが
  • そーいえば (スコア:1, 参考になる)

    by Anonymous Coward on 2002年12月28日 13時40分 (#227614)
    片山虎之助氏がセキュリティに関して記者会見で
    「ファイヤーウォールがあるからですね・・・」と
    我々からすれば最低限だろ?と思われる構成に
    太鼓判を押したのも悲しかったが、
    もっと基本的な部分である、媒体の盗難といったこれまた
    初歩的な管理ミスで盗まれるとは、なんとも恥ずかしい限りだ。

    あと5・6年もすれば、住基ネットで使われていたPCが
    データを蓄積したまま中古市場で格安で取引されるのかと
    思うと頭が痛いですなぁ。
    • by Technobose (6861) on 2002年12月28日 14時49分 (#227640) 日記
      システムの性格からすると、(知ったかぶりしてAccessで開発させたりするような)よほどマヌケな担当者が企画しない限りクライアントサーバモデルで開発されると思います。ですので、OA用と共用されていた場合、断片的にデータが流出するかもしれませんが、今回のように大規模な流出は起きないのでは・・。
       この場合、問題なのはセキュリティ管理もですが、業務全体をカバーするようなシステム開発を行わないことですね。たとえば住民基本台帳って税務や福祉関係の基本データとして利用されるのですが、それらの業務ではいろいろな通知や事務連絡などがあり、システム上で発行できないため、普通のOfficeアプリで作ったりしています。こういう文書ファイルが残っていると個人情報が漏れてしまいます。またデータを打ち直したり、二重・三重の労力がかかります。
       業務を見直してできるだけ合理化・省力化することをしないで、IT化を進めるのは無駄ですね。
       
      親コメント
    • by Anonymous Coward on 2002年12月30日 8時59分 (#228295)
      片山氏というとこの事件 [mainichi.co.jp]が頭をよぎってしまって……^^;;
      親コメント
  • by sameshima (10060) on 2002年12月28日 14時32分 (#227634) 日記
    換金できた時の価格を考えると微妙ですが、
    復号化のキーを知っている担当者が誘拐されたり
    しないか心配です。
  • by ta98 (10561) on 2002年12月28日 14時51分 (#227641) ホームページ
    盗んだやつが1番悪いが、盗まれたやつは2番目に悪いぞ。データを暗号化するだけでなく、現金輸送車のように警備員つけるべきなのでは?個人情報を軽く見てる気がする。

    #もしも闇の人間ならいくらで買うかな…
  • by hamukichi (5525) on 2002年12月28日 17時35分 (#227693)
    バックアップを盗ったわけですね
  • 「情報を集約するべきだ」と言う意見は賛成派です。
    住民基本ネットは概念は良いのだが、(略

    折角作ったのだからどんどん活用してもらって、
    偽装結婚とか戸籍謄本関係の問題はどうにかならないだろうか。
    こっちのHacking(?)の方が情報を盗まれるより達悪いと思うが。

    ---

    「1.2.1.2.3」
    「全ての情報は住民基本ネットに集う」
    •  いつのまにか住民票が移されていて、勝手に国民健保が作られて、それを元にサラ金や闇金融から借金されていたり、知らないうちに婚姻届が出されていたりというった事件が多発していたようですが、知らないうちに婚姻届が出される事件については、法律改正が進められているようです(記事を見つけられないのでURLを出せず・・)。
       確か新聞記事によると発行する戸籍謄本などから、事件関係の記述を削除するが、役所の参考記録として偽の婚姻は残る、といった方法だったようです。
       
      親コメント
  • by Anonymous Coward on 2002年12月29日 23時32分 (#228203)
    とあるMLにて住基の開発に携わった人(しかも割とエライ人)が発言してました。

    >今日は昼から会社です。
    >ある町である物が盗まれたのでその対策案を作れとの指令が、昼頃来たんです(;。;)
    >気を付けて下さいとか言いようがないんですけどねぇ・・・。

    とか

    >ですからぁ、ネットから外れた部分で起きたんで困っているのです--#

    とか書いてます。ねえ。

    # ML関係者は読めばわかるだろうが、本人をあまり刺激しないようにね、ということでAC
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...