パスワードを忘れた? アカウント作成
6627 story

長野県の侵入実験で住基ネットに侵入成功 205

ストーリー by Oliver
動かぬ証拠 部門より

shiraga曰く、"北日本新聞によると『 住民基本台帳ネットワーク(住基ネット)の安全性を検証する長野県の実験で、インターネットを経由し自治体の住基ネットに対し侵入が可能なことが1日、分かった。実験を行った3町村の住基ネットに、侵入を成功させる脆弱(ぜいじゃく)な経路が見つかったという。』
「やっぱり」と思った人が大半だと思います。それとも「まさか、本当に入れるとは」でしょうか?見つかったセキュリティホールの詳細は今後の報道を待ちたいと思いますが、 穴の開いた運用を行っている地方自治体の責任とそれを承知で放置している総務省の責任がともに問われるべきでしょう。
また、3つの市町村に対して侵入実験を行ったようだが、3つ全ての市町村で侵入可能だったのか否かは、この記事からはいま一つはっきりしない。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2003年10月02日 5時38分 (#406809)
    ・VPNは一切やめ。全部専用線。(いくらかかるのですか?)

    ・庁舎内ではRJ45は紛らわしいので、10Base-2か5にする。
     (TVを繋げようとしたり試したりしないこと)

    ・ウイルスやられた時のために、ボンゴを用意しておく。
  • by Anonymous Coward on 2003年10月02日 6時03分 (#406812)
     物理的にインターネットに接続されてることよりも、その住基ネット用端末がインターネットに接続していなければならない使用方法が問題じゃない?
     それは、文書作成からウェブ検索、住基ネット作業とすべての事務を一台のPCで行っているという構図が推測ができる。
     専用端末なら職員がそのPCの前に座っていれば住基データにアクセスしている事が明白なわけで、自ずと不正に対する牽制力が働くが、兼用端末ではその職員が今何の作業をしているかは周りからすぐには把握できないわけで、不正の温床になりかねない。
  • by deki (5563) on 2003年10月02日 6時38分 (#406817)
    違うなぁ…
    住基ネットを有用に使う為にはクレジットカードのように、
    インターネットから参照できる事が必要で、
    尚且つセキュリティもしっかりしてなければならない。
    もちろんこのようなものは、同意してる者に対しサービスを行うべきであり、
    現状の全員強制という点は大きな問題である。
    現状の仕様では、何の為に住基ネットを作ったのか判らず、
    不用の長物としか言い様がない。

    問題点は、住基ネットは現状で利用できるモノとは言えない点。
    この先も有用な利用には疑問が大きい点。
  • by Yuhki (17870) on 2003年10月02日 6時43分 (#406819) 日記
    田中康夫知事が住基離脱をどうのこうの言ってた長野県での報告なのが気になる。

    結論ありきで行われた不適切な実験であることが後でバレて
    「「住基は危険」は大ウソ」
    を逆に活気づかせる、なんてことにならなければよいが。
    • by araiguma_hataboh (7728) on 2003年10月02日 10時14分 (#406917) 日記
      >田中康夫知事が住基離脱をどうのこうの言ってた長野県での報告なのが気になる。

      いや、それ逆ですよ。
      住基離脱をどうのこうの言った田中知事が、
      脆弱性の証明のためにこの実験をやったんですってば。
      親コメント
      • Re:長野県ですが (スコア:2, すばらしい洞察)

        by watayan (143) on 2003年10月02日 10時58分 (#406968) ホームページ 日記
        Yuhkiさんの発言の中で懸念されているのは,*仮に*この脆弱性の報告が田中派によるでっちあげだったらそれがバレたときに「やっぱり安全ですよ」ってネタに使われちゃうんじゃないか,ということのようなので逆ではないような気がします。
        親コメント
        • あっ、なるほど。そういうことか…。
          前段だけ読んだ段階でそこが引っかかってしまって、後段への繋がりを無視してしまっていました。
          後段部分は非常に同感だったので余計引っかかって…。

          ご指摘感謝します。
          親コメント
  • by hix (3507) on 2003年10月02日 8時53分 (#406863) 日記
    「あーもしもし。市民生活課?
    田中ですけど、え?どこの田中?いや知事の田中ですけど。
    今さぁそっちのサーバーに入ってるファイルをこっちで見ようとしてるんだけど、見れなくなっちゃったんだよ。
    ネットワークコンピュータで『コンピュータの検索』ってやっても出てこないんだよね~。
    え?昨日までは見れたよ。うん。見れてた。設定変えてない?あっそう?おっかしいなあ...
    それでね、9時からの会議で使う資料がそっちにあるから、サーバーの中見れるようにしてもらえない?
    すぐできるよね?電話このままで待ってるから。設定終わった?
    えーと、何て名前?
    あれえ?まだダメだ。ネットワークかな?えーっと…
    あのさ、トレースルート掛けると、こっちのルーターから出て、IIJまでは行けてる。
    それで、そっちのルーターで弾いてるみたい。
    そこを開けてくれない?うん、そう。IIJに繋がってるほう。開けた?
    ちょっと待って(受話器の口に手を当てて誰かに指示)...」
  • 「善意」の侵入 (スコア:3, 参考になる)

    by crypt (12091) on 2003年10月02日 11時27分 (#407006)
    日経の記事 [nikkei.co.jp]によれば、総務省が実験したら刑事告発するといって強硬に反対していたらしいですね。

    「侵入」を一律に罰するのではなくて、問題点を調べるための実験を許し、特に公的な機関では正当な実験を不当に拒否できなくするための社会的なしくみが必要なんじゃないでしょうか。内部告発者を保護するしくみと同列のような気がします。「不当」「正当」の判別がキモになりますね。

    • Re:「善意」の侵入 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年10月02日 12時18分 (#407059)
      どうして反対なんてできるんでしょうね。
      どういう頭をしたらこういう発想になるのか。
      逆に、実験で問題点がはっきりして、今後の対策が立てられるようになったんだから、感謝しなきゃ。実際に入られてからでは遅いでしょうに。そろそろ、「ファイヤーウォールをたてれば大丈夫」というのは、「戸締りをきちんとしたから、泥棒に入られない」といっているくらい子供みたいなことだ、と気づいて欲しいのに。
      親コメント
    • 法律が先に出来たおかげで、実験がやりにくくなる。
      逆に、きちんと検証する前に作った法律だから、技術的には相当な穴がある(はず)。

      ……だめじゃん。
      親コメント
  • by highness (849) on 2003年10月02日 14時52分 (#407194) ホームページ 日記
    ITPro [nikkeibp.co.jp]:長野県,「住基ネットに侵入成功」との一部報道を否定 [nikkeibp.co.jp]
    という記事が出てますね。
    • by ncube2 (2864) on 2003年10月02日 15時04分 (#407202)
      同じITProの別の記事 [nikkeibp.co.jp](こっちは日経コミュニケーション)によると、「住基ネットのセキュリティ以前の問題」ってのが見付かったという。
      いずれにしても今月中にあるという結果の公表に注目か。
      親コメント
      • by signed-coward (17953) on 2003年10月03日 13時03分 (#407874) 日記
        よくよく考えると、住基ネットに侵入できた(とする)ならば、
        その前段階で
        庁内LANに侵入できた
        ということになるような気も……(汗)

        #確かに別の意味で住基ネット以前の問題のような気も。
        #まぁ、住基ネットをInternetにつなぐのは推奨されないわけですが(汗)
        親コメント
  • by mirrorcity (7518) on 2003年10月02日 17時10分 (#407299) ホームページ
    でも長野県(住基ネット反対派)はやり方間違えてますね。「こうやったら侵入できました」っていったところで「侵入できる穴はふさいだのでもう大丈夫です」って話になるだけだと思うけど。

    一番問題なのは情報が漏れたとしても役所は痛くも痒くもないことなんだよね。 自分の会社の機密情報だったらもう少し気合入れるんだろうな。役所がビジネスを失うわけでもないし、そもそも情報漏れてもつぶれないし、モチベーションあがらないよね。やる気出ないのはしょうがないよね。そんなの誰の目にも明らかです。

    それがわかっているのなら、国の息がかからないような第三者機関にセキュリティポリシーから見直してもらうしか方法ないと思うんだけど。それでもってOKが出るまで住基ネットにはのりません、と持っていったほうが懸命かと。
    上で言ってる第三者機関ってのは特殊法人みたいな胡散臭いのじゃなくて、PwCCとかアクセンチュアみたく、ある種信用で飯食ってるところね。

    たとえば「PwCCが監査した結果、住基ネットは安全に保たれてることがわかりました」という発表をさせることを前提に監査させれば、監査するほうも必死になるでしょう。

    あと、この手のセキュリティチェックって一過性のものじゃないんですよね。継続してチェックすることによって初めて効果が出るものだと思います。一度チェックしたらもう大丈夫、なんて考えはまったく的外れなことも覚えておいてほしいものです。
  • by Anonymous Coward on 2003年10月02日 6時36分 (#406816)
    住基ネットは公的個人認証のために必要だと言われている。
    公的個人認証はインターネットからの電子申請に必要。
    ということは、
    住基ネットはどうしたってインターネットにどこかでつながる。

    そうなの?
    • by Anonymous Coward on 2003年10月02日 10時15分 (#406920)
      から、住基ネットをインターネットにつなげる必要はないはず。

      でも、実は住基ネットと公的個人認証は実質的につながっています。
      なぜなら、公的個人認証の申請が行われたとき、市区町村の窓口で担当者が住基ネットの情報を見ながら公的個人認証側に入力することになっているからです。
      そして、総務省で住基ネットで異動があった人の住民コードを公的個人認証側にもってきて(どうやってやっているのか知りませんが、リムーバブルディスクでやっているという噂あり)、公的個人認証の異動(削除)を行っています。

      ところで、みなさんはなぜか住基ネットばかり話題にしていますが、私は公的個人認証の方がはるかにやばいと思っています。
      公的個人認証は回線に総合行政ネットワークを使用していますが、この回線は非常にセキュリティが甘い。
      住基ネットのように特定の業務専用の回線ではなく、普通のメールなどいろんなもので共用しているし、あたりまえのようにインターネットに直結しています。
      また、どうやらデスマーチで作成しているらしく、十分なテストが行われていない様子。

      末端の市区町村の担当者は住基ネットと公的個人認証(というか総務省のいいかげんさ)に頭を抱えています。
      親コメント
  • 総務省のひと (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年10月02日 6時55分 (#406821)
    だから、言ったじゃない。「絶対にありえない」とか「お上の言うことは絶対に間違いはない」みたいなニュアンスのことは言うもんじゃないって。おまけに、借り出されたあの東大のなんとかいう「エライ」専門家のNTT出身のおっさん。アノ人の専門家としての信用も丸つぶれでしょ。名前は忘れちゃったけどサ。これから先、本職の東大のセンセを辞めることはかろうじてなくっても、アルバイトだってできやしないよね。まったく、選挙前に、敵に塩を送るようなことになっちゃったんだから、いいツラの皮だよ。総務大臣なんかもね。誰が責任取るのか?って、いまどき実質的対策も考えずに、責任問題で誰を落っことせばいいか、くらいにしかかんがえてないよね。きっと。あんたたちのことだからさ。どうせメーカーと技官に責任押し付けて、キャリア様と上のほうは自分たちは知らん振りでしょ。

    国民はみんなわかってるよ。そのこくらいのことはさ。選挙に影響するよ。

    強がりとかいう実質のないモンは、どこに行ってもまわりに迷惑をタレ流すだけのものだよね。人のことじゃなくて、自分に対する戒めとして、ね。人の振り見てわが振り治せ。技術者の自分も、こういう仕事はしたくないものだ、っていう見本みたいなもの。コストが見合わない仕事なんか受けるべきじゃない。

    まったく、バッカじゃないの?

    # うちの5歳の子供をさとしている気分になったのでAC
    • Re:総務省のひと (スコア:2, すばらしい洞察)

      by katchon (13265) on 2003年10月02日 9時26分 (#406884)
      話からはずれるけど政府側に立って政府の(ちゅーか役人の)喜ぶ意見だけを吐いてきて実際には大嘘、いい加減だったってわかって責任取ったor取らされた学者っていないでしょ?
      逆に役人の思い通りの意見を(たとえ間違っていても)言ってくれる便利な学者って評価でより政府に重用される→学者としてのランクも上がる、って事が多いような気がする。
      正直学者ってものを信用してません、私。
      親コメント
      • by gtk (14477) on 2003年10月02日 12時08分 (#407050) 日記
        ただ、そういう連中を放置するのもどうかと思うんですよね。
        声がデカくて出鱈目を言う御用学者への対処としては


        1. 説得してこっち側についてもらう

        2. 全力で叩き潰す



        の2つがあって、ただ単に "知らなくててきとーなことを言っちゃった" ひとであれば根気よく(?)説得すれば味方にすらなってくれる場合だってあります。元の声がデカいんだからその効果も大きい。

        でも、確信犯的にてきとーなことをいう御用学者(数としてはこっちのほうが多い)はなにをどうやっても聞く耳を持ちませんから、「過去にこいつの言うことはこれだけ間違っている」ことをきちんと記録に残し、誰でも参照可能な状態にしておかないといけないかもしれません。

        「おやくにんさま、がくしゃさまの言うことは常にただしい」「おやくにんさま、がくしゃさまの言うことが間違っていたら前項を参照」…とはよく使われるアネクドートですが、広く一般に『こやつは狼少年じゃ』と判別できる情報源があったら嬉しいかも。

        (え、俺が作れってか?)
        親コメント
      • by raijin (7091) on 2003年10月02日 12時04分 (#407044)
        >>逆に役人の思い通りの意見を(たとえ間違っていても)
        >>言ってくれる便利な学者って評価でより政府に重用される
        >>→学者としてのランクも上がる、って事が多いような気がする。
        >>正直学者ってものを信用してません、私。

        一部の御用学者の行動だけで、その他の地道に活動している
        学者/研究者を信用しないと言い切るのは極論ではないか?
        そんなに生産現場/営業だけで全てが成り立つのか?
        大いに疑問なんだが?

        ちなみに学者としてのランクは主に国際誌上での論文発表による
        もので、政府におべっか使ってるからではないよ。
        まあ、一部の管理職にいる人間はそうなのかもしれんが....
        逆に民間シンクタンクの名誉職なんてのに役人OBが多いけどね。
        親コメント
    • by Anonymous Coward on 2003年10月02日 7時03分 (#406822)
      住基ネット担当の職員が不正に情報を入手しようと思ったらできちゃいましたぐらいのことなのかも・・・。
      もし職員の中にストーカーがいたら無敵だな、情報を入手しほうだいだし。
      親コメント
    • by nekonyan (3158) on 2003年10月02日 12時10分 (#407053) 日記
      > あの東大のなんとかいう「エライ」専門家のNTT出身のおっさん。
      > アノ人の専門家としての信用も丸つぶれでしょ。
      > 名前は忘れちゃったけどサ。これから先、本職の東大のセンセを
      > 辞めることはかろうじてなくっても、アルバイトだってできやしないよね。

      各種メディアに登場してはNTT株の購入を盛んに薦めて庶民の恨みを買った経済の専門家も
      ほとぼりが醒めた頃にひょっこり復帰していたりするのでそれは期待できないかと。
      親コメント
  • by harupunte (10435) on 2003年10月02日 7時18分 (#406825) 日記
    ちゃんと侵入できて良かったね。
    あれだけヤイヤイ言っていて、侵入できませんでしたじゃ
    カッコ悪すぎだもんね。
    • Re:ホッと一息 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年10月02日 8時03分 (#406840)
      浸入できることが卓上理論的に明確だったから
      実験するということを発表したんですよ。

      実験結果そのものだけが事実を現すのではなく
      実験は単に理論の裏づけに過ぎない
      という一般的な科学のスタンスに従っているあたりが
      立派です。
      親コメント
    • by Anonymous Coward on 2003年10月02日 8時34分 (#406858)
      まぁ「脆弱性」の中身がどんなもんかは詳細を待たないとなんとも言えんとは思うんだけど。

      一番の成果は、自治体のほうからこういった反中央的な動きができてきていることだと思う。
      10年、いや5年前なら議論はあってもここまで実験する動きにはならなかったんじゃないかな。

      実験担当はなんとなく知事のシンパっぽいニオイはするけど、
      よくも悪くもペログリ野郎効果だったと、評価はできるな。
      親コメント
  • by signed-coward (17953) on 2003年10月02日 10時14分 (#406919) 日記
    住基ネット反対派活気付く

    住民基本台帳を番号付け管理することに対して反対広まる

    地方単位でも番号付け管理に対して反対広まる

    「コンピューターを一切使用しない住民票管理」運動の高まり
    (T知事ノリノリ)

    住民基本台帳のコンピューター管理全廃

    ……さすがにこれはないと思うけど(汗)
    • by tercio (17780) on 2003年10月02日 10時30分 (#406937)
      紙ベースで永遠にやるわけにもいかないし、
      現状を改善する方向に行ったほうがいいと思うんだがなぁ。

      戸籍謄本取るのにいちいち本籍地から送ってもらうのは
      もういやづら。
      親コメント
      • by zxqk (2425) on 2003年10月02日 10時46分 (#406953) ホームページ
        田中知事自身は「電子化は必要」と言っていた気がします。
        国民総背番号制になるのはある意味仕方ないけれど
        ただ住基ネットのあれはいくらなんでもアレだ、
        というスタンスだったはず。

        # どっかの対談で読みました。憂国呆談だったかな?
        親コメント
  • いいわけ予想 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年10月02日 11時23分 (#406997)
    これからどういういいわけが出てくるでしょうか?

    「特殊な条件下で行われた実験で、実際に侵入はありえない」
    「指摘された脆弱性については文書で通達済み」
    「担当者がいないのでコメントできない」

    #発想が貧弱なので…。もっとすごいコメントが出そうですが…
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...