総務省が住基ネット侵入試験を実施、侵入できず 152
ストーリー by Oliver
安全性は証明できないのがセキュリティ 部門より
安全性は証明できないのがセキュリティ 部門より
?sentakuita曰く、"長野県が侵入試験に成功したらしい住基ネットですが、長野県公式の調査結果発表を前に総務省の侵入試験の結果が公表されています。(住基ネットに対するペネトレーションテスト結果報告[PDF])品川区の協力の元、米Crowe Chizek and Company LLCによってCS(コミュニケーションサーバ)に繋がるファイアウォールと実際に市町村職員が触るCS端末に対して侵入調査した模様。
結果は住基ネットに繋がる2段のFW、CS端末それぞれの安全性が確認されたとのこと。漏れ伝えられる長野県の試験結果とは相反する結果となりました。侵入技術が違うのか、各市町村でFWの設定が違うのか、はたまた2日から10日までの8日間でさっと修正したのかも;-)。長野県の調査報告は21日までに出る予定らしいので、そちらも要注目。"
ここはヘボい調査会社ですね (スコア:5, 興味深い)
Crowe Chizek とやらはここですか。
http://www.crowechizek.com/
クロスサイトスクリプティング穴が空いてます。
http://www.crowechizek.com/CC/Global+Navigation/Industries/c.htm?Serv=r02&Header=%3Cimg%20src%3Dhttp:%2F%2Fwww%2Etvt%2Ene%2Ejp%2Ftoranosuke%2Fimages%2Fcloseup%2Ejpg%3E
だからぁ、 (スコア:1, おもしろおかしい)
Re:ここはヘボい調査会社ですね (スコア:2, 参考になる)
何度も言われてますが (そして気持も分かりますが),これは Gecko 系ブラウザの方が悪いと思います.
長い英数字文字列の場合は強制的に折り返すか,折り返さずに横に拡大されてしまったブロック要素の小要素がつられて拡大されないように修正するべきだと思います (後者は面倒臭そうだな…).
# 悪いブラウザ使ってるけど ID
Re:ここはヘボい調査会社ですね (スコア:1)
いや,だからご覧の通り見づらいじゃないですか.
「べき」がマズかったですか? すいません.
侵入不可で解決? (スコア:4, 参考になる)
侵入できなかったからいいって問題じゃないと思う。
根本的な問題を棚上げしているんじゃないかな。
例えば、その一つがそもそも物理的に住基ネットとインターネットがつながっているっのが問題なんじゃない?
外部から侵入されなくても、内部の人間が犯行を行う可能性だってある。その時、それぞれのネットワークが物理的につながっているかどうかで、データの漏洩の早さと量は格段に違いが出る。
必ずばれるから、それが抑止力になる、って反論は説得力がない。失う物が無ければ加害者はどんな無謀な事だってするし、現行法の違反者に対する処罰規定の甘さを見ると、一定の見返りさえあれば簡単に漏洩する事も十分あり得る。罰則規定には住基情報の重要さが反映されていないように思える。
「侵入できなかったから住基ネットの安全性が完全に証明された」と結論づけて、全体の安全性の議論も終わらせたい総務省の意向が見えて仕方ない。
へぇへぇへぇへぇ、へぇーーー (スコア:3, すばらしい洞察)
住基ネットを始めようと言い出したのは総務省だろ?
たとえ事実であっても、自分たちの不利になるような結果を発表するとは到底思えないね
結局の所 (スコア:3, 参考になる)
Re:結局の所 (スコア:1, 参考になる)
>
学生のレポートだったら、私は『可』にするな。もちろん『指導』した上でね。
お役所は『指導』する人いないからねぇ…
この実験に意味などあるわけもなく (スコア:3, すばらしい洞察)
馬鹿は寝てから言え
ある事象がない、ということの証明が一回の実験でできるはずもないし、システムの強度は一番弱い輪で決まる。今回の実験では、ほとんど何も分からない、というのが結論でしょう。
ここが問題かも (スコア:2, すばらしい洞察)
明日の情報処理技術者試験 (スコア:2, 参考になる)
インターネットから庁内LANに侵入されました。さらに庁内LAN
のサーバが踏み台にされ、庁内LANから住基ネットに
侵入されました。結果的に国民情報が漏洩した。
以前、情報システム部門は「ファイアウォールがあるから
大丈夫だ。」と豪語していました。
情報システム部門のA君はファイアウォールに脆弱性があった事を
ベンダーから伝えられていたのだが、社会的な観点から、
隠し通すことにしました。
(途中省略)
次の設問に答えなさい。
1.人的セキュリティに対する問題点を3つあげ、それぞれ
80文字以内で答えなさい。
2.ファイアウォールがあったとしても、間接的にインター
ネットに繋がっている場合の問題点を35文字以内で答えなさい。
とか、そんな感じで。
PCにECC Registeredメモリの利用を推奨します。
Re:明日の情報処理技術者試験 (スコア:1, すばらしい洞察)
> ネットに繋がっている場合の問題点を35文字以内で答えなさい。
CS端末及びFWではなく通信路からの情報漏洩は検証外である。(30字)
#パケットウォッチ対策しているかは記述外というだけの話ですが。
Re:明日の情報処理技術者試験 (スコア:1)
2.みんながクラックしようとするので、ネット上に無駄なパケットが氾濫する。
#こんな事してる場合か俺。勉強せねば。
Re:基本情報処理技術者試験 午前 問72 (スコア:1)
セキュリティアドミニストレータ受けて来ましたが、
問題点を2つ挙げなさい。という所で星の数ほど挙げられる
というドキュンな問題でした。
「この国でセキュリティのスペシャリストですと認められてもねぇ。
合格しても嬉しくないかも」って、友人と話しておりました。
PCにECC Registeredメモリの利用を推奨します。
Re:基本情報処理技術者試験 午前 問72 (スコア:1)
> 問題点を2つ挙げなさい。という所で星の数ほど挙げられる
> というドキュンな問題でした。
別の話題について午後II問1を参考に出題 [srad.jp]を考えてみましたが
どうにも脇が甘くてACで放り投げてしまいました。
幾つか思い浮かぶうちで図や表に書かれていることに沿った
解答をしなければならないという国語の問題ですね。
長野県の実験の結果はまだ出てないんですけど。 (スコア:2, 参考になる)
それなのに、長野県の実験結果が「侵入成功」であったことを前提として発言しているコメントが目立ちます。(第一、タレコミ人がミスリードしてるんだから、手におえないよな…。)
このように前提を誤ったレベルの低い議論を、住基ネット反対論者が行なうことは、かえって住基ネット反対論の説得力を失わせる結果になるので、やめていただきたいです。
この雰囲気のまま、21日の結果発表で "侵入失敗" との結果が発表されたら、「これは何かの陰謀だ」とか言い始める奴らが出始めそうで怖いんですけど……。
正直、住基ネットに賛成反対という議論と、侵入実験の結果は直接は結びつかないと思うんですけどね。少なくともここでの議論では、これらの2つを正しく結び付けているとは言いがたい。
Re:長野県の実験の結果はまだ出てないんですけど。 (スコア:2, すばらしい洞察)
「インターネットとは物理的に接続していない」
↓
「独自のプロトコルを使っているから問題ない」
↓
「Iファイアウォールをつかっているから問題ない」
と、言うことをいつも変えてくるから、今回もとても
信用できたもんじゃないよな、というだけであって。
こんども
「侵入できなかった」
↓
「侵入されたという認識はしていない」
↓
「侵入はされたが、住基ネットのデータには問題が無かった」
となっても、全くおかしくないと思いますね。今までを見るに。
Re:長野県の実験の結果はまだ出てないんですけど。 (スコア:2, すばらしい洞察)
↓
「住基ネットには基本的なデータしか入っていないので漏洩しても問題ない」
↓
「住基ネットのデータは民間利用が禁止されているので(略」
くらいまで発展するのではないかと思いますがどうでしょう。
テクノクラート (スコア:2, 興味深い)
なんかタイプしててイヤになりました。
もともとおかしい (スコア:2, 参考になる)
「侵入」の定義が狭い意味で使われているだけ (スコア:2, 参考になる)
住基ネット以前の問題 (スコア:2, すばらしい洞察)
住基ネット以前の問題で、
「庁内LANへの不正アクセス」に対する問題があると思うのです。
もちろん、出来る限りの対策をしている自治体もあるとは思いますが、
そういう対策をしていない(もしくは対策の甘い)自治体があることは
否定できないわけで。
#企業にだってそう言うのあるらしいですから(苦笑)
庁内LANに不正アクセスを受けた結果、住基ネットの情報以上に漏れると大変な情報が盗み出されてしまう可能性だってあるわけです。
でも、長野県にしろマスコミにしろ、その辺全然取り上げないし。
今回にしても、特にTV局は反応鈍そうですから……
総務省も(仮に今回は「住基ネットには」侵入されなかったにせよ)、
自治体に……というより、全国自治体に『強制力を持った』アラートを上げてくれればいいのですが……
もちろん、セキュリティ確保には継続的な維持が必要なのは言うまでもなく。
#明日NW(SSじゃないよ)の試験受けてくるけどID
Re:「侵入」の定義が狭い意味で使われているだけ (スコア:1)
それはどんなセキュリティ対策でもそうだと思うが・・
(「正規のアクセスと区別ができない」なら、それは「正規のアクセス」なんでしょ?)
区別できるようにするのが大事なんだよね?
米クロウ社が言ってるのは、「庁内LANにも侵入できないようにするべきだ」ってことじゃないの?
Re:「侵入」の定義が狭い意味で使われているだけ (スコア:1)
> なぜわざわざ読み違えるの?
別人だが、どこにそう書いてあるのか分からなかった。
どこかにそういう意味合いのことが書いてあるのだとしても、法律や役所の文書並みに読み取りにくいんだろうな。
つまり、読み違えられてしまったのは、あなたの文章がへたくそだから、ということでFA?
今は、侵入できなかった。 (スコア:2, 興味深い)
変な安心感もって、何もしなくなるなんて事にならないことを願う。
# お店で売ってるアンチウイルスソフトを入れて放置しておけば、
# もうウイルスには感染しないって考える人みたいにさ。
Re:今は、侵入できなかった。 (スコア:1)
ダムを検査しました。適当に見繕った30箇所(1平方センチ)を
くまなく調べたところ傷ひとつありませんでした。
あ、検査箇所については、真ん中の方は大変なんで
地上から目視で確認できるところを適当に選びました。
大丈夫そうなんでもう2度と検査はしません。
みたいな感じね。これで未来永劫ダムは決壊しませんって
言われても納得する人は少ないでしょう。
#希望者には自分のデータが参照される度に
#通知が行くシステムとかにしたら面白いかも。
Kiyotan
推進協議会って? (スコア:2, すばらしい洞察)
「住基ネット推進協議会の運営」をしているみたいですね。
(地方自治情報センターの組織図 [nippon-net.ne.jp])
なんだかなー。
こういう物は、 (スコア:2, すばらしい洞察)
根本的解決法? (スコア:1, おもしろおかしい)
→役人が漏らしたらしょうがないだろ! データだから盗んだり改ざんしたりするのも簡単だぜ!?
住民基本台帳をコンピューター管理するのを止める。
→それでも役人が漏らす可能性は否定できないだろ! だって役人だぜ!?
住民基本台帳を管理するのを止める。
→待てよ、戸籍とかも管理は役所(役人)なんだろ? それってヤバイじゃん!
……
以降、国が解体されるまでエンドレス
「侵入できなかったから大丈夫」とは? (スコア:1)
非常に低次元の論争のおこぼれでお金もうけができたクロウ社はうらやましいねー、というのが、正直な実感だね。このままだまってれば、今後もいい商売になるから、言いたい事があっても、まだまだ、だまっていようね。シロウト相手の商売はこういうところがおいしい、という良い見本だね。
できないって… (スコア:1, 興味深い)
論理として、もっとも難しい証明は「それは存在しない」という証明です。なぜなら、反例を1個でも示されたら崩壊する論理ですので。
ですから、安全性を証明したいのであれば、考えられそうな状況を考慮して試験する(反例つぶし)のが通例だと思われます。
しかし、新聞報道では、東京都の1つの区についてのみ試験したとありますね。
ネットへの接続形式や、パスワードの管理等、さまざまな方法があるのに、どうしてここだけ?という疑問はあります。
もしかして、いちばんセキュアな自治体を選んだとか。
これでOK,というのは信じられないですねぇ。
日本にはハッカー(クラッカー)組織はないの? (スコア:1)
組織はないんですか? あ、あっても分かんないのか。
そういうところが実際に侵入してみて「侵入できました」と
声明を出すと。
そりゃ問題ないだろうよ。 (スコア:1, 興味深い)
関連もかなりしっかりしているんじゃないかと思うんですが…。
あとは事前に連絡してあったろうから設定ミスなどの人的要因は
完全に排除してあっただろうしなぁ。
田舎の町役場とまでは言わないから平均的な地方都市(まさに
長野市くらいの^^;)で抜き打ちでやって欲しかったなぁ。
#予定通りの火災訓練って全部前もって準備してるから緊張感
#ないよね。
Re:そりゃ問題ないだろうよ。 (スコア:1, おもしろおかしい)
長野県は全国で一番遅く辞令が届く県だって県民が自慢しているんですから。
# これ、実話です。(笑)
どうでもいい上にオフトピなんだけど (スコア:1)
仮に住基ネットにハカーが侵入したとして、その人は何を得るの?
Re:どうでもいい上にオフトピなんだけど (スコア:1)
まぁばれたら手が後ろに回るんで、自己満足レベルでしょうけどw
Re:どうでもいい上にオフトピなんだけど (スコア:1)
しかし、外部の人間がクラックすると言うよりは、内部犯行で役人が基本四情報を業者に横流し、ってのがありそうなパターン。
百万円くらいの公金を横領して捕まる役人っているよね、実際。アクセスログくらいはとっているんだろうけど、ユーザ管理とかログ監査とかが公金出納並みに厳しく行われているとは到底思えない。
しかも、流失した事実自体発覚しないかもしれないし、発覚しても役所の体質としてそれを隠そうとする方向に行かないとも言えない気がします。
ま、上の「思えない」とか「気がします」って言うのが事実でなければ良いんだけどね。
Re:どうでもいい上にオフトピなんだけど (スコア:1)
アラと言ってもスズキ目の海魚だけど。漢字では(魚荒)で一字。
まだ安心できない (スコア:0)
Re:まだ安心できない (スコア:2, 参考になる)
Re:まだ安心できない (スコア:2, 参考になる)
Re:まだ安心できない (スコア:1)
他のマシンから攻撃されないようにFWを各マシンに入れてポートをふさいでなるべくセキュリティホール突かれないようにするとか、次善の策を打つ必要はあると思うのだが...
Re:これは総務省がだした結果じゃないと思いますよ。 (スコア:1)
言っておくが、普通に右翼も「お上」を批判する。
街宣を良く聞いて欲しいものだわ。
「お上」とは (スコア:1)
明治政府の「お上」と自らの権威を一体化させようとした政策のおかげで、一部に行政府盲信主義がはびこるようになったのだと思います。
「お上」を本来の意味に戻して、ついでに関東へのご旅行から御所に戻っていただきましょう。
Re:フレームの元 (スコア:2, おもしろおかしい)
ふむ。この場合、「穴開きすと」は、住基ネット側と考えている人が多いのではないだろうか?
Re:フレームの元 (スコア:1)
geekに限らず誰もが思ってるだろうことは、
「政府を無くせ」じゃなく「政府の今の実装に、駄目な部分が有るから、改修(捨て&作り直し)しろ」ってことでは?
つまりanarchistじゃなくrearchist(そんな単語有るかどうか知らぬが)。
#リストラ(の本来の意味)みたいなものではないかと。悪い部分を捨てて直せっていう。
##世のリストラが馬鹿なのは、「悪い部分」の測り(Profile)かたがヘボなままやってるって点であって。
Re:もちろん (スコア:2, 興味深い)
物理的な侵入を防ぐというのは最低限の事であって、もっとソーシャルな面での危機意識を持ってもらいたいのですが、総務省にはそういった様子がうかがえません。
日本人の性格を考えるとむこうの人々よりもソーシャルな手口にひっかかりやすい気がするのですが。
日本人の性格を考える (スコア:2, おもしろおかしい)
住基ネット侵入試験の内容が、信頼がおける情報筋により明らかにされました。
それによると、侵入試験の担当技師が品川区の市民生活課に電話を掛け「オレだよオレ」と名乗り、私用目的で公用車を運転中に暴力団の乗用車と事故を起こし、相手が「住基ネットのパスワードを教えたら許してやる」と言っていると電話口で自分の窮地を訴え、パスワードを聞き出そうとしたものです。
ところが電話で応対した職員が、相手に英語訛りがあることに気付き上司に報告。侵入試験は失敗に終わりました。
今回の侵入試験の責任者は「日本で成功率が高い詐欺の手口を試みた。次回はもっと流暢に日本語を話すことができる人間を使って臨みたい」とコメントしています。
Re:もちろん (スコア:2, 参考になる)
あったのですが、一技官のたわごとだがと前置きされ
「省内でもアレが安全でないと気がついている人間は
いっぱいいるが、安全であることにしないと(政治的に)
だめなのだ。わざわざ反旗を翻して職を失うことはない。」
と言っていました。
国民の個人情報とは、彼らの出世より軽いのでしょう。
税金も出来高払いにしてほしいと思いました(笑)
Re:それ以前に・・・ (スコア:1, おもしろおかしい)
日本語が扱えるOS以外は
侵入できません。