パスワードを忘れた? アカウント作成
6718 story

総務省が住基ネット侵入試験を実施、侵入できず 152

ストーリー by Oliver
安全性は証明できないのがセキュリティ 部門より

?sentakuita曰く、"長野県が侵入試験に成功したらしい住基ネットですが、長野県公式の調査結果発表を前に総務省の侵入試験の結果が公表されています。(住基ネットに対するペネトレーションテスト結果報告[PDF])品川区の協力の元、米Crowe Chizek and Company LLCによってCS(コミュニケーションサーバ)に繋がるファイアウォールと実際に市町村職員が触るCS端末に対して侵入調査した模様。
結果は住基ネットに繋がる2段のFW、CS端末それぞれの安全性が確認されたとのこと。漏れ伝えられる長野県の試験結果とは相反する結果となりました。侵入技術が違うのか、各市町村でFWの設定が違うのか、はたまた2日から10日までの8日間でさっと修正したのかも;-)。長野県の調査報告は21日までに出る予定らしいので、そちらも要注目。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2003年10月18日 19時33分 (#417175)
    > 米Crowe Chizek and Company LLCによって

    Crowe Chizek とやらはここですか。
    http://www.crowechizek.com/
    クロスサイトスクリプティング穴が空いてます。
    http://www.crowechizek.com/CC/Global+Navigation/Industries/c.htm?Serv=r02&Header=%3Cimg%20src%3Dhttp:%2F%2Fwww%2Etvt%2Ene%2Ejp%2Ftoranosuke%2Fimages%2Fcloseup%2Ejpg%3E
    • だからぁ、 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年10月18日 20時28分 (#417197)
      わざわざそういうところを選ばないと、総務省がお金を払った意味がないじゃありませんか。もしほんもののエキスパートがまともなことを言ってしまうようじゃ、ヨイショしてもらえないですから。
      親コメント
  • by snowy (9274) on 2003年10月18日 17時56分 (#417091) ホームページ 日記

    侵入できなかったからいいって問題じゃないと思う。

    根本的な問題を棚上げしているんじゃないかな。

    例えば、その一つがそもそも物理的に住基ネットとインターネットがつながっているっのが問題なんじゃない?
    外部から侵入されなくても、内部の人間が犯行を行う可能性だってある。その時、それぞれのネットワークが物理的につながっているかどうかで、データの漏洩の早さと量は格段に違いが出る。

    必ずばれるから、それが抑止力になる、って反論は説得力がない。失う物が無ければ加害者はどんな無謀な事だってするし、現行法の違反者に対する処罰規定の甘さを見ると、一定の見返りさえあれば簡単に漏洩する事も十分あり得る。罰則規定には住基情報の重要さが反映されていないように思える。

    「侵入できなかったから住基ネットの安全性が完全に証明された」と結論づけて、全体の安全性の議論も終わらせたい総務省の意向が見えて仕方ない。

  • by Anonymous Coward on 2003年10月18日 17時23分 (#417063)

    住基ネットを始めようと言い出したのは総務省だろ?

    たとえ事実であっても、自分たちの不利になるような結果を発表するとは到底思えないね

  • 結局の所 (スコア:3, 参考になる)

    by Anonymous Coward on 2003年10月18日 17時29分 (#417070)
    このことに関しては、誰一人総務省を信用していないと言うことでヨロシ?
  • by alp (1425) on 2003年10月19日 11時57分 (#417438) ホームページ 日記
    分かったのは、ある一時点である一サイトを調べたところ、穴が開いていなかったということですよね。で、総務省が主張したいのは、穴が開いていないことですよね。

    馬鹿は寝てから言え

    ある事象がない、ということの証明が一回の実験でできるはずもないし、システムの強度は一番弱い輪で決まる。今回の実験では、ほとんど何も分からない、というのが結論でしょう。

  • ここが問題かも (スコア:2, すばらしい洞察)

    by Transponder (6045) on 2003年10月18日 17時14分 (#417054) ホームページ 日記
    asahi.comの記事 [asahi.com]によると
    クロウ社の助言を受け、市町村LANの安全性監査の実施など自治体への指導を強める方針
    とのことなのですが、この指導が徹底されればいいんですけどね、徹底されればね。
    --

    # I will work seriously this year!

  • by pantora (11989) on 2003年10月18日 17時20分 (#417059)
    セキュリティのネタは住民基本台帳ネットワークかなー。

    インターネットから庁内LANに侵入されました。さらに庁内LAN
    のサーバが踏み台にされ、庁内LANから住基ネットに
    侵入されました。結果的に国民情報が漏洩した。
    以前、情報システム部門は「ファイアウォールがあるから
    大丈夫だ。」と豪語していました。
    情報システム部門のA君はファイアウォールに脆弱性があった事を
    ベンダーから伝えられていたのだが、社会的な観点から、
    隠し通すことにしました。
    (途中省略)

    次の設問に答えなさい。
    1.人的セキュリティに対する問題点を3つあげ、それぞれ
    80文字以内で答えなさい。
    2.ファイアウォールがあったとしても、間接的にインター
    ネットに繋がっている場合の問題点を35文字以内で答えなさい。

    とか、そんな感じで。
    --
    PCにECC Registeredメモリの利用を推奨します。
    • by Anonymous Coward on 2003年10月18日 17時42分 (#417081)
      > 2.ファイアウォールがあったとしても、間接的にインター
      > ネットに繋がっている場合の問題点を35文字以内で答えなさい。

      CS端末及びFWではなく通信路からの情報漏洩は検証外である。(30字)

      #パケットウォッチ対策しているかは記述外というだけの話ですが。
      親コメント
    • 設問2なら答えられそうかな・・・
      2.みんながクラックしようとするので、ネット上に無駄なパケットが氾濫する。

      #こんな事してる場合か俺。勉強せねば。
      親コメント
  • by Anonymous Coward on 2003年10月18日 18時25分 (#417125)
    長野県の実験の結果は現時点(10月18日)では出ていません。タレコミのリンク先にある通り,「侵入成功」との結果は、当の長野県自体が否定しています。

    それなのに、長野県の実験結果が「侵入成功」であったことを前提として発言しているコメントが目立ちます。(第一、タレコミ人がミスリードしてるんだから、手におえないよな…。)

    このように前提を誤ったレベルの低い議論を、住基ネット反対論者が行なうことは、かえって住基ネット反対論の説得力を失わせる結果になるので、やめていただきたいです。

    この雰囲気のまま、21日の結果発表で "侵入失敗" との結果が発表されたら、「これは何かの陰謀だ」とか言い始める奴らが出始めそうで怖いんですけど……。

    正直、住基ネットに賛成反対という議論と、侵入実験の結果は直接は結びつかないと思うんですけどね。少なくともここでの議論では、これらの2つを正しく結び付けているとは言いがたい。
    • by Anonymous Coward on 2003年10月18日 18時44分 (#417144)
      別に、結び付けてないのでは。単に、総務省が

      「インターネットとは物理的に接続していない」

      「独自のプロトコルを使っているから問題ない」

      「Iファイアウォールをつかっているから問題ない」

      と、言うことをいつも変えてくるから、今回もとても
      信用できたもんじゃないよな、というだけであって。
      こんども

      「侵入できなかった」

      「侵入されたという認識はしていない」

      「侵入はされたが、住基ネットのデータには問題が無かった」
      となっても、全くおかしくないと思いますね。今までを見るに。
      親コメント
      • by Anonymous Coward on 2003年10月18日 19時14分 (#417162)
        >「侵入はされたが、住基ネットのデータには問題が無かった」

        「住基ネットには基本的なデータしか入っていないので漏洩しても問題ない」

        「住基ネットのデータは民間利用が禁止されているので(略」

        くらいまで発展するのではないかと思いますがどうでしょう。
        親コメント
          1. > 「住基ネットのデータは民間利用が禁止されているので(略」
          2. →「住基ネットのデータは民間利用されていないので」
          3. →「利用されたという認識はしていない」
          4. →「利用はされたが,国民生活には何も問題は生じていない。」
          5. →「国民生活は大したもんじゃないので利用されても問題ない」

          なんかタイプしててイヤになりました。

          親コメント
  • by Anonymous Coward on 2003年10月18日 18時33分 (#417128)
    ネットに侵入できようができまいが、こういう [kobe-np.co.jp]問題を棚上げにしてきたのは、おかしい。
  • by Anonymous Coward on 2003年10月18日 18時45分 (#417145)
    毎日新聞の記事 [mainichi.co.jp]によると、
    FWをスキャンして、脆弱性の有無を確認し、ハッキングツールを利用して侵入できるかどうかを検証した。ハッキングツールについての制限は特に設けていないが、正規のアクセスを装った「なりすまし」による不正侵入は試みていない
    のだそうです。つまり、住基ネット専用プロトコルでアクセスすれば、正規のアクセスと区別がつかないならば、侵入できるということですね。同記事には、
    米クロウ社から、既存住基システムのデータが改ざんされた場合、その結果として住基ネットのデータも改ざんされる可能性があることなどから、「庁内LANに対してもセキュリティー監査を行うべきだ。また庁内LAN上のデータ送信が盗聴される可能性があることから、方策を実施すべきだ」などの助言を受けた
    ともあるので、やはり、そうなのでしょう。
    • 住基ネット以前の問題 (スコア:2, すばらしい洞察)

      by signed-coward (17953) on 2003年10月18日 19時03分 (#417156) 日記
      長野のスレッドの時にも書いたんですが、
      住基ネット以前の問題で、
      「庁内LANへの不正アクセス」に対する問題があると思うのです。

      もちろん、出来る限りの対策をしている自治体もあるとは思いますが、
      そういう対策をしていない(もしくは対策の甘い)自治体があることは
      否定できないわけで。
      #企業にだってそう言うのあるらしいですから(苦笑)

      庁内LANに不正アクセスを受けた結果、住基ネットの情報以上に漏れると大変な情報が盗み出されてしまう可能性だってあるわけです。

      でも、長野県にしろマスコミにしろ、その辺全然取り上げないし。
      今回にしても、特にTV局は反応鈍そうですから……
      総務省も(仮に今回は「住基ネットには」侵入されなかったにせよ)、
      自治体に……というより、全国自治体に『強制力を持った』アラートを上げてくれればいいのですが……

      もちろん、セキュリティ確保には継続的な維持が必要なのは言うまでもなく。

      #明日NW(SSじゃないよ)の試験受けてくるけどID
      親コメント
    • > つまり、(りゃく)、正規のアクセスと区別がつかないならば、侵入できるということですね。

      それはどんなセキュリティ対策でもそうだと思うが・・
      (「正規のアクセスと区別ができない」なら、それは「正規のアクセス」なんでしょ?)
      区別できるようにするのが大事なんだよね?

      米クロウ社が言ってるのは、「庁内LANにも侵入できないようにするべきだ」ってことじゃないの?
      親コメント
  • by kei100 (5854) on 2003年10月18日 19時30分 (#417174)
    じゃあ、将来的に安心かと言われたら、それは違うだろうなぁと。
    変な安心感もって、何もしなくなるなんて事にならないことを願う。

    # お店で売ってるアンチウイルスソフトを入れて放置しておけば、
    # もうウイルスには感染しないって考える人みたいにさ。
    --
    私を信じないで、貴方を裏切ってしまうから。
    • そうね、雰囲気としては、

      ダムを検査しました。適当に見繕った30箇所(1平方センチ)を
      くまなく調べたところ傷ひとつありませんでした。
      あ、検査箇所については、真ん中の方は大変なんで
      地上から目視で確認できるところを適当に選びました。
      大丈夫そうなんでもう2度と検査はしません。

      みたいな感じね。これで未来永劫ダムは決壊しませんって
      言われても納得する人は少ないでしょう。

      #希望者には自分のデータが参照される度に
      #通知が行くシステムとかにしたら面白いかも。
      --
      Kiyotan
      親コメント
  • 推進協議会って? (スコア:2, すばらしい洞察)

    by yeez (11049) on 2003年10月18日 21時20分 (#417228) 日記
    この地方自治情報センターの付属機関、
    「住基ネット推進協議会の運営」をしているみたいですね。
    (地方自治情報センターの組織図 [nippon-net.ne.jp])

    なんだかなー。
  • こういう物は、 (スコア:2, すばらしい洞察)

    by krackmania (7864) on 2003年10月18日 21時56分 (#417249) 日記
    毎年、毎月やらないと意味無いよなあ。
  • 根本的解決法? (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年10月18日 18時36分 (#417134)
    住民基本台帳ネットワーク接続するのを止める。
    →役人が漏らしたらしょうがないだろ! データだから盗んだり改ざんしたりするのも簡単だぜ!?
    住民基本台帳をコンピューター管理するのを止める。
    →それでも役人が漏らす可能性は否定できないだろ! だって役人だぜ!?
    住民基本台帳を管理するのを止める。
    →待てよ、戸籍とかも管理は役所(役人)なんだろ? それってヤバイじゃん!
    ……

    以降、国が解体されるまでエンドレス
  • 「侵入できなかったから大丈夫です」も間違いなら「侵入できちゃったから安心できません」だけでも説明不足。某社のSecurity Updateが毎週出ていたものを毎月にしたから、余計セキュリティ的にまずい期間が増えた、ということでもなく、だいたい「この結果で大丈夫だったから安心」という言い方そのものがとても安心できないものだ、というのがこの分野のセキュリティというものでしょう。

    非常に低次元の論争のおこぼれでお金もうけができたクロウ社はうらやましいねー、というのが、正直な実感だね。このままだまってれば、今後もいい商売になるから、言いたい事があっても、まだまだ、だまっていようね。シロウト相手の商売はこういうところがおいしい、という良い見本だね。
  • by Anonymous Coward on 2003年10月18日 21時43分 (#417237)
    新聞報道のみで信じるとですが。

    論理として、もっとも難しい証明は「それは存在しない」という証明です。なぜなら、反例を1個でも示されたら崩壊する論理ですので。

    ですから、安全性を証明したいのであれば、考えられそうな状況を考慮して試験する(反例つぶし)のが通例だと思われます。
    しかし、新聞報道では、東京都の1つの区についてのみ試験したとありますね。

    ネットへの接続形式や、パスワードの管理等、さまざまな方法があるのに、どうしてここだけ?という疑問はあります。
    もしかして、いちばんセキュアな自治体を選んだとか。

    これでOK,というのは信じられないですねぇ。
  • 日本には、あやしい・・・アンダーグラウンドな・・・そういう
    組織はないんですか? あ、あっても分かんないのか。

    そういうところが実際に侵入してみて「侵入できました」と
    声明を出すと。
  • by Anonymous Coward on 2003年10月19日 1時35分 (#417324)
    「品川区」って東京の大都会に位置して区役所のネットワーク
    関連もかなりしっかりしているんじゃないかと思うんですが…。
    あとは事前に連絡してあったろうから設定ミスなどの人的要因は
    完全に排除してあっただろうしなぁ。

    田舎の町役場とまでは言わないから平均的な地方都市(まさに
    長野市くらいの^^;)で抜き打ちでやって欲しかったなぁ。

    #予定通りの火災訓練って全部前もって準備してるから緊張感
    #ないよね。
    • by Anonymous Coward on 2003年10月19日 1時56分 (#417333)
      長野、長野ってバカにしないでください。

      長野県は全国で一番遅く辞令が届く県だって県民が自慢しているんですから。

      # これ、実話です。(笑)
      親コメント
  • 住基ネットに侵入して得る利益とリスクがイマイチ把握できない。
    仮に住基ネットにハカーが侵入したとして、その人は何を得るの?
    • 国のシステムに進入したという実績と名声(?)。
      まぁばれたら手が後ろに回るんで、自己満足レベルでしょうけどw
      親コメント
    • 一説によると、住基ネットに侵入して得られるであろう基本四情報は、その筋では一件(つまり一人分)十円程度で取引されているそうです。十万人くらいの市役所をクラックできれば、最大百万円くらい儲かる計算。

      しかし、外部の人間がクラックすると言うよりは、内部犯行で役人が基本四情報を業者に横流し、ってのがありそうなパターン。
      百万円くらいの公金を横領して捕まる役人っているよね、実際。アクセスログくらいはとっているんだろうけど、ユーザ管理とかログ監査とかが公金出納並みに厳しく行われているとは到底思えない。
      しかも、流失した事実自体発覚しないかもしれないし、発覚しても役所の体質としてそれを隠そうとする方向に行かないとも言えない気がします。
      ま、上の「思えない」とか「気がします」って言うのが事実でなければ良いんだけどね。
      親コメント
  • by Anonymous Coward on 2003年10月18日 17時15分 (#417055)
    ぜひ、インターネットと庁内LANをつなぐFWも検査してください。
    • by t_miyabi (15946) on 2003年10月18日 17時21分 (#417060) ホームページ
      端末オペレートする役人の心も検査してください。
      親コメント
    • by Anonymous Coward on 2003年10月18日 20時18分 (#417195)
      ある県庁内のLAN管理に関わっていますが、 既にウィルスに感染しているサーバを動作している、予算がない (各端末のセキュリティは契約してないので別料金) 等の理由から放置してたりします(ーー;) 末端の技術関係者では危機感が高まってきてはいますが、 上の方々はFWで完璧という認識ですし、 予算無しでボランティアでは限界がありますし。。。 #もうやだよここ関わりたくないよでAC
      親コメント
      • by naruenosekai (13637) on 2003年10月23日 17時57分 (#420029)
        せめてフリーのウイルススキャンソフト(パターンファイルも更新してくれて、防御もできるけどワクチンは有料のやつ)などを入れられないのかなぁ。

        他のマシンから攻撃されないようにFWを各マシンに入れてポートをふさいでなるべくセキュリティホール突かれないようにするとか、次善の策を打つ必要はあると思うのだが...
        親コメント
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...