パスワードを忘れた? アカウント作成
7079 story

住基ネット侵入実験結果が明らかに 313

ストーリー by yourCat
庁内無線LAN禁止にしてくれ 部門より

長野県の侵入実験で住基ネットに侵入成功したと伝えたが、このたび中間報告が行われた。たくさんのタレコミの中から、37A曰く、"毎日新聞によると、長野県の住基ネット侵入実験結果の全容が明らかになったとのこと。ポイントは、以下のとおりです。

  • 自治体の庁内LANに直結した端末から住基ネットのコミュニケーションサーバーや既存住基システムなどに侵入し、自由に操作できる状態になった
  • 無線LAN経由で外部から侵入できた自治体もあった
  • 自治体が管理する個人情報を改ざんしたり、国民全員の個人情報を盗み見ることが可能な状態だった
  • インターネットからの侵入には失敗した

侵入実験は3日半に及んだそうですが、その間、侵入は検知されなかったそうです。"

毎日新聞の続報によれば、総務省サイドの「ファイアーウォールが破られなかったのでやっぱり問題なし」との反論を受けて、長野県は合同実験を提案している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2003年12月16日 17時05分 (#455932)
    男 「えーと、例の侵入実験の担当の者ですが、こちらのHUBお借りしてよろしいですかぁ?」
    職員「あれ、おかしいなぁ。侵入実験は明日って聞いてたんだけど」
    男 「いやー、なんだか知事が必死みたいでぇ、
       明日になると総務省の方のセキュリティが強化されるんで、急遽今日のうちにやっとけと」
    職員「あ、そうですかー。一応念のために、県庁に確認します」
    男 「あ、それがですねぇ。この侵入実験の繰り上げってのが、知事から直接の辞令でぇ、さっきも言ったような理由があるんで
       内密に行えって話なんすよ。その代わり、ほら、これが知事からの指示書」
    職員「なるほどー。いや、あの知事らしいっていうか、オタクらも大変ですなぁ
       じゃ、宜しくお願いしますね」
  • by dejaq (16629) on 2003年12月16日 16時58分 (#455923)
    IT Proにも長野県の住基ネット侵入実験、結果はクロ! [nikkeibp.co.jp]という記事が出てるんだけどさ


    長野県から安全性の評価業務を請け負ったネオテニーの伊藤穰一社長は、「(住基ネットの)セキュリティ・レベルは平均以下。様々な個人情報が盗まれたり改ざんされたりする危険性がある」と結論付ける。

    ネオテニーとか伊藤穰一という文字が見えるだけで,調査結果の信頼性がゼロになってしまうのは俺だけかな?
    • by Anonymous Coward on 2003年12月16日 17時04分 (#455931)
      日経が勝手に追加したであろう「(住基ネットの)」の部分は、
      朝日新聞では「(実験場所の)」だったりするんですが、
      どっちが正しいのかなぁ?
      親コメント
  • 長野県の知事が民主党に近い立場にいる、ということは重要だと思います。このことから、他のコメント(#455953など)にあるような、長野県と総務省が示し合わせている、という可能性は、薄いと思われます。

    どちらかというと、話題性のある住基ネットの脆弱性を政争のネタに使おうとしたけれど、穴を突つく方の手際もお粗末だった、ということのように見えます。

    その結果、脆弱性の改善という方向に議論が向かわず、双方が自分に都合よく捻じ曲げた情報を垂れ流すだけ、という結果になっているとしたら、少なくとも組織のトップのレベルでは「最悪の運用」ですね。
    --
    yp
    • by Anonymous Coward on 2003年12月16日 23時43分 (#456224)
      俺は心情的に長野県側についてしまうなあ。

      スラドの人等には釈迦に説法なんだろうけど、完璧なセキュリティ
      なんてのはなくって、いかにして高度なセキュリティを維持するか
      ということを課題にするべきなのに、それを「FWがあるから安心」
      「テストなんて必要ない」「プロテクトノッチ開けとけば大丈夫」
      と断言しちゃってる総務省というか麻生フロッピー太郎はやはりお
      かしいわけで。
      たしかに長野県というか田中康夫の発表は少々お粗末であったけど
      これで「完璧なセキュリティ」なんてちゃんちゃらおかしいという
      認識が広まれば、もうちょっと色々なことがマシになるんじゃない
      かなあ。

      --
      そして市が栄えた
      親コメント
      • by RST (17992) on 2003年12月16日 23時58分 (#456237)
        趣旨には同意しますが、やはりこの件での一般の認識は「住基ネットは危ない」という表面的なところにとどまってしまう気がするんですが。
        「セキュリティを確保するための(電子的なもの以外も含む)システムの構築」ではなくて「住基ネット賛成派/反対派」に還元されてしまうというか。
        親コメント
  • 外部からの侵入より (スコア:2, すばらしい洞察)

    by nandabe (2412) on 2003年12月16日 17時02分 (#455926)
    外部からの侵入による危険性もそうですが、内部からの情報漏洩の方が、目の前にある恐怖の様な気がします。

    モラルの低い公務員による事件って、最近多いじゃない。
    (報じられることが多くなったためによる錯覚?)

    しかし、今回の実験は、色々と利害が絡んでそうだな。
    誰かが利害・利権関係ゲロしたら、永田町と霞ヶ関も綺麗になるかも知れない・・・・。
    --
    ======= nandabe =======
    • 庁内LAN→CSの侵入に関して、現状では情報が足りていないと感じるので、
      その点では誤解の可能性があることを前提に書きますが。

      他のコメントに、庁内LANからしか侵入できなかったので、庁内LANのセキュリティの問題でしかない、
      という議論がありますが、場合によってはそれだけでない意味があります。
      情報漏洩を「行うことができる」潜在的な人数が大幅に増えるという点です。

      もちろん他の(下手をするとより重要な)個人情報を扱う以上、庁内LANのセキュリティ向上は必要なわけですが。
      仮に庁内LAN自体のセキュリティが完全だったとしても、そこから住基CSに侵入できるかどうかという問題は、
      庁内LANを正規に利用することはできるが、住基ネットに関わる担当者ではないはずのユーザによって、
      住基ネット経由で他自治体のデータを操作できる可能性を考えれば、無視できないはずです。
      また、リスク低減という意味では、全体が安全だと考えられている所でも、
      1箇所を落とされたら全体に侵入されてしまうような構成には注意が必要でしょう。
      利便性とのトレードオフもあるので、一概には言えませんが。

      そもそも、住基ネットが将来的にも現在流している範囲の情報しか扱わないことを前提にしているのならば、
      ここまでの問題にはなっていないのでしょうが、扱う情報をずるずると拡大するような態度を取っていることが
      問題を大きくしていることを、総務省は認識すべきかと思います。
      #もっとも、現在の利用法が上限ならば、ここまでのシステムは税金の無駄という批判を受けるのでしょうが。
      親コメント
    • 要は (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年12月16日 17時38分 (#455970)
      何だかんだ言っても人災を防ぐのが先。

      どこそこの娘さんが結婚すると、
      即座に旦那のプロフがオバはんの昼食のネタになる現状を…。
      親コメント
  • 微妙 (スコア:2, すばらしい洞察)

    by Joga (8113) on 2003年12月16日 22時46分 (#456181)
    どこにつけるか迷ったのでトップにつけちゃうけど、今回の結果は微妙だな。
    どうも、庁内LANからしか突破できなかったみたいだけど、
    これは長野県のLANのセキュリティが脆弱だから、とも言える。
    田中知事は「住基ネットのセキュリティは極めて脆弱だ」と言ってるけど、
    それは長野県内市町村のLANのセキュリティも同じなんだよね?
    自分たちのことは棚に上げてそんなことを言うわけ?
    他の都道府県で同様の試験をやって、どうなるか見てみたい。
    #でも、住基ネットってそもそも「LANに繋ぐな」じゃなかったっけ?

    これで「庁内LANから不正アクセスできるから危険だ」と言うと、
    総務省が「じゃあ、庁内LANも管理する」とか言い出しそうな気がするけど、
    長野県はそれでいいんだろうか?
    #どうせ知事がなんだかんだ言って嫌がると思うけど。

    あと、「内通者がいた」という前提の試験だったらしいけど、
    内通者がいればそりゃ入れんだろ、という気もする。
    職員は職務権限で住基ネットにアクセスできるんだし。
    実際に、内通者がいてそこから住基ネットの情報を改ざんされたら
    たたかれるのは長野県のような気がするのだが。
  • 参考記事 (スコア:2, 参考になる)

    by shiraga (14233) on 2003年12月17日 22時08分 (#456825)
    このZDNetの記事 [zdnet.co.jp]に
    • 長野県が指摘した問題点
    • 双方の論点の違い
    がよくまとまっていると思います。
  • by kazzu (18916) on 2003年12月16日 16時51分 (#455914)
    >無線LAN経由で外部から侵入できた自治体もあった
    WEPすら設定していなかったのか
    それともWEPを解読して侵入したのか
    気になるところ
    つーか、無線LAN(WEP)危険って言われまくってんのに使うなよ!

    #うちの会社ですら1年以上前に禁止令が出たのに
    #それとも闇でアクセスポイント設置してたやつがいたのかなぁ
  • >侵入実験は3日半に及んだそうですが、その間、侵入は検知されな
    かったそうです。

    これはどう解釈すれば?
    侵入されたけど検知機能が全く働いていないように見える。
    --


    # ACなのでAC
  • by Anonymous Coward on 2003年12月16日 17時55分 (#455984)
    なんとなく、住基ネットの問題を侵入の可否だけに矮小化したいような気がしないでもない。内部からの漏洩とか、もっと重大でリアリティのある問題を目隠しするために、総務省も侵入の可否だけに注目させたいのかもね。
  • by signed-coward (17953) on 2003年12月16日 18時17分 (#455998) 日記
    これで、長野県やマスコミが
    「住基ネットはやっぱりダメ」というような言論を
    ことさらに強調しすぎて、
    むしろ今回の侵入実験ではっきりと問題が明るみになった、
    (一部の)自治体庁内LANなどに存在するセキュリティの弱さや、
    セキュリティに対する意識の低さをうやむやにしてしまうことだと思います。

    長野県側としては、どんな手を使ってでも住基ネット叩きをしたいのでしょうが、
    市町村ごとのセキュリティに対して何も言わないあたり、
    その辺は全く無視してしまいそうで……

    #マスコミでも、その辺をはっきり強調していたのはNHKニュース [nhk.or.jp]ぐらいだったような気も……
    • Re:一番怖いのは (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年12月16日 18時54分 (#456018)
      いや、そうじゃなくて、自治体のセキュリティ確保ができていないのに、自治体間を相互接続する「住基ネット」なるものを無理やり稼動させてしまったのは、このプロジェクトを指揮した者の過ちでしょう。
      そうじゃありませんか? その責任は問わなくていいのですか?
      親コメント
      • いや、そうでなくて。 (スコア:2, すばらしい洞察)

        by signed-coward (17953) on 2003年12月16日 21時06分 (#456134) 日記
        責任なんかは別にどこが取ろうが関係ないわけですよ。
        #いや、問題にする人はたくさんいるでしょうけど……

        それよりもむしろ、下のような事態を懸念しているわけで……
        1. 住基ネットは危険だから、長野県では切り離します。
        (1.5 反対派の活躍で、住基ネットは廃止されました)
        2. 表面上はめでたしめでたし。

        3. 市町村のLANや、住民情報に対するセキュリティは、相変わらずセキュリティ甘いままです。
        職員の意識も甘いままなので、セキュリティは良くなりませんでした。

        誰かが責任を取ればすべてが丸く収まるのならば、最初の発言のような
        懸念なぞするわけもなく……
        親コメント
  • by Anonymous Coward on 2003年12月16日 20時27分 (#456095)
    日経コミュニケーションズの記事 [nikkeibp.co.jp]によると、
    住基ネットに個人情報を送るCSや,CS端末の管理者権限を取得し,自由に操作できる状態になった。CSには必要なパッチがあたっていなかったため,権限取得が可能になったという。

    総務省は,(snip)「LASDECが指定した仕様に基づいて設計し,指示通りの設定をしていれば安全」と主張していた部分である。

    長野県のテスト結果を受けてLASDECの戸田夏生システム担当部長は,「CSのパッチは2004年2月に当てることになっていた。そもそもCSはファイアウォールで防御しているので,直接攻撃した今回のテストのやり方は,通常ならありえない状況を作り出している。長野県は,住基ネットと庁内LANの問題を混合し,うまく話をすりかえている」と反論した。

    だそうだ。

    あとは、CS のファイアウォールを「通過する仕組み」 [asahi.com]とやらが本当にあったのかどうかだね。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...