パスワードを忘れた? アカウント作成
12164 story

住基ネットのパスワードがWinnyネットワークに流出 193

ストーリー by yoosee
そもそも文書内にパスワードを書くなよとか色々… 部門より

あるAnonymous Coward曰く、"毎日新聞の29日の記事によると、北海道斜里町地方公務員が、住民基本台帳ネットワークシステムの操作マニュアルや接続パスワードなどを含む約20のファイルを「住基ネット」というフォルダに入れてWinnyが稼働している自宅PCにコピーし、ウィルス感染によってそれらの機密情報を Winnyネットワークに流出させたらしい。 記事によると、流出中のファイルには「パスワード入力画面が出たら××と入力する」などと記載されているとのこと。 住基ネット全国センターは町に厳重に抗議すると話している。

また、住基ネット全国センターが各市区町村に送った「セキュリティホールの対策について」という2004年8月3日付の通知文も流出中だそうで、ブラウザの脆弱性について速やかに対応するよう求める内容になっている。住基ネットでもInternet Explorerが使われているとは驚きだ。

なおこの流出は前日の報道で「斜里町の行政情報流出 ウィニーで 税未納の個人名も」とされていたのと同じもの。総務省から15日に同町に通報があって発覚し、28日に公表されたものだが、同日の会見で斜里町はこれらのファイルが流出していることを知りながら、「会見で聞かれなかったので言わなかった」としている。町幹部は「住基ネットのパスワードが出たことがそれほど重要なこととは思わなかった」と述べているそうだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by GRA21 (2062) on 2006年03月29日 12時37分 (#911069) 日記
    漏れたこと自体も問題ではあるが、

    パスワードが通常の操作マニュアルの中に明記されており、そのファイルを一般の職員が普通にコピーしたり(印刷したり?)できる状況にあること自体が問題なのではないか。

    パスワードをどう管理すべきかという管理ポリシーが住基ネットの運用の中に無いということなのか。それとも管理ポリシーはあるがそれをこの町が破っているということなのか。

    前者なら前者で、LASDEC?住基ネット全国センター?が管理すべき仕組み全体の問題だし、後者なら後者で、町および町を監査すべき立場にある人(LASDEC?住基ネット全国センター?)の問題なのではないか。

    簡単に「Winnyで情報を漏らす町がアホ」で終わらせてはならない問題だと思う。

  • 重要でないなら、ぜひ (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2006年03月29日 11時46分 (#910999)
    >町幹部は「住基ネットのパスワードが出たことがそれほど重要なこととは思わなかった」と述べているそうだ。

    情報公開してくれるんでしょうか?公開請求してみましょう。
  • by Anonymous Coward on 2006年03月29日 11時47分 (#911000)
    > CSとCS端末で使うブラウザー(閲覧ソフト)のぜい弱性を説明、速やかに対応することを求める記述
    > 対策をとらないと攻撃者にパソコン制御を乗っ取られる危険性がある

    ・ブラウザとはWebブラウザなのかCS専用ブラウザなのか。(タレコミではIEとなっているが、ソースは?)
    ・住基ネットは外部ネットワークには繋いでいない筈ではなかったか。
     その状態でどうやって制御を乗っ取られるのか。

    > 同町は28日に会見を開き -略- 「パスワードは昨日変更した。住基ネットの端末パソコンは、認証カードがなければ使えないので問題はない。

    ・なぜ変更が15日でなく27日なのか。

    > 流出したのは02年4月~04年10月にかけて作成された住基ネット関連のマニュアルのほか

    ・住基ネットに乗っていた情報は放流されなかったと思って良いのか。

    > 「住基ネットのパスワードが出たことがそれほど重要なこととは思わなかった」

    ・アホなのか。

  • by znc (2768) on 2006年03月29日 11時54分 (#911013)
    > 町幹部は「住基ネットのパスワードが出たことがそれほど重要なこととは思わなかった」と述べているそうだ。"
    ここに住基ネットの問題が集約されている気がします。

    どれだけ、この部分に多くのコストと犠牲が払われた事か・・・
    --
    『今日の屈辱に耐え明日の為に生きるのが男だ』
    宇宙戦艦 ヤマト 艦長 沖田十三氏談
    2006/06/23 JPN 1 - 4 BRA
  • by lunatic_sparc (15416) on 2006年03月29日 12時43分 (#911074)
    ひょっとすると、これは『水道代を滞納しているとどうなるかわかってんだろうな!』って新手の脅しなのでわ。

    なるほど。この手を使えば年金未払者とか受信料滞納者への実効性のある対策になりそうですね。(違
  • 今がチャンス!!! (スコア:3, おもしろおかしい)

    by Jango (29897) on 2006年03月29日 12時53分 (#911088)

    いま報道発表すると、個々の事件が曖昧になる可能性が高いですよ~

    #まさに、「木を隠すなら森の中」(えっ?
  • テンプレート (スコア:3, すばらしい洞察)

    by k3c (4386) on 2006年03月29日 15時06分 (#911211) ホームページ 日記
    「パスワードは昨日変更した。住基ネットの端末パソコンは、認証カードがなければ使えないので問題はない。」

    オートロックの番号は昨日変更した。家には鍵がないと入れないので問題はない。
  • もしかして (スコア:2, 興味深い)

    by Elbereth (17793) on 2006年03月29日 11時39分 (#910990)
    俺ってエスパー?? [srad.jp]

    というのは冗談にしても、上の投稿をした時点では
    住民の個人情報が漏れることを想定して書いたんだけども
    今回はそれはなかったようで、不幸中の幸いというか、
    メルトダウン一歩手前というか、最悪の事態は避けられたと
    いう状態でしょうか。。
    • Re:もしかして (スコア:3, すばらしい洞察)

      by lunatic_sparc (15416) on 2006年03月29日 12時25分 (#911050)
      > というのは冗談にしても、上の投稿をした時点では
      > 住民の個人情報が漏れることを想定して書いたんだけども

      大丈夫。まだリンクする機会はありますよ。
      親コメント
  • by Anonymous Coward on 2006年03月29日 11時41分 (#910994)
    同町の金盛典夫・総務環境部長は「パスワードは昨日変更した。住基ネットの端末パソコンは、認証カードがなければ使えないので問題はない。住基ネットに関する流出を隠していたわけでないが、会見で聞かれなかったので言わなかった」としている。
    「ICカードが必要なので問題ない」って、じゃあ何のためにパスワードがあると思ってんだよ、馬鹿じゃねーのか。

    しかも15日に指摘があったのに「昨日」パスワードを変更か。

    • by Anonymous Coward on 2006年03月29日 12時48分 (#911080)
      どれもこれもadminなので飾りだと思ってました・・・
      親コメント
    • by Anonymous Coward on 2006年03月29日 12時35分 (#911062)
      認証カードとパスワード、セットで運用ですよ。
      銀行印が盗まれても通帳が盗まれてなければ預金は無事、と同じ程度の意味です。
      認証カード自体は外部に出ませんからスキミングされる可能性はかなり低いし。

      #なにを熱くなってるのかな
      親コメント
      • by Anonymous Coward on 2006年03月29日 14時11分 (#911173)
        なぜパスワードが必要なのか、と言うことに何も答えていないのに、なぜ得意げ?

        両方存在することで防犯能力を高めていたわけで、その片方が崩れ去ったと言うことは相当問題だと思いますが。

        また、認証カードが外部に出ないと言う根拠はなんでしょう?今までだって、パスワードその他は外部に出ないことになっていたんですが。まさか物理的に盗むのはさらに難しいと思ってる?

        問題はモラルです。パスワードを読み取れるファイルに保管するなんてことが普通に行われており、たまたまその中で特にモラルが低く運が悪く、中途半端な知識の人間によって表に出たわけです。

        これが氷山の一角だと思うのは当然だと思いますが。

        今まで行政側が「専用の回線に専用の端末を使っているので安全だ」といっていましたが、そのシステムとは関係のないところでおきてしまったのが今回の事故。役所全体、総合的に考え直さなければいくら一部のシステムを高度にしたって大して意味が無い、ということを証明してしまったわけです。

        #それからたとえも不適切。銀行印が盗まれたら普通は大騒ぎになると思いますが
        #通帳に代わりになる書類があれば引き出せてしまうしな
        親コメント
    • 「行政のモラルは所詮その程度です」という事実を自ら表明しているだけですよね。こんなこと言えば言うほど行政の印象が悪くなります。自分の首を絞めたがっているとしか思えません。

      ま,パスワードが飾りというより,住基ネット自体が飾りなわけですが。
      親コメント
  • by Anonymous Cowboy (6205) on 2006年03月29日 11時47分 (#911002)
    パスワードだけあっても何もできない。

    住基ネットは依然外部からアクセスできないし、カードキーも必要らしい。つまり物理的な障壁が何重にも残ってる状態。

    事実上、(たいして重要でもなさそうな)操作マニュアルが漏れただけじゃないの?

    「住基ネット完成の暁には全国のあらゆる住民情報がじゃぶじゃぶ漏れ放題」とかそういう未来予想図から考えれば何もなかったといってもいいレベル。

    それより「水道料の未納者リスト」が流出したほうが実害としてはよっぽど問題じゃないの?

    #まあ当事者の認識不足は問題だけどさ。
    • by toge_boze (30314) on 2006年03月29日 12時01分 (#911020)
      >住基ネットは依然外部からアクセスできないし、カードキーも必要らしい。つまり物理的な障壁が何重にも残ってる状態。

      なんでそんなもののマニュアルを自宅PCにコピーしたのかが気になりますね。
      自宅で操作の練習ができるわけでもあるまいし…

      他の**もっと重要な**ファイルと一緒にフォルダ毎自宅へ持ち帰って作業してたんですかねぇ

      #もちろん「聞かれなかったから答えなかった」ファイル
      親コメント
      • 確かにパスワードやカードが無くてはログインは出来ないけど、知るべきではない人に余分な情報が渡るのは怖い気がします。

        例えば、「今まで気づかなかったけど、管理者マニュアル読んだみたら実は同じネットワークでした」みたいな人が、
        いるかもしれないし、仮にそんな人がいて何もしないという保証はないし。

        こんなの推測しだしたらキリがないですけどね。
        親コメント
    • by onikuya (17148) on 2006年03月29日 12時02分 (#911021) 日記
      この場合、Winnyに流出したのが問題ではなく内部文書を容易に持ち出す所員の教育がなっていないのが重大な問題なのだと思う。
      親コメント
    • by Anonymous Coward on 2006年03月29日 12時49分 (#911081)
      >住基ネットは依然外部からアクセスできないし

      表向きは「外部ネットワークとの物理的な繋がりは無い」とは言っているけど
      自治体設置のマシンは住基ネットともインターネットとも繋がっているので
      実は外部アクセス可能っていうのは有名な話。

      >事実上、(たいして重要でもなさそうな)操作マニュアルが漏れただけじゃないの?

      この手の資料は基本的に持出厳禁、関係者以外閲覧禁止なので、その「漏れた」って事が問題。
      親コメント
      • by Anonymous Coward on 2006年03月29日 13時24分 (#911133)
        >表向きは「外部ネットワークとの物理的な繋がりは無い」とは言っているけど
        >自治体設置のマシンは住基ネットともインターネットとも繋がっているので
        >実は外部アクセス可能っていうのは有名な話。

        ソースを。
        でなければ、伝説の呂布?。
        親コメント
        • by Anonymous Coward on 2006年03月29日 18時10分 (#911339)
          ソースはありました。

          http://www.soumu.go.jp/c-gyousei/daityo/index.html
          で、「利用者みんなが住基ネットを理解するための」Q&A(PDF)
          (総務省・住民基本台帳ネットワークシステム推進協議会作成パンフレット)
          の3ページ目左下Q7で、

          以下引用

          「住基ネットがインターネットと直接つながっていることは決して
          ありませんが、住基ネットにつながる市区町村LANとインターネット
          が物理的に結びついている市区町村もあります。
          その場合でも、市区町村が市区町村LANヘの不正侵入の防止など
          適切に監理しています」

          引用終了

          だそうです。

          #やっぱりあのとき反対して登録しないでよかった某350万市民より。
          親コメント
    • by parsley (5772) on 2006年03月29日 13時20分 (#911128) 日記
      物理的な障壁って?

      職員に催眠術かけて、思ったように操作させれば片づく問題じゃない?

      そんな腕がない?じゃ訓練しなさい。
      --
      Copyright (c) 2001-2014 Parsley, All rights reserved.
      親コメント
    • by Anonymous Coward on 2006年03月29日 19時59分 (#911399)
      住基ネットが完成する前から既にじゃぶじゃぶ漏れ放題で、
      住基ネットが表に出たことで注目されちゃって、むしろ漏れなくなってるんですけどね。

      「住基ネット完成の暁には全国のあらゆる住民情報がじゃぶじゃぶ漏れ放題」
      なんて妄想を抱いてる人って日々幸せに暮らしてるんでしょうねぇ。
      親コメント
      • 十年くらい前から、本人が知らないうちに住民票を移されていたり、国民健康保険証が作り替えられていたり、挙げ句の果てには婚姻届が出ていたり、という事件が頻発していたようです(本人確認の実施のお知らせの一例) [nagano.jp] 本人確認を実施するにしても、何人かグルになれば役所をだますことはできますよねぇ。
        セキュリティの確保って大変難しい問題だと思います。
        で、ここからが本題ですが、一般的な市役所や役場の造りって「開かれた行政」を体現するためか開放的な作りになっているところが大変多いです。そしてカウンター越しに「どこに何があるのか」わかるわけですね。
        そういう環境下で業務システムの使用方法とかバレたら閉庁後とかに外部の悪い人とか、庁内の悪い人とかが悪いことをしやすくなりますね。
        ですので、今回の情報流出は結構重大だと思います。
        現在のように『情報』の価値が高まってきていて、狙われるリスクも高まってきている状況下では、情報セキュリティの確保を計るには建物の構造、部外者のアクセスできる範囲の検討なども必要になってくると思います。
        親コメント
    • そんな管理しているんじゃ信用できませんね

      データを管理するためには物理的にもPCなどを管理し
      なきゃならないわけで、それができないなら物理キーも
      どれだけ管理できてるのやら

      #昔どこかで挿しっぱなしって話し聴いた記憶があるような
      親コメント
  • by Anonymous Coward on 2006年03月29日 11時54分 (#911012)
    これだけ流出騒ぎが起きている中で「まだWinny使うか?」と思ったけど、感染→流出した時期って分かるのでしょうか?
    タレコミ文から少なくとも2004/8/3以降であることは分かります。ファイルのタイムスタンプなどから分かるのでしょうか>Winny経験者さま

    総務省から通知がいったということは、総務省でWinny流出ファイルを監視しているのでしょうね。

    #一日中、怪しげなファイルを開きまくることが仕事な人がいるワケか・・・
  • by Anonymous Coward on 2006年03月29日 11時48分 (#911004)
    情報流出した担当者は片っ端から逮捕で良いんじゃないかと思うんだけど。
    著作権保護法の方で。
    • by Namany (19002) on 2006年03月29日 11時53分 (#911009) 日記
      京都府警がわりと最初の方にやっちゃったおかげで、それができなくなっちゃったんじゃないですか。

      #著作権管理団体からの流出まだ~?
      親コメント
    • by Anonymous Coward on 2006年03月29日 13時04分 (#911103)
      同感。
      京都府警の警官を、著作権関係で追訴しなかったのは大失敗だった。
      あの時多くの人は、

      ・Winnyを使った人は悪くない
      ・悪いのWinnyを作った人

      と理解した。
      その結果が今の惨状。

      今からでも遅くないので、刑事と民事の両方で徹底的に追求する構えを見せるべきだ。
      親コメント
      • by nim (10479) on 2006年03月29日 13時47分 (#911151)
        ・ダウンロードは著作権法違反に問えない
        ・著作権法違反は親告罪
        ・単なる事実の記述や羅列には著作権は発生しない

        ので、著作権法違反を問うのは無理だと思います。
        業務で作成するメモや表、個人情報のリストなどに著作権が発生するというのは無理筋でしょう。
        営業プレゼンなど、人によって出来が違うものならいけるでしょうが。
        親コメント
    • パスフレーズを詩にしておきますか。
      親コメント
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...