パスワードを忘れた? アカウント作成
30410 story
ニュース

職場への不満から(?)自分以外の管理者パスワードを無効にしたエンジニア、逮捕される 73

ストーリー by hylom
海外でもですか 部門より

あるAnonymous Coward 曰く、

米サンフランシスコ市の技術部門に勤めるエンジニアTerry Childs氏が、コンピュータシステムを改ざんし、自分以外のアドミンパスワードを全て無効にした疑いで逮捕された(San Francisco Chronicle本家記事)。

動機については本人の口からは明らかにされていないが、氏の仕事のパフォーマンスが悪いことを理由に解雇が検討されたことがあり、職場に対する不満があったのではないかと推測されている。また、氏は自身の人事的進退についての動きをシステム上で不正にトレースしていた疑いも持たれている。また、Child氏または共謀する(もしくは依頼された)第三者によりメールや給与情報等の重要データが削除される可能性を恐れ、自宅や車の捜査を行ったが、今のところそのような証拠は見つかっていない。

Child氏がパスワードを教えることを拒んでいるため、現在管理者はアクセス権限が殆どないそうだが、システム自体は問題なく稼動しているという。

日本でも、契約更新を拒否された派遣管理者が管理者パスワードを悪用する事件があったばかり。こんなことをしてしまっては転職もままならないと思うのだが、こうも続けて報じられると、このような事件は日常茶飯事なのではないかと心配してしまう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • デモ (スコア:5, おもしろおかしい)

    by realloc (27431) on 2008年07月17日 20時24分 (#1385341)
    >現在管理者はアクセス権限が殆どないそうだが、システム自体は問題なく稼動しているという。

    うちのシステムは、管理者が居なくてもきちんと動きますよという壮大なデモ。
  • rootに必要なもの (スコア:5, おもしろおかしい)

    by manmos (29892) on 2008年07月17日 21時31分 (#1385408) 日記
    昔、netnewsのsignatureで
    「rootに必要なもの。高い倫理観と安い給料」
    ってのがあった。
  • これと似たような話で、システム開発を行って納品しきちんと稼動しているにもかかわらず、支払いが滞って入金されない場合っていう話をまれに聞きます。この場合、契約書で検収条件や支払い条件などを記載して締結を行うのですが、支払われなかった場合は開発者はどのような対応をすればよいのでしょう?

    レンタルサーバーや電話回線は、支払いができなかったら運用が止まってしまうのですが、上記のような場合は支払いの延滞の場合は、クライアントのシステムに勝手にログインしてサーバーを止めてしまっても良いものなのでしょうか。

    解雇されたり契約が継続されなかったりしても、やはりシステムに勝手にログインして業務を妨げることは違法ですよね。
    契約書に明記しておけば良いのかな。「途中で解雇したり契約が継続されない場合は、私が作ったプログラムの権利は消滅します」なんて。
    やはり、契約に関することは弁護士に相談したほうが良いでしょうね。
    • by Anonymous Coward on 2008年07月17日 20時27分 (#1385343)
      悪質なところは、財務上の問題を何とかするために会計年度を超えるまで検収を上げないという姑息な手段に出るんだよね。
      検収条件は同じだけれども技術部門と経理部門の両方で検収を行って、技術部門は検収を上げるんだけれども経理部門は難癖をつけて検収を上げまいとする。
      検収をまぬかれて納入されたシステムは売上を上げるけれども、システムの所有は検収を上げて支払いをするまでは自分のところの会社の資産じゃないから売上を上げた月からシステムの値段+管理費分が丸々儲かる。

      こういう話を聞くたびに胃がキリキリするんだ。
      下請法にもろ引っかかってる [jftc.go.jp]と思うので公取にタレこめるはずなんだが、会社は次の売上のためだかなんだか知らないけどやらないんだよな・・。
      親コメント
    • by Dobon (7495) on 2008年07月18日 0時28分 (#1385521) 日記
      米国のとある教授は、システムに3~4週間で「自動停止」する機能を組み込んでいました。

      支払い拒否されるのを見越して組み込んだらしいです……
      --
      notice : I ignore an anonymous contribution.
      親コメント
    • by Anonymous Coward on 2008年07月17日 20時09分 (#1385333)
      債務不履行で契約先の銀行口座を凍結したら、慌てて入金があった
      という話をみたことがあるような
      親コメント
      • by Takahiro_Chou (21972) on 2008年07月17日 21時01分 (#1385382) 日記

        債務不履行で契約先の銀行口座を凍結したら、慌てて入金があった
        という話をみたことがあるような

        銀行口座を凍結されてるのに、どうやって金を振り込めたのか、考えると、夜も眠れません。

        親コメント
        • 差し押さえ・強制執行をかけたら慌てて支払ったみたいな話だった記憶が。
          どこで見たんだっけなぁ…
          親コメント
        • by Anonymous Coward
          風呂敷に現金包んで持って行ったんじゃないの、と勝手な憶測を飛ばしてみる。
          • by Anonymous Coward
            例の徳島のウナギ会社も、地銀では支店窓口の現金引き出し限度額に引っかかるので、地銀の口座を解約して信金にしたって話ですからね。あえて振込みを使わずに、現金にこだわる大口取引は、なんかヤバイ匂いが…。

            # 当然、国外持ち出しとかあるだろうなぁ
    • サーバー止めるのは許されるかもしれないが、権限なしに「勝手にログイン」するのはダメだと思う。

      ログイン権限が無い状態で相手のサーバー止めたいなら、裁判所に仮処分の申請するしかないのでは?
      親コメント
      • by yasudas (5610) on 2008年07月17日 22時15分 (#1385435) 日記
        >サーバー止めるのは許されるかもしれないが、権限なしに「勝手にログイン」するのはダメだと思う。

        某物流系とか某金融系のシステムの運用やっているけど、勝手にログインは多いんだよな。
        ログみると、計画/周知されたアクセス外ログインが多くて困っている。
        権限なしならそもそもログインできないのだが、権限所有者の傲岸不遜さには困っちゃう。

        最近、それを突っ込んだら、ログの改竄やってくれたのがいて、問題になっちゃったんだな。
        金魚鉢(ガラス&ドアで区切られた管理者のみ入ってオケ)にいる運用屋としては、何をか言わんや..なんだけどね。
        親コメント
    • 最初の運用は試用期間で、登録パスワードを入れないと試用期間後の運用ができなくなる。
      振り込み確認後、パスワードを教えるということで。

      最初の契約時に、そういう運用の仕方を仕様として明記して、受け入れてもらうことですな。
      • by Anonymous Coward
        それで先方は常に試用状態で運用するわけですね、分かります。
        • by Anonymous Coward
          それは言葉使い次第ですよ。
          アルファテスト、ベータテストを、「製品版」「サービスパック1」として市場に流す企業がいるように、
          それなりに聞こえがいい呼び方をすればいいだけです。
      • by Anonymous Coward
        > 最初の契約時に、そういう運用の仕方を仕様として明記して、受け入れてもらうことですな。

        そもそも、支払い不履行と判断された時に、
        関わるシステム・サービスの提供を断りなく停止することを、
        契約時に取り交わしておけばいいだけだと思うのですが・・・。
    • by Anonymous Coward
      某○○○は、購買に納品をしに行ったら、その場で価格を下げろと言いやがりました。 日本の大手の電気会社です。はっきり言って、日本の大手の企業の購買は、値切る ことだけが自身の評価につながっているだけです。成果をまっとうに評価する力量 は皆無、まともな取引をする姿勢をしなくとも恥じないろくでなしです。
      • by Anonymous Coward
        どこの国もそうだよ
        むしろ日本ぐらいじゃないの?信頼とかぬるま湯なこと言ってるの

        金は払わない方が勝ちなの
        • by kaguyaboshi (31023) on 2008年07月17日 22時24分 (#1385444) 日記
          契約時に交渉して値切るのならともかく、納品時に(契約書に記載されてない難癖をつけて)値切るのは信義にもとるでしょう。
          信頼なしに契約はなく、契約したなら信頼に応えねばなりません。
          信用をなくせば立ちゆかなくなるのはどこの国でも同じでは?

          金は払わない方が勝ちなの
          この言葉は一面の真理ではありますが、それだけで世の中渡っていけるほど甘くもないと思いますが。
          親コメント
          • by Anonymous Coward
            #1385401では、某○○○が世の中渡っていけてると言っているようですよ。
        • by Anonymous Coward on 2008年07月17日 22時17分 (#1385438)
          日本の良き風習を否定するあなたは何人?

          まあ、日本人は大多数の人が信用を重んじるのでそれを踏みにじる人は村八分にされるだけですが、
          それに逆切れされてもねぇ…。
          文化の違いって言えばそれまでですが、郷に入れば郷に従えですよ。

          # 「どこの国もそうだよ」っていう言葉はある特定の国々の人達の口からしか聴いたことが無いな。
          # 「わが国はそうだ」って言う国がほとんどじゃない?
          親コメント
  • 余罪があれば (スコア:3, おもしろおかしい)

    by miishika (12648) on 2008年07月17日 21時37分 (#1385413) 日記
    この州に死刑が存在するかどうかは存じておりませんが、仮にこの人が
    何人もの殺人を犯したとしても、パスワードが分かるまでは死刑執行が
    できないということでしょうか。
  • by Anonymous Coward on 2008年07月18日 3時28分 (#1385557)
    >Child氏がパスワードを教えることを拒んでいる
    相当アレなパスワードが設定されてるですよね。わかります。
  • by Anonymous Coward on 2008年07月17日 22時17分 (#1385439)
    似たような話で、上司と仲が悪かったプログラマが、納品直前のソースコードを
    PCごと全部フォーマットしたまま逃げたってのはあったなぁ。

    #1モジュールを一人が担当してたせいで1,2年そこのモジュールのリリース
    #が遅れたんだよなぁ。ちょっと特殊なプログラムだから分業というわけにも
    #いかないし。
  • まったく (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2008年07月17日 22時18分 (#1385440)
    子供みたいだね。>Childs氏
  • 引継ぎ時に自分のアカウントを消そうとして、失敗しただけとか。

    退職時に、身辺整理中になんか重要そうなファイル消しちゃったぽいけど、
    このあと送迎会だから、まいっか、、、って結構ありそう。

    実際、あなたも退職した○さんのやってた仕事に関係する重要なファイルが
    どうしても見つからない。。。って経験ありませんか?

    # さっき仕事の煽りメールが来たのでIDで
    ## 回答したメールの返信で最後が、(wになってて煽りかと思った。
    ## Reで最後の(was以降が消えただけだったが。
  • 甘いな (スコア:2, 参考になる)

    by Dobon (7495) on 2008年07月18日 0時43分 (#1385525) 日記
    詰めが甘いです。
    自分も含め、全管理者のアカウントを無効にするべきでした。 嫌がらせは徹底しないと。

    # 重要なのが『通常の業務には影響が出ないこと』
    # 業務が動いている限り、OS再インストールなどの思い切った手は使えませんから、事態がずるずる長引きます。
    --
    notice : I ignore an anonymous contribution.
    • by matma (34555) on 2008年07月18日 1時24分 (#1385536)
      >自分も含め、全管理者のアカウントを無効にするべきでした。 嫌がらせは徹底しないと。

      自分のパスワードは有効である、というのもまだ裏が取れていないわけで。

      実は自分のパスワードも無効、ゆえに自白も不可能。
      全アカウントが死んでるとは雇用元企業は知るよしもなく当事者に自白をさせようとする。
      「たとえ我が身がどれほどの拷問を受けようとも~」

      ・・・・・・みたいな、素直に全アカウント無効と言うよりもさらなる嫌がらせかと。
      親コメント
  • 自分以外って (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2008年07月17日 21時08分 (#1385389)
    自分が疑われるのは自明でしょうに。無理やり好意的に解釈すると、それほど頭が回らない状態に追い込まれてたのかな?

    #Childs氏>タレコミ
  • by Anonymous Coward on 2008年07月18日 5時32分 (#1385567)
    詳しい方々の話がよく理解できないまま書いてますが、要は人事もひっくるめてシステムが脆弱だと。その原因として、コンピュータ上の権限と、職場での権限の不一致があるのではないですか。もともと、地方自治体の仕事なんてかなりコンピュータで置き換えられるものでしょ? 本当は、エンジニアはもっと大切にされるべきなのでは。

    たとえば将来は、コンピュータと人的資源をひっくるめてシステム管理できてこその管理職、となるのではないでしょうか。つまり上の人間はエンジニアでもあり、情報システムと、その下の窓口嬢などインターフェース役の人間を使うというわけです。どちらも、ちゃんと考える力があれば、できるはずの仕事で。

    今は過渡期でしょうから、エンジニアはもっと実力行使していけばどうですか。今でこそクソ呼ばわりされているチャイルズさんですが、あとから歴史を振り返れば、「下っ端だった、哀れな昔のエンジニア」に見えるかも。
    • 微妙に抜けている。

      その場合、システム管理者の責任ある職と定めて待遇が良くするならば、
      同時にその職に就く人間性や身辺の調査が厳密に行われる様になる。

      そうして今より狭き門となった時代から歴史を振り返れば「いい加減だった、哀れな昔のエンジニア」であり、
      クソ扱いの地位は揺るがないかと。
      --
      =-=-= The Inelegance(無粋な人) =-=-=
      親コメント
  • 自分以外の管理者パスワードを「無し」にして、ウェルカムなシステムにしたのかと思った。

    #だとしたら、自分のアカウントだけパスワードを残しておく意味がわからない。
    --
    羊の皮を被った山羊
  • by Anonymous Coward on 2008年07月17日 20時46分 (#1385366)
    事は単にプロ意識の無いレベルの者の愚行というだけで、
    エンジニア以前に人間としてのモラルが欠けているとも言えるが、
    まあ馬鹿はどこにでも居るというだけの話だろう。

    もっとも、この手の人事をする前にシステム全体の管理者は
    こういうアドミンの権限を解除しておくのが手順なので、
    そういったことを怠ったのは会社の運営上のミスだとは言えよう。
    少なくとも人事はその位まで気を配らないといけないよ。

    #昔居た、とある会社ではきちんと事前の対処はやってたぞ。
    • by saitoh (10803) on 2008年07月17日 21時15分 (#1385393)
      OSが何か知りませんが。いまどきのWindowsならでパスワードリセットディスクを作成しておくとか、事前に手を打っておくべきでしたね。 この事例のようなことはあまりないにしても、 管理者が急病で人事不省になったとか、急死したとか、「パスワードがわからなくて困る」ことはあるわけで。

      つい先日、前任者の残した手書きメモに従ってrootのパスワードを入力してもエラーになってログインできなくてこまりました。I のように見えた文字が実は 1  だったという。。。

      つーか、管理者パスワードを強制的に解除する手段はたいていあるわけだし(トラステッドOSだとどうだか知らないですが)。それより、ラックやコンピュータの筐体の鍵も隠されてしまうと困るけど。

      親コメント
    • by funya (14942) on 2008年07月17日 21時17分 (#1385394)
      もちろん、こそこそやっていたんだが、その人事情報を盗み見ていたので、やられちゃった
      ってな話なんでしょ?

      C2セキュリティなんて真面目にやるからリカバリできないわけでさ。C2セキュリティなんて
      リスクでしかないよ。
      親コメント
    • by Anonymous Coward
      あったなぁ。新人の頃に客と長年付き合いのある先輩の補助として行って
      Admin権限が必要な作業は先輩がやって、おれはマニュアル修正とか雑用メインで1,2週間で何事もなく作業は終わった。
      しかし、数年に1回しか使わないシステムで先輩、客先管理者等主要メンバーがいなくなり誰もAdminパスワードがわからない。
      おれにも電話来たんだけど覚えてない所か、事件起こせる危険なパスワードだしそもそも必要もないので聞いたことがない。

      犯人がいれば犯人のせいだろうけど、どうやって幕引きしたんだろう。。。
  • by Anonymous Coward on 2008年07月17日 21時18分 (#1385395)
    外部から管理者権限でリモートログインできるシステムにも問題があるのでは?

    リモートログインできない社内端末だけ、サーバーに管理者権限でリモートログイン可能という設定にしておけばいいのに。
    社に侵入するか、社内端末を踏み台にしなきゃいけない分、不正アクセスが難しくなる。

    UNIXなどで一般ユーザーでリモートログインしてから、suでrootになるのを拒否できるのかは知らないが。

    #自宅から管理できたほうが楽?安全犠牲にして楽とっちゃダメだな。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...