パスワードを忘れた? アカウント作成
353613 submission
情報漏洩

疑う人はどうぞご自由に調査して下さい 3

タレコミ by ozanarisan
ozanarisan 曰く、
だいぶ以前のことです2003年に私は市の催しである写真展のキャプション作成業務を請け負いました
その経緯は以前にはてなダイアリーにてブログに書き、アクセス数もそれなりにあったので覚えている方もいるかと思います
今回書くのはそれに書きそびれた
住基ネットの元となっている役所が使っている住民戸籍DBの不正使用についてなどについてです
例えば彼らはマイクロソフトのデベロッパー版の開発ソフトを使用していますが
員数、端末数を虚偽に申し立て使用しています
当時日本マイクロソフトにも連絡しましたが調査は行わなかったようです
それはまあ寄らば大樹の蔭ということなのでしょうが
問題は住基ネットと密接な関係にある住民戸籍サーバのDBについてです
彼らが使用しているのはPostgreSQLベースのDBを使用しています
このことをつい最近はてなダイアリーに書いたところ
「バークレーライセンスなんだからいいんじゃね?」
というようなコメントがつきそれでその話題は終わりにさせられてしまいました
しかしよく考えると確かにバークレーライセンスは一見GPLほど厳格ではありませんが
条項が甘い分バークレーライセンスが条項違反に対してGPL以上に厳しいのは皆さんもご存じだと思います
役所はセキュリティなど考えてない上にライセンス条項を明記しておらず杜撰な管理の下で使用しております
尤も使用しているのがSUN ULTRA SPARK2ですしSUN=富士通OEMですから
ベンダーには了承を得ているのかもしれませんけれど
しかし漏洩すべくシステム管理を行っていたとすれば話は違います

ちなみに、なぜか職員の管理は別回線で外部業者委託でOracleを使っていたりしますw
住民は職員以下の扱いという…
さらに一般職員の端末からもPostgreSQL自体に容易にアクセスが可能な状態でした
見えてはならない状態が見えているのは充分危険だとはおわかりでしょう
そして当時の教育委員長から機密サーバから情報が漏れているという相談をされ
アカウントを立ち会いの下確認すると
アドミニストレーターグループの中にアドミニストレーターしか持てない権限の代わりに
とんでもない権限をそのアカウントに付与していました
そしてそのアカウントは各部署で共通で使われている、
企画部幹部幹部候補生から構成されていたIT推進委員会専用のアカウントでした
つまり彼らによって漏洩されるべくして漏洩されていたのです

話は変わりますが
昨年海保の動画流出事件があり犯人は共有ホルダーから入手していたと供述していますが
庁内LANの細部までは報道されませんでしたが
おそらく他部署のワークグルーブ、さらにそのワークグループ内の端末まで見えていたと思われます
その報道を知ったとき私は
「どうしてあのときに政府に問題を上げなかったのだ」と呻きました
当時それを総務省なりに上げていたらそんな事件が起きる確率はまず起きえないくらい低かったことでしょう

私自身当時実際その状態をモニターでみた時には背筋が凍りました
なんとかしようと上に対策などレポートを作成し上げてはみましたが
当時の首長は「私は部下を信じている」などとまともにとりあいませんでした
それでも食い下がり点検はなんとか行ったものの
その後のセキュリティ企業によるテストの評価はBでした
ガチガチに固めてそのくらいが関の山なのです

そして内部で私が正規に告発を始めると
ネットや実生活で嫌がらせが始まりました
親族は心労で倒れ、私自身内臓を壊しました
警察は証拠となるアクセスログの保全ではなく
掲示板書き込みとログの削除を掲示板運営にさせました
私に協力してくれた人のおかげで犯人グループの蜥蜴の尻尾的な一名を確保し
警察はそれを元に検察に送致しましたが
検察は当初公判予定を突然ひっくり返し、略式起訴罰金刑となりました
それも名誉毀損でです。当初から私は過去の判例上、これは不正アクセス法関係に該当すると訴えましたが
担当の刑事は当たらないと言い放ちました
さらに私が正規告発を行うと言うと「それは無理だよ」といなされてしまいました
法の下で手続きを踏んでの告発すらできなかったのです
加えて、私は庁内に出入りする際に貸与される電子機器上の認識ID(つまり役所内の認識ID)をそのグループによって
外部に流出され、それを役所に「このIDの人物云々」というFAXを送られたりしているのです
この時点で不正アクセス関連の法が成立するはずですが警察は判例自体を知らなかったようです

私は有罪無罪はともかく公判によって危機意識を知らしめることが重要と考えていたので
呆然としました、しかも御用納めの日という笑えないような話です
翌年、その町の警察署長はなぜか消防署長に天下りしました理由は存じません
あなたの情報はあなたの知らない間に漏洩されているかもしれないのです

そしてジャーナリストというものは日本にはいないのだともよくわかりました
当時毎日新聞から電話取材がありました
その記者の方はネットワークの知識がまるでないようで
概念を説明するだけで時間がかかったこともあり
その記者の方は
「後日詳細をお訊きしたいので再度連絡させて頂きます」
それ以後一切連絡はありませんでした

一色という動画流出をした海保員に私はいいたい
あなたのしたことは告発でもなんでもない政治的な扇動だと

信じるか信じないかはあなたの自由です疑うならどうぞご自分で調べなさるといいでしょう
もう一つ言うならデーモンハッカーはいつからエージェントスミスに成り下がったんだ?と尋ねずにはいられません

情報元へのリンク
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
  • 確かに私が知ったのは2003年と古いかもしれません、でもシステムは今もそのままなのです、でなければ海保動画事件は起こらなかったとは言えませんが起きる可能性はとても低かったでしょう。市のwebサーバにしても付け加えるなら、通常ならば一社単体でドメインは管理するでしょう、ところがwhoisで調べてみて下さい。内部で使われているサブドメインと市のサイトのサブドメインは別会社なのです。具体的には市の広告的なサイトは富士通、内部はOCNです。違う会社がクロスサブドメイン管理していること自体異常だとは思いませんか?さらに私に当初に渡された端末にはNT4ServerにそのままWin2000Workstationを上書き状態でした。どのように使われていたかはシステムディレクトリ自体が丸見えでしたので、プリンタサーバーとして使われていたと判明。また、企画部が抱えてる人事などの職員のためのセキュリティは別システムで固めてあるという…。広報誌にしてもMacがあるのにヒラギノを使わないばかりか、PDF入稿ではないのです。見本をエディカラーファイル形式で作り、印刷所で「こういう風にお願いします」それを課員10人くらい総出でするという。フォント選択にしても種類がないせめてMacが使えたら違ったのですがそういうわけにもいかず「MSゴシックでいいですよね?」「MSゴシックはちょっとなぁ…」HGと比べてどっちがMSゴシックか当てて下さいとやればよかったのかもしれません。尚、総務省の肝煎でフォトショップ、イラストレーター、エディカラーの三点セット導入で助成金の話は本当です。代理店は電通ですが、業者は大塚商会です。コンソールつまりCUIを使える人物すらいないので技術評論社のUNIXハンドブックオレンジとパープルの二冊を課長に教え「課員にこれを読ませてとりあえずwin95が動く古いマシンはありますよね?それでネットワークには繋がずに壊れるまで勉強させて下さい。業務には使わない練習機としてなど」や別箇所でWindowsでHTTPdを動かすにはどうしたらなどと尋ねられてわかりやすいテキスト探して教えたり、その間に本来の業務終わってます。ちなみにとってもまずいこと書きましょうか?大抵の役所はクラスB使ってます。常時使える端末はそれしか用意してないんです。それが現状です。しかも無線!台湾製のアレでスヌークしての総当たりでなんとかなっちゃうんですよ。OCN謹製の防壁なんて単なるNGワードの類いでアングラだのポルノだので弾くというALCすら理解できてる人がいない上に、業者も下請けの孫請けレベルです。だったらシンプルにして関門をがっちりが基本だと思うのですが。なにせugtopの確認君すらアクセスできませんでした今もおそらくそうでしょう。他のサイトの同じようなもっとザルザルなところで調査するのがやっとという。じゃあ彼らに資質がないかといと、「フォトショップとイラストレーター覚えとくと転職に困らないですねえ」と言った次の日にテキスト自費で購入してるんですから。餌の与え方でやる気を出せない中間管理職が非効率化の元凶ではあるようですが。なにせ面接で「私はレイアウターでもデザイナーでもないので仕様、つまり字のデザインや枠の大きさなどは決まってないとどうにもなりません」「大丈夫決まってる!」業者に発注する段階でサイズが決まっていれば業者側で裁断して納品すると思うのですが。勤務して三日目くらいでしょうか。とりあえず環境作ってのベタ打ちできたところで「君の仕事きたよ~」こちらは当然新しく来るはずの写真だと思えば、裁断されてないスチレンボードの枠。「これくらいかなぁ」と目分なサイズを作って「これで切って」…下敷きとかなしでです。元が出鱈目なサイズですからずれますずれます。切れました。「話が違うじゃないですか!」と怒鳴ると聞かぬ存ぜぬを決め込む。なにせ彼らテキスト流し込みでなくエディカラー本体で原稿書いてたりしますから。そりゃあ時間もかかりますわな。セキュリティ問題と本来の業務で届いてるはずのものが届いてないそのときのボクの心境を軽く書いたものです
    http://d.hatena.ne.jp/ozanari3/20110616 [hatena.ne.jp]
    おまけに彼ら写真展が終わった後で「彼がやったのは文章を少し直しただけです」などと裏方ですからこういうこと言いたくないですけど、少なくともあなたたちよりは見る目も書く能力もあります。実際ボクが評価した和光市だったかな?の広報誌はその年度の最優秀賞だったそうです。彼らは莫迦にしてましたけどね。少なくとも商業媒体で書いてた人間に対して言えるような文章を彼らは書けるんでしょうか。思い出すとこれでもかこれでもかというくらい彼らの無能力さが頭に来て文章に出てしまいます。失敬。参考までに彼らはリーダー的な役(まあ編集長ですね)を作り広報誌などを作っているようですが、階級は全員同じなんですから一週間なり一ヶ月ごとに交代制でその役を変えていけば急の時になんとかなるし後人にも繋がるということすら理解できていないようですよ。今も。予告と取っていいです。交渉のために先日役所内に入りました。民間と違って生体認証なんてものは導入されてない上に同僚の顔もろくすっぽ覚えてないぼんくらばかりだったので侵入するなら外からでも内からでも行けちゃうなーこれは…。というのが感想です。そのくせ「我々が市を動かしているのだ~」違いますよ。市を動かしているのは現場の人です清掃課や税金課みたいなね。市の催しを企画する企画部が心臓部だなんて誰がしるでしょう…恐ろしい

    --
    _( (_´Д`)_ おざなりさん
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...