富山大工学部サーバーにサイバー攻撃  パスワードは「123456」

 
 ■ 富山大にサイバー攻撃 サーバーのパスワード単純なまま  2015.6.7 朝日
     http://www.asahi.com/articles/ASH625DS6H62UUPI001.html

富山大学(富山市)で今年2月、工学部のサーバーが海外からのサイバー攻撃で乗っ取られ、米国への新たな攻撃に利用されていたことがわかった。情報流出は確認できていないというが、同大は文部科学省に報告し、富山県警にも相談している。サーバーの管理パスワードが単純で納入時から変えていなかったといい、セキュリティー体制の甘さが浮き彫りになった。  関係者によると、2月27日未明、不正アクセスでサーバー1台にウイルスが送り込まれ、約3時間半、米国企業のサーバーに向けて大量のデータを送り続けてパンクさせる「DDoS(ディードス)攻撃」をしていた。サイバー攻撃では身元を隠すため、複数のサーバーを悪用して乗っ取り、攻撃を肩代わりさせ、情報流出の拠点にするケースが多い。今回も攻撃の「中継点」として使われたとみられる。

同日正午すぎ、学内のコンピューターがネットにつながらなくなる障害が起きたことから事態が発覚した。不正アクセスの痕跡は2月20日から27日にかけて計4回分見つかった。送り元のIPアドレス(ネット上の住所)は米国、中国、インドの3カ国だった。 大学のコンピューターシステムは学術研究の目的で、世界のネットと直結するIPアドレスを優先的に割り当てられている。その分サイバー攻撃の標的にされやすく、厳重なセキュリティー体制が求められる。

しかし、<富山大は「123456」といった単純な数字の羅列のパスワードでサーバーを管理していた。 担当者は「業者が納入したままの状態で使っていた」と説明。   学内で調査にあたった沖野浩二助教(情報セキュリティー)は「再三にわたり、注意を呼びかけていた。対策を怠っていたと言わざるを得ない」と話す。また、サーバーは外部から誰でもアクセスできる状態だったほか、セキュリティー対策も最新型に更新されていなかったという。 情報セキュリティー会社「S&J」社長の三輪信雄さんは「パスワードを一度も変えていないとすれば、過去にも不正アクセスがあったと考えるのが自然。一回の被害の調査だけで、情報流出が起きていないと判断するのは危険だ」と述べ、過去にさかのぼった調査の必要性を指摘する。(須藤龍也)




再三にわたり、注意を呼びかける人がいたにも関わらず、
その担当者は「123456」のパスワードでサーバーを使ったままで
乗っ取られて、悪用されて、世の中の迷惑になった というわけです。


富山大学は、その担当者に、
大学のイメージダウンの分の損害賠償を請求しますでしょうか。
あるいは、降格や減俸といった見える形で処分をするでしょうか。

そんな風には厳罰はしないんじゃないかな と思います。

日本のお役所系の組織ですし
いまそこにある危機に対して、よろず平和ボケしてるかもなので。



 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

 ■ 年金情報流出 不審な添付ファイル、複数人が開く
   「パスワード設定なし」の内規違反も
   2015年6月2日 産経
   http://www.itmedia.co.jp/news/articles/1506/02/news067.html

旧社会保険庁時代には芸能人などの年金加入記録を無断で閲覧して情報を流出させたとして、職員 3千人 以上が処分を受けた日本年金機構。こうした記録のぞき見や汚職事件などの不祥事を受けて新たに発足した組織でまた、情報流出が起きた。流出した情報の中には内規に違反してパスワードを設定せずに保存していたものもあり、機構の水島藤一郎理事長は「内規違反に当たり、極めて重い責任がある」とうなだれた。

機構によると、流出した約125万件の情報は、勤務先情報や所得、年金受給額などの記録を扱う基幹システムから、基礎年金番号や氏名などの一部をDVDなどの記録媒体を使って持ち出し、年金事務所などの情報系サーバーやパソコンに保存されていた。

内規では情報を保存する際にはパスワードを設定することになっていたが、
約55万件の情報にはパスワードが設定されていなかった。

また、情報が保存されていたファイルの名前も、外部の人間が見て内容が
推察できるものだったり、内容を暗号化していなかったりしたという。


旧社保庁時代の不祥事と異なり、今回の情報流出では、機構が不正アクセスの被害者という側面もある。しかし、不正アクセスに対する機構や職員の危機意識は低かった。機構は普段から、職員に不審なメールを開かないよう指導。最初に不正アクセスが確認された5月8日には、全職員に対してメールや職員用の掲示などで注意を呼びかけたが、その後も複数の職員がメールに添付されたファイルを開いてしまった。 機構はメールの表題や文面について「外国語やプライベートの内容のメールではなく、業務上開ける理由がまったくないとはいえない内容だった」と説明するが、不正な通信を確認してからすぐに、全てのネットワークを遮断しなかったことが被害を拡大させた。   機構は警視庁から情報流出が確認されたとの連絡を受けた28日から、流出情報の内容を精査し、問い合わせに応じる窓口設置の準備を始めた。流出した恐れのある加入者については注意を促す画面が表示できるようシステムを変更。該当する加入者へは個別に文書で謝罪する方針だが、件数が膨大なためすぐにはできないという。また、29日までに全拠点でインターネットへの接続を遮断したため、外部情報を検索できないなど業務に支障も出ている。



 ■ 年金情報、ダウンロードした職員PCから流出か  2015.6.3 朝日
   http://www.asahi.com/articles/ASH6263LGH62UTFL00H.html

職員のパソコンとはLAN(ローカルエリア・ネットワーク)で結ばれ、アクセス権限を持つ職員が見ることができる。作業がやりやすいように、情報をパソコンにダウンロードしてファイルで保存することも認められている。ファイルで保存する場合には原則としてパスワードをかける内規があるが、今回流出した約125万件のうち、4割強にあたる約55万件はパスワードがかかっていなかった。  情報セキュリティー会社「S&J」の三輪信雄社長は「インターネットに接続された端末で個人情報を扱うなど論外だ。基幹システムをネットワークから切り離していた意味がなく、大事な情報を取り扱う公的機関としてはまったく不十分だ」と指摘する。 



 ■ 年金機構流出:3度の判断ミスで流出拡大 2015.6.5 読売
   http://www.yomiuri.co.jp/it/security/goshinjyutsu/20150605-OYT8T50305.html?from=ytop_ylist

日本年金機構から125万件の個人情報が流出した事件に関しては、問題点がいくつかある。ウイルス感染が原因だが、それ以上に感染がわかってからの対応が遅すぎた。日本年金機構は3度も判断ミスをして、情報流出を拡大させている。(ITジャーナリスト・三上洋)

日本年金機構からの125万件の個人情報流出は、公的機関では史上最大の流出事件となった。

国民の大事な情報を預かる部門からの流出だけに、「管理がずさんすぎる」という怒りの声や、「セキュリティーが甘すぎる」という批判が出ている。しかし感情的な非難だけでは、トラブルは解決できないし、極端な規制・ルール化を強制する原因にもなる。問題を切り分け、どこが重要なのか、起きてしかたがないことと、起きてからの対応をじっくり考えたほうがよい。

 問題点は大きく分けて「メール添付ファイルのクリック:職員のセキュリティー意識」「ネット接続のパソコンでの作業:機構内部のセキュリティー体制」「ウイルス感染後の処置:危機管理体制」の3つがある。特に最後の感染後の処置では、日本年金機構は3度の判断ミスをしている。

問題点1:職員のセキュリティー意識の甘さ「標的型メールからのウイルス感染」

そもそもの原因は、機構の九州ブロック本部(福岡)の職員が、標的型メールによってウイルス感染したことから始まった。標的型メールとは、官公庁や企業でのウイルス感染・情報盗取を狙って、犯人が送りつけるメールのこと。標的型メールは3年ほど前から増えているサイバー攻撃で、巧妙な手口でウイルス感染させようとする。日本年金機構での事実関係をまとめる。(事実関係は、読売新聞・日本テレビなどの報道による)

▲日本年金機構での標的型メールの事実関係

・5月8日に九州ブロック本部の職員に「厚生年金基金制度の見直しについて(試案)に関する意見」というタイトルのメールが届く
・発信元は無料メールアドレスであるYahoo!メール。ファイル添付ではなくURLのリンクがあり、オンラインストレージ(ファイルのネット保存サービス)であるYahoo!ボックスへのURLアドレスが書かれていた
・このファイルを開いたことでウイルス感染
・その後、18日前後に約100通の標的型メールが、日本年金機構の様々なメールアドレスに届く。タイトルは「厚生年金徴収関係研修資料」「給付研究委員会オープンセミナーのご案内」「医療費通知」の3種類だった
・18日前後の標的型メールは、添付ファイルがあり、圧縮ファイルだった
・この標的型メールで、東京などで27台のパソコンがウイルス感染した

 最初の問題は、職員のセキュリティー意識の甘さだ。メールの発信元はYahoo!の無料メールアドレスだったから、開く前に確認すれば「怪しいな」と気付くことができただろう。公的な文書をオンラインストレージ経由で送ることも、疑うポイントとなる。また18日前後の添付ファイル付きメールでは、年金機構からの警告があったものの、職員が圧縮ファイルを開封し、27台ものパソコンがウイルス感染した。これも意識の甘さと言えるだろう。

 ただし、この事故をゼロにするのは難しい。というのは、標的型メールはとても巧妙で、「開かねばならない」と思わせる心理的な手口を使っているからだ。

 たとえば1通目のタイトルは、厚労省のウェブサイトにある文書と同じであり、職員であればクリックしてしまいがちだ。また18日以降の攻撃は、最初の感染・情報流出によって得られたデータを基にして、さらに高度になっている可能性が高い。たとえばメールの発信人を実在する職員にする、実際にやりとりされているメールの内容をそのまま使う、添付ファイルも機構内部でやりとりされているタイトルにする、といった手口だ。これによって27台ものパソコンが感染した。

 年金機構の内部でやりとりされているメールと同じスタイルであれば、開いてしまう人が出るだろう。開いてしまった職員にも問題があるが、現実問題として開封するのをゼロにするのは難しい。業務がストップしてしまうからだ。

 職員の教育を行い、標的型メールを間違って開かないように訓練することは欠かせない。しかしながらゼロにするのは無理だと考えて、「標的型メールを開いてしまったらどうする?(上司への報告、ネットからの遮断)」「ウイルス感染したらどうする?(ネットワーク全体の停止、ネット遮断、専門家への相談)」といった事後の処理が大切だと考える。標的型メール対策ソフトの導入も一案だ。
問題点2:機構内部の作業でのセキュリティーが甘い「ファイル共有サーバーからの流出」

 2つ目の問題点は、125万件の個人情報が流出した「ファイル共有サーバー」での作業の問題だ。ネットワークに接続されたサーバーに、個人情報が置かれていたために、ウイルス感染したパソコンを通じて情報が流出した。パスワードをかけていなかったなどの問題点もある。

▲日本年金機構での作業・ファイル共有サーバーの事実関係

・年金の大元のデータは、基幹システム(社会保険オンラインシステム)に保存されており、ネットワークから物理的に遮断されている
・基幹システムからの流出はみつかっていない
・小規模な事務処理では、基幹サーバーからDVDやCD-ROMなどでデータをコピーし、ファイル共有サーバーに移して作業をしていた
・ウイルス感染したパソコンを通じて、ファイル共有サーバーにあった約1000個の個人情報が入ったファイルが流出
・ファイル共有サーバーに移したり、パソコンに保存したりする場合は、パスワードを設定することが内規で定められている
・パスワードがかけられたファイルはごく一部にすぎず、その他のファイルはパスワードなしで見られる状態だった(件数にして55万件)

 問題は作業のスタイルにあった。基幹システムは物理的にネットワークにつながっていないため流出はなかったが、そこから取り出したデータの扱いに問題があったのだ。ファイル共有サーバー(情報系システム)に置いて作業をするか、職員のパソコンにコピーして作業をしたために、ウイルス感染したパソコンを通じて流出した。また多くのファイルにパスワードをかけていなかったことも問題視されている。

 理想は、すべて基幹システムだけで作業すること。しかしながら実際には難しい。作業に関わる人数が多いため、基幹システムに多くの職員がアクセスすることになってしまう。これは逆に流出の危険性が高くなるだろう。

 そこで考えられるのが、インターネットと物理的に遮断した専用の端末での作業だ。これであれば、職員のパソコンが標的型メールでウイルス感染しても、情報が流出する危険性が低くなる。一部の地方公共団体では、このスタイルで情報を守っている。

 問題はそれだけの予算がつくかどうかだ。職員それぞれに2台のパソコンが必要となり、専用のネットワークを構築し、新たにセキュリティー対策を施す必要がある。国民の重要な情報を守るためなのだから、徹底して守ってほしいが、それだけの予算を確保できるかどうかが大きな課題だ。

 なおパスワードをかけていなかったことも問題となっているが、パスワードをかけていても、流出してしまっては元も子もない。犯人の手元にファイルが行ってしまえば、総当たりや辞書攻撃のツールで、パスワードを解析されてしまうからだ。パスワードをかけていなかったのは問題だが、本質的な問題ではないと筆者は考えている。
問題点3:年金機構は3度も判断を間違えた「事故対応の遅れで流出拡大」

 最後の問題点は、ウイルス感染後の対応があまりにも甘く、あまりにも遅い点だ。これが情報流出を拡大させてしまった最大の原因だ。事実関係を見てみよう。

▲ウイルス感染後の日本年金機構の対応の事実関係

・8日に九州ブロック本部の職員のパソコンがウイルス感染
・内閣サイバーセキュリティセンター(NISC)が不審な通信を察知して機構に伝える
・感染したパソコンのケーブルを抜いて通信を遮断
・機構がセキュリティー会社に調査を依頼
・15日にセキュリティー会社が「情報を流出させるタイプではない」と報告したため、機構は静観
・18日前後に機構職員の個人アドレスに、約100通の標的型メールが届く
・27台のパソコンがウイルス感染
・19日に警察に捜査依頼
・22日に九州で不審な通信検知、23日東京でも不審な通信
・28日に警察から情報流出の連絡
・29日にインターネットを遮断

 あまりにもお粗末で、遅すぎる対応だ。8日にウイルス感染してから、丸々3週間、インターネットに接続したままの状態だった。犯人から見ると「3週間近く、ファイルを盗み放題」の状態にあったと想像できる。機構の対応の遅さが、情報流出を拡大させてしまったことは確実だ。

 大きな情報流出が起きた場合、セキュリティー会社の最初のアドバイスは「抜線(ばっせん)」である。抜線とは、LANケーブルを抜いて、インターネットから遮断すること。不審な通信を察知したら、まずはネットを遮断して、被害をストップさせる。

 日本年金機構は、今回の流出で、3度も判断を誤っている。まずは8日の最初のウイルス感染の時点で、九州ブロック本部を「抜線」すべきだった。しかし該当のパソコン1台で済ませてしまっている。

 2度目の判断ミスは、18日に約100通の標的型メールが届いた時点のミスだ。機構職員の個人アドレスにメールが届いているのだから、最初の感染でメールのやり取りなどが流出したことを疑わなければならない。しかしここでも静観し、ネットを遮断しなかった。

 3度目の判断ミスは、22日だ。不審な通信を再び検知したのに、ここでもネットを遮断しなかった。2回目の不審な通信なのだから、この時点で多数のパソコンがやられていることを想定し、機構全体のインターネット接続を遮断するべきだった。

 1回目であれば九州ブロック本部での抜線で済んだ可能性が高い。しかし静観してしまったために、全国に拡大。その後は、機構全体のネット接続を遮断することに躊躇(ちゅうちょ)し、3週間もかかってしまっている。

 今回の流出の最大の問題は、この対応の遅さにある。問題点1の標的型メールでの感染は、今後も起きうること。問題点2の作業パソコンの問題は、物理的に仕方のない面もある。しかし問題点3の「対応の遅さ」は、判断ミスによるもので、年金機構のセキュリティー意識があまりに甘いことを露呈している。
感染前提のセキュリティー対策を。トップの判断と事故シミュレーション

 このように機構側の3度の判断ミスが、情報流出を拡大させてしまった。今後の課題としては、事故が起きたらいち早く対応する、思い切って抜線すること、この2つを徹底することだ。

 ウイルス感染や情報流出は、今後も起きる。セキュリティー対策をいくら高めても、ゼロにすることは無理だろう。サイバー攻撃の手口が巧妙化している上に、内部漏えいも考えられるからだ。

 そのため官公庁、政府、企業は「事故前提のセキュリティー対策」が必要になる。ウイルス感染、情報流出は常に起きることと考えておく。

 やるべきことの1つはシミュレーション。事故が起きたら、どのように対応するかを演習しておく。もう1つは理事長や社長などのトップが指揮をすることだ。事故の対応はスピードがもっとも重要なので、トップの采配で事後対応を行うこと。具体的には、業務を止めてでも「抜線」することが重要である。

 マイナンバーを導入する前に、関連する官公庁は、ぜひシミュレーションを行ってほしい。「絶対に流出を起こさない」と縛るのではなく、「事故が起きたらどうする」という危機管理体制を作るべきだと筆者は考える。





マイナンバーを導入する前に、関連する官公庁は、ぜひシミュレーションを行ってほしい。 
と記事にありましたが、さましく その通りと思います。



でも、それ以前に北朝鮮の核ミサイルや、中華人民共和国の軍拡への
危機感があまい日本は、まだマイナンバーを導入するには早いんじゃないでしょうか。

集団的自衛権なんて、国家の正当防衛でしょうに。
憲法の解釈以前に、世界的な常識じゃないですか。
それなのに、政府がおたおたしてるレベルなんですもの、日本。

マイナンバーを導入する資格というか
危機への政府の感度が信用できないです。

マイナンバー導入は、いま迫る国の危機にしっかり対処してみせてから
にしていただきたいと思うのですが


関連記事
コメント
コメントの投稿
管理者にだけ表示を許可する
最新記事
全記事表示

全ての記事を表示する

ご来訪 ありがとうございます

いの 01

Author:いの 01
家づくり ローコストで堅牢、健康 ローコストで健康、子供の将来の社会のために提言
がメインです。   全記事表示

リンク
このブログをリンクに追加する
家づくりの急所
ステキな記事へリンク♪2
子育てマンガ日記 (おちゃずけさん)
今日も元気で♪月~金 連載
 単行本化が間近か?
パパはエンジニアン (金)連載
  おちゃずけさん
■ この簡単なしつけで成績が上がる
小学生のときから勉強好きにさせる法』 灘校を東大合格NO.1にした勝山 正躬
■ 見える学力、見えない学力
子供に学力の土台をしっかりつくる

 単行本 発売中!!お弁当の名作の数々
  『ママからの小さな贈り物』 みさよさん

 愛・祈り・そして音楽 三谷結子さん
■ 『 愛ある仕事 』 2009/02/04
  ※ ブログ内記事: 『 妻の 愛ある仕事
■ 「 やる気スイッチ 」  のんきぃさん

 ちかおばちゃんに訊いてみて
■ 全国学力テスト結果公表 ちかさん
北海道は、教育改革に対する機動性に乏しい。
秋田県の小学校、宿題忘れは居残し
■ トラウマ     おかんさん
なぜ2万円を浮かせるために…
■ ほんとにその通りになっていく
くまたさん ※ 子供を伸ばす話し方   褒める
■ ほんとにその通りになっていく?
あくびさん 言葉の力を使って大きく伸ばす
■ 東大合格生のノートはかならず美しい      morinokaoriさん
※子供を伸ばす上手な話し方 間をおくこと
■ 会社に行こう! おちゃずけさん
男の子がまっすぐ育つために…
■ どんぐり      おちゃずけさん
日本のどんぐり22種。そのまま…
■ 食育から乳がんまで 幕内先生
   あっちゃん   おコメのチカラ
■ ポケモンと辞書引き  あっちゃん
子供を 図鑑 好きにの秘策
■ じゃがいも研究~その3「らせんの秘密♪」 ゆっかりん♪ 「世界を変えた野菜 読本」は食育におすすめ
■ 貧血改善の為に・・。 香織さん
カフェインと貧血の関係上手にコーヒーを
■ すぐれもの     みい☆さん
ブドウ の風味が凝縮し 香り気高く すっきり鋭く甘い白ワイン
■ 剣道帳 夢に向かって1本!みさよさん
■ 『失敗は子育ての宝物』 みいさん
■ ( ̄。 ̄)ホーーォ。  香織さん
■ ハイハイ☆ルーム  ひまちょさん
■ やってしまった~! oriseiさん
■ 親が病気になったとき モウコハンさん
■  初・圧力鍋   みゆめ*さん
■ 道路がスケート場  かたくりさん
■ リンクの貼り方講座 むっちさん
スパイダーウィック家の謎@みかづきさん
「スパイダーウィック家の謎」の なぞの5巻…
■ 世界を動かした塩の物語 ゆらゆらゆるり
■ 世界を動かした塩の物語 morinokaori
鱈(たら) 世界を変えた魚の歴史
   は、食育にぴったり!

■ ノンタン・タータンあそび図鑑マグロさん
絵本「ノンタン がんばるもん」を 読んで
■ 「トトロを楽しもう♪  ゆっかりん♪さん
三びきのやぎのがらがらどん を読んで
■ パプリカのぬか漬け』 ぬかlifeさん
■ とろける生キャラメルの作り方なめっぴ
Special Thanks
サイト紹介: Sun Eternity
→移転改題  3ET
http://annkokunokizinn.blog116.fc2.com/
→移転 http://3et.org/
プログラミング開発日記やゲームレビューやPCの役立ち情報などのさまざまなことを紹介&ネタのサイトでお薦めです。
管理人の(旧annkoku)サンエタさんは共有プラグイン・テンプレートの作者です。
(旧作は作者annkokuで検索)
先日、Firefoxを勧めていただき大感謝。
● IE6をFirefoxへは正解! 早い。安定。お気に入りがタグつきで便利。
■ テンプ(新緑): annkokuさん
   『Nature_Mystery_2culm
■ テンプ(金字桜): Chakoさん
   『beige_sakura-black
   『beige_sakura-white
■ テンプ(清楚な台所): meecoroさん
   『 kitchen01・02 』
   『gohan』 『beach』 『simple02』
■ テンプ(さくら): 杏さん
   『 anzu-tp2_13
読みやすく 美しく 感謝しています。
FC2 便利で使いやすい。