はてなブックマーク

こんばんは。昨日滋賀県内の病院(どこの病院かは記事からは分かりませんが)のWebサーバのroot権限を不正アクセスにより入手したという記事が載っていました。 逮捕された高校生たちは病院の電子カルテに不正アクセスして、患者の個人情報を入手しようとしていたのだろうと推測します。 www.sankei.com しかし、一般的には病院内電子カルテネットワークはインターネットとは切り離されているケースが多いです。完全に切り離していると、これはこれで別の問題があるのですが、このへんについては後日書いてみたいと思います。 世間一般的には「ネットワークは一本化されているものだと」という風な思い込みがあるのではないでしょうか。まさにその典型が一昨日の「ドクターX」でした。 一昨日の概要はテレビ朝日のwebページに記載されています。以下を御参照下さい。 www.tv-asahi.co.jp ウイルス対策、標的

こんばんは。昨日は陸上自衛隊ネットワークへの不正アクセスについての記事が新聞各社で取り上げられてました。 こちらは西日本新聞です。学術ネットワーク(SINETのことかと思われます)を経由して、防衛省関係の組織内ネットワークに接続し、陸上自衛隊のネットワークに接続したとあります。インターネット接続系のオープンネットワークと、防衛関係の機密情報を扱うクローズドネットワークの2つが存在するとのことです。ここで問題なのは、端末を切り替えてオープンネットワークとクローズドネットワークに接続する点です。経費節約もあるんでしょうが、切替忘れとかで侵入経路を作ってしまったのかなとも思えます。 単に物理的にネットワークを分割しただけではダメで、端末側の問題もきちんと考えないといけない事例ですね。USBメモリ経由の情報漏洩も起き得ますVLAN分割やVDIの利用とも合わせて考えないと拙いかと思われます。 www

こんばんは。徳丸先生にブックマーク＆リツイートいただいたことでPVが一気に増えて驚いている不覚亭ヨウ素でございます。（徳丸先生ありがとうございました） 一昨日の京都銀行インターネットバンキングにおけるログインパスワード定期変更に関する話題の続きになります。問題は2つありそうです。一つは、一般ユーザの方々の「パスワード」に関する扱いについて。そして、もう一つは管理サイド（この場合はSIerも含む）がどのように考えているのかという点です。 前者に関しては、かなり軽く考えている向きがあるように思えます。現在も追っている佐賀県教育委員会での情報漏洩事件でもそうですが、生徒が簡単にパスワードを他人に教えてしまうことから見てもそう考えられます。付箋に書いてディスプレイの縁に貼っておくのもそうでしょう。危機管理が出来ていません。他にもメールソフトにパスワードを記憶させていて、PCを買い換えて環境移行させ

こんばんは。京都銀行のインターネットバンキングにおけるログインパスワードの定期的変更に関するお知らせがいろいろと波紋を呼んでいますね。 www.kyotobank.co.jp 以前、パスワードの定期的変更がセキュリティ対策として是とされていましたが、パスワードの定期的変更には意味がないという説の方が有力になってきましたね。単純なパスワードを定期的に変更するよりは、複雑なパスワードを設定した方が辞書攻撃やブルートフォース攻撃に対してはるかに有効であるということですよね。 上記の京都銀行のページですが、ログインパスワードの定期的変更にどれだけの意味があるのかということを性格に理解しているのでしょうか？ Twitter上でも@gikokuma さんが書かれてましたように、「定期的なパスワード変更で対応できるのは定期的なパスワード流出事故の対応に有効なだけ」だと思います。 上記ページに書かれている

こんばんは。今日も佐賀県教育情報システム「SEI-Net」に関する記事等を追ってみました。それにしても酷いですねぇ。まだまだいろいろと出てくるというのがなんとも…。orz 今日の佐賀新聞LIVEの記事で「県教委、昨年6月に不正アクセス把握も通報せず」という記事が出ていました。昨年6月に不正アクセスがあったにも関わらず、警察に通報してないわ、県教委内部でも情報共有してなかったというお粗末さ。で、その言い訳が「認識が甘く不適切な対応だった」と。この文面からは生徒や教員・県民に詫びる気持ちが全く伝わってきませんでした。 記事によると、昨年6月時点で特定教員のファイルのアクセス権限が変更されていたことがベンダの点検で判明しているわけなので、確実に不正アクセスされていたことは明らかです。 しかし、その後の対応には首を傾げざるを得ませんでした。「データの移動量の痕跡から情報流出はなかったと判断した」と

こんばんは。昨日一昨日と佐賀県教育情報システム委員会が導入した教育情報システム「SEI-Net」で起きた情報漏洩事件について書きましたが、情報を追っていると出るわ出るわ、あまりにも酷い状況が。ここまで酷いとは思ってもみませんでした。記事を追いながらツッコミマシーンと化してしまってました。(^^;; ここ最近、地方自治体でのサイバー攻撃や不用意な情報漏洩事件が複数発生しています。福井県池田町の町議会事務局長の件は論外として、役所内に情報セキュリティの専門家が不在だという大きな問題があります。多くの自治体の職員採用試験の募集要項を見ていても、事務以外の技術職では土木・電気・機械が多くを占めて、情報区分で採用している例をほとんど見かけません。「ベテラン層にいないから指導出来ない」という一見最もそうな理由を挙げてきそうですが、ならば中途採用すればいい話だろうと思います。なので、電気区分で採用された

こんばんは。今日は新聞各紙のweb上でこの話題が取り上げられています。以前、B-CASカードを使わずに有料放送を受信していたとされる17歳の少年が逮捕されました。今回の一件で再逮捕されたとの報道がありました。 佐賀県内の小中高校等が利用する教育情報システム「SEI-Net」に不正アクセスし、教員や生徒に関する情報を大量にダウンロードしてPCに保存していたそうです。 文科省担当者が「最も進んでいる佐賀県のシステムが破られるとは…」とのコメントをしていたそうです。何かこれには違和感がありました。一部の記事では「最先端」と書かれていたので、さらに違和感が大きくなりました。この場合の「最も進んでいる＝電子黒板普及率」であって、「最も進んでいる≠セキュリティレベルの高さ」ということを物語っています。毎日新聞の記事からの推測ですが、「校内ネットワークに接続した上でIDとパスワードを入力する必要がある」

こんばんは。表題の件について、新聞・テレビ各社が報道してますね。自分なりに情報を追ってみて気づいたことを書いてみようかと思います。 「PCの情報を偽装して、学校近くまで行って無線LANに接続し不正アクセスした。」とありましたが、学校の外まで電波が漏れていたことになります。無線APが無駄に高出力だったのか、職員室等が敷地に隣接した道路近くにあったということなんでしょうか。(まさか勝手に高校敷地内に侵入したとは思いたくないですが) 無線LANに接続したのは、まさかのパスワードなしorWEPだったりするのか？とも思いましたが、「PCの情報を偽装して」という内容から、他の方々も指摘しておられましたようにMACアドレスフィルタリング回避だろうと思われます。 生徒が利用する学習用ネットワークと校務用ネットワークの分離が不十分だったとも報じられています。生徒用に割り当てるIPアドレスと教員用割り当てIP