2016年06月29日(水) << 前の日記 | 次の日記 >>
これまでの06月29日 編集

■1「SEI-Net」不正侵入事件にみる佐賀県教育委員会の杜撰[セキュリティ] このエントリーをはてなブックマークに追加

概略はニュース等で大きく報道されている通りで、当然、不正侵入した側にも罪はある訳ですが、県教委側の対応があまりにも杜撰に思えます。
報道によると、

警視庁によりますと、 押収した少年のパソコンからは生徒の成績や住所などの個人情報を含む21万件のデータが見つかり、ことし2月、佐賀県教育委員会に情報提供し、対策を取るように呼びかけたということです。
これを受けて、 県教育委員会はパスワードを変更するなどの対策を取りましたが、その3か月後の先月、校内の無線LANを通じてパスワードなどを入力する同じ手口で県立高校が不正なアクセスを受けていたことが警視庁などへの取材で分かりました。

ということが指摘されています。
この時点で、情報流出が指摘されていたにも関わらず、この事実を公表していなかったことも問題ながら、パスワードの変更などを対策としてそのまま運用を続けていたということで、あまりにも杜撰な対応と言わざるを得ません。
このあたり、県の個人情報に関する取扱規定に対する違反が無かったのでしょうか。民間であれば、再発の防止や二次被害の拡大を防止するため、ガイドライン等で、「公表」「被害者本人への通知」「主務官庁への報告」が求められるところ、あまりにも甘い対応だと指摘せざるを得ません。

今回の事件。別の事件でパソコンが押収されたところから明らかにされたのですが、もし、この事件がなければ、入手された情報が証拠として拡散されるまで、県教委は何ら発表をしなかったのではないかという疑いを抱かざるを得ません。
また、その様な体制では、成績や家庭環境に関するセンシティブな情報をネット上で運用する資格がないのではないかと思います。

■ 関連記事

今日のつぶやき

  • 例えばですね。公共調達してもらおうというクラウドサービス事業者は、ダミーデータを入れたデモサイトを、本番の提供システムと分離して提供したら良いのに。一般にアカウント発行して。2016-06-29 01:54:16 Twitter Web Client
  • どうも報道を読んでいると、とても高度な侵入テクニックが用いられたというより、何より杜撰だったという感じしかしない。漏洩したら大変な事になるという意識が果たしてあったのか疑いたくなります。2016-06-29 01:57:10 Twitter Web Client
  • …で、デモサイトにセキュリティ上の問題を発見してくれた人がいれば、IPA経由であろうとなかろうと、きちんと評価して修正して公表したら良い。もし、そういう環境があったら、彼には本番サイトから情報を盗み出す事ではなく、脆弱性を見つけて公表することで名誉を得る道があったかも知れない。2016-06-29 02:00:59 Twitter Web Client keikuma宛て
  • …その昔。IPAの通報制度も、不正アクセス禁止法も、インターネットもなかった頃。キャプテンシステムというのがありまして、これのページ空ページ番号を探っていたら、商取引用と思しきCUGにアクセスできてしまったことがあります。これ、運用会社に電話して、ずいぶんとほめてもらいました。2016-06-29 02:05:28 Twitter Web Client keikuma宛て
  • …当時、小学生だったと思うのですが、この出来事は、その後の私のセキュリティに対しての倫理観の構築に大きい影響を与えていると思います。2016-06-29 02:07:02 Twitter Web Client keikuma宛て
  • 「インターネットを使っている以上、万全な態勢というものはない。」って主張だったら、そもそもインターネットで扱うべきではなかったのでは? / 情報流出 1年超前から 警察指摘後も侵入5回 佐賀不正アクセス 佐賀県教委不備認める https://t.co/7WNpFGyuK12016-06-29 13:26:49 Twitter Web Client
  • 佐賀県教委は、説明をしない以前に、できるだけの情報や知識を持っていないんじゃないか疑惑2016-06-29 13:37:12 Twitter Web Client
  • …だって、何にも説明していないでしょ https://t.co/tEYNDDxCS7 報道より正確(だと県教委が考える)な情報が期待されるはずなのに。「二次被害は確認されていない」って報道もあやしくて、被害が確認されていないだけで、実はどっかで流通はしてるんじゃないかとか。2016-06-29 13:40:27 Twitter Web Client keikuma宛て
  • …「被疑者は窃取されたファイルを押収された自宅パソコンに保存しており」 https://t.co/aaFM8QEF20 他の人に配ったり、どっかで拡散させたりしていないということをどうやって確認したのでしょうか。そこを皆さん心配されると思うんです。2016-06-29 13:43:08 Twitter Web Client keikuma宛て
  • …なんか、LibraHackと、ある点で似た構造と危険を感じます。業者がものすごく高度な攻撃を受けたと主張して、調達側がそれを鵜呑みにしてるんじゃないかという意味で。だとすると、そういう体質のままでは、本質的な改善のされようが無い様に思うんです。2016-06-29 13:48:08 Twitter Web Client
  • @nojimage 本当にICT化を推進していきたいんだったら、今回のは、ずさんなシステムと運用によって引き起こされた事件だって主張した方が、筋が良いのでしょうけれど、そんなこと言えませんよね…2016-06-29 14:17:17 Twitter Web Client nojimage宛て
  • ほら、やっぱり。説明しないんじゃなくて、そもそも説明できる情報を持っていないのでは? / 「何が盗まれたか分からない」被害が拡大する可能性も 不正アクセス、佐賀県教委不備認める(西日本新聞) - Yahoo!ニュース https://t.co/4dJWueYb5M2016-06-29 18:12:28 Twitter Web Client
  • もし、この事件がなければ、入手された情報が証拠として拡散されるまで、県教委は何ら発表をしなかったのではないかという疑いを抱かざるを得ません。 / 「SEI-Net」不正侵入事件にみる佐賀県教育委員会の杜撰 https://t.co/w5JO4VK2eY2016-06-29 21:44:35 Twitter Web Client
  • システムのセキュリティ自体は疑わなかったんですかね… / 「犯人が誰なのか分からず、教職員や保守業者さえ疑いながら、できる範囲で対策を講じたが、結果として不十分だった」 - 県教育情報システム、昨春から不正侵入か|佐賀新聞LiVE https://t.co/tz2EioP7Bm2016-06-29 23:02:25 Twitter Web Client
  • …確かに、どんな強固なパスワードを使っても、強力な暗号化を施しても、「可能性はゼロではない」ですよ。例えば、256bitの乱数が一致する確率はゼロではありません。そんなレベルじゃなくて、「こうやれば侵入できるでしょ」っていうレベルの穴を看過していたんじゃないかということです。2016-06-29 23:05:31 Twitter Web Client
  • …観測可能な宇宙の全素粒子の数が10^80個程度と言われていて、2^256=(2^10)^25*2^6なので、ざっと見、10^76程度はある訳じゃないですか。衝突する確率はゼロではないですよ。確かにね…2016-06-29 23:10:49 Twitter Web Client keikuma宛て
  • RT @lVa1gM5CXT4nhR0: 佐賀県の不正アクセス問題!
    今日、学校の保護者説明会があったけど、教育委員会とシステム管理者は来ていなかった。これでは、説明会にならない!!!!!!!!
    2016-06-29 23:11:58 Twitter Web Client
  • …でも、システムのセキュリティについて議論をする時には、それは無視できるって考える訳ですね。「ゼロか否か」という議論じゃなくて、現実的な可能性を評価しますよね。これ、「ゼロベクレル」の話じゃないけれども、実は、体得するのが難しい感覚なのでしょうか。なので、逆にごまかされてしまう。2016-06-29 23:16:22 Twitter Web Client keikuma宛て
  • …少年をかばう訳ではないのですけれども、ネットワーク犯罪。特に今回の様に、重大なシステムに、カジュアルに侵入されたケース。侵入を許した側にも少なからず罪はあると思いますよ。そんな杜撰なことをしてなければ、そもそも事件にならない訳で。業務なのだから、レイプとか強盗とは全く違います。2016-06-29 23:20:52 Twitter Web Client
  • …例えば、今回は国内からの侵入で、しかも痕跡を消すことにそれほど配慮をしていなかった様に思います。一方、日本の法律が届かないところから、痕跡を隠して侵入されていたとしたらどうでしょう。今回のケースを見ると、明らかにされていない事例がたくさんあるんじゃないかと想像してしまう訳です。2016-06-29 23:23:10 Twitter Web Client keikuma宛て
  • …となると、侵入した少年がいたから事件になったという側面は確かにあるのですけれども、初めて侵入が明らかになったのがこの事件だったという見方もできる訳です。そういうシステムに他人のセンシティブな情報を載せていた側の責任は、これはこれとして、別に問われるべきだと思うのです。2016-06-29 23:25:36 Twitter Web Client keikuma宛て
  • RT @nomoreunk: 情報流出 1年超前から 警察指摘後も侵入5回 佐賀不正アクセス 佐賀県教委不備認める https://t.co/nPe3vQrKFH
    この5回の不正アクセスでは「何が盗まれたか分からない」としており
    この5回の不正アクセスでは「何が盗まれたか分から…
    2016-06-29 23:39:01 OpenTween
  • RT @nomoreunk: 佐賀県教委「どんな情報が盗まれたのかわからない」
    某大先生「何が問題なのかわからない」

    そりゃあ、何を盗まれたのかわからないんじゃ、何が問題なのかわかるはずないね!w
    2016-06-29 23:39:06 OpenTween
以上、1 日分です。

指定日の日記を表示

前月 2016年06月 翌月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30

最近の日記

2017年02月21日

BIGの投票内容(発番)につきまして(2017.02.20)

2016年06月29日

「SEI-Net」不正侵入事件にみる佐賀県教育委員会の杜撰

2015年11月26日

武雄市図書館から“地方自治”を考える!

2015年11月21日

シリーズ武雄市TSUTAYA図書館(34) - 「第3のツタヤ図書館にデキレース疑惑 内部資料を独占入手!」落ち穂拾い

2015年10月30日

シリーズ武雄市TSUTAYA図書館(33) - 海老名市ツタヤ館運営の行方

2015年10月26日

シリーズ武雄市TSUTAYA図書館(32) - 10月26日付 文化通信「TRC、CCCとの関係解消へ」

2015年10月25日

シリーズ武雄市TSUTAYA図書館(31) - 続・検証「9つの市民価値」

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project