アカウント名:
パスワード:
> 客先に導入したシステムを無断配布した上管理を容易にするためにFTPパスワードを設定せずにAnonymous FTPにしてしまうなど、> 流出する根本原因を二重三重も作った三菱インフォメーションシステムズ(MDIS)
とありますが、
> 管理を容易にするためにFTPパスワードを設定せずにAnonymous FTPにしてしま
ったのは、直接的にはMDIS自身ではなく、MDISから保守の委託契約を受けた千代田興産ですよね。# スラドでは千代田情報システムだと主張している人もいますが、そちらの事実関係は不明。
もちろんMDISには委託先の管理責任はあると思いますが、それをもって「流出した根本
ていうか今時のたいていのftpクライアントソフトはパスワードをいちいち人間がタイプしなくてように登録しておく機能が有ると思うのですが。それすら知らずに「普通のftpは面倒だから」と思っていたのかしら?
エクスプローラー (not IE) のロケーションバーに ftp な URL を入れてアクセスしてみたらいいと思うんですよ。ftp://ftp.microsoft.com とか。 anonymous とかタイプするような事自体ない、というのが 10 年以上前から普通の環境ですよ。パスワードは自動的に IE@ とか送ります。
# ID/pass を入れたい場合、さらにコンテキストメニューから "ログイン方法..." とかありますが。
anonymous/(mail address) などとわざわざ入力などしませんし、エクスプローラーのウィンドウ間で DnD するだけでサイトの更新終了とかしたかったのでしょう。
>>もちろんMDISには委託先の管理責任はあると思いますが、>>それをもって「流出した根本原因を作った」と書かれると違和感があります。委託すればそうなる可能性があったことは予想の範囲内。いわば「それはすべて発注者側の予定通り」なんですよ。「知りませんでした」なんて言い訳は通用しません。
大人が子供に核ミサイルの発射ボタンを持たせるようなもの。仮にミサイルが発射されたとして、その責任は発射ボタンを押した子供にあるのか?それとも発射ボタンを渡した大人の方か?
>MDISからAnonymousのまま渡されてそのまま使い続けたという流れのほ
セキュリティにうるさい場合はFTPはインストールしないし、通さないように設定するのが定石だよね。
ですよね。管理者しか使わない、かつパスワード入力が面倒ならsftpで公開鍵でも使えばいいのに。それにしてもGumblarが流行って大企業でもftpを使ってたことが明るみになったけど結構居るんですね。
#ftpsとかwebdavは使ったこと無い。便利なのかな。
|ですよね。管理者しか使わない、かつパスワード入力が面倒ならsftpで公開鍵でも使えばいいのに。私が直面したわけではなく、近くの人から聞いた話ですが、そのように指摘しても「ftpで」と返事されることがたびたびだとか。図書館ではありませんが、それなりに知名度のある企業のシステム部相当の人たちからです。何でも「windows標準ではないから」というのが理由だそうで・・・実際はVPNの上で使っているようですが、そうでないところもあるみたいでげふんげふん。因みに日本だけでの話ではないですよ。というかあちらのほうが酷い。法律が違うから?
元コメントとは別ACですが。
MDISからAnonymousのまま渡されてそのまま使い続けたという流れのほうが 得心のいく流れです。
そうだったら、MDISのシステムが全部 anonymous ftp 可になってるのでは。実際にはそうじゃないので、他に根拠でもない限り、MDISの指示というのは無理筋だと思う。
> 千代田興産への保守移管の際に「保守ツール」としてftpにanonymousでアクセスしてと> 言われたんじゃとか。あり得ないような事してるのでどこまでも邪推が…。
そもそも報道で 「今回パスワード解除は2件(二つの図書館)とも特定のバカ担当者が作業軽減のためにやらかしたこと」と千代田興産自体から説明されたとされており、千代田興産自身のプレスリリースでも 「図書館ホームページの更新作業対応時に、弊社の確認漏れにより、 一時的にパスワードの設定が外れており、特定手順にて外部からのアクセス可能な
大きなカスタマイズのあったところの運用初期に、パッチした版を実環境からブッコ抜くためにそうしてたんだとすれば、少数の館だけそういう設定になってたとしても説明がつかないこともないかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
MDISの責任 (スコア:0)
> 客先に導入したシステムを無断配布した上管理を容易にするためにFTPパスワードを設定せずにAnonymous FTPにしてしまうなど、
> 流出する根本原因を二重三重も作った三菱インフォメーションシステムズ(MDIS)
とありますが、
> 管理を容易にするためにFTPパスワードを設定せずにAnonymous FTPにしてしま
ったのは、直接的にはMDIS自身ではなく、MDISから保守の委託契約を受けた千代田興産ですよね。
# スラドでは千代田情報システムだと主張している人もいますが、そちらの事実関係は不明。
もちろんMDISには委託先の管理責任はあると思いますが、
それをもって「流出した根本
Re:MDISの責任 (スコア:1)
確かに大本営発表は後からanonymousにされた事になっていますけど、
MDISがIDとPassを設定していたとして、それを使いやすくしようと考えるなら、
わざわざanonymousとタイプするより、例えばanon/passとか入力の手間も省く
思考が働くと思うのです。ID/Passを引き継ぎに申し送りすらしたくないので
Anonymousという可能性もゼロではないですけど。
MDISからAnonymousのまま渡されてそのまま使い続けたという流れのほうが
得心のいく流れです。
下請けは「改変したことにしてくれ」とお願いされてしまったんじゃないかと
邪推してしまう私。
Re:MDISの責任 (スコア:1)
ていうか今時のたいていのftpクライアントソフトはパスワードをいちいち人間がタイプしなくてように登録しておく機能が有ると思うのですが。それすら知らずに「普通のftpは面倒だから」と思っていたのかしら?
Re:MDISの責任 (スコア:1)
エクスプローラー (not IE) のロケーションバーに ftp な URL を入れてアクセスしてみたらいいと思うんですよ。ftp://ftp.microsoft.com とか。
anonymous とかタイプするような事自体ない、というのが 10 年以上前から普通の環境ですよ。パスワードは自動的に IE@ とか送ります。
# ID/pass を入れたい場合、さらにコンテキストメニューから "ログイン方法..." とかありますが。
anonymous/(mail address) などとわざわざ入力などしませんし、エクスプローラーのウィンドウ間で DnD するだけでサイトの更新終了とかしたかったのでしょう。
Re: (スコア:0)
>>もちろんMDISには委託先の管理責任はあると思いますが、
>>それをもって「流出した根本原因を作った」と書かれると違和感があります。
委託すればそうなる可能性があったことは予想の範囲内。
いわば「それはすべて発注者側の予定通り」なんですよ。
「知りませんでした」なんて言い訳は通用しません。
大人が子供に核ミサイルの発射ボタンを持たせるようなもの。
仮にミサイルが発射されたとして、その責任は発射ボタンを押した子供にあるのか?
それとも発射ボタンを渡した大人の方か?
>MDISからAnonymousのまま渡されてそのまま使い続けたという流れのほ
Re:MDISの責任 (スコア:1)
セキュリティにうるさい場合はFTPはインストールしないし、
通さないように設定するのが定石だよね。
ですよね。管理者しか使わない、かつパスワード入力が面倒ならsftpで公開鍵でも使えばいいのに。
それにしてもGumblarが流行って大企業でもftpを使ってたことが明るみになったけど結構居るんですね。
#ftpsとかwebdavは使ったこと無い。便利なのかな。
Re: (スコア:0)
|ですよね。管理者しか使わない、かつパスワード入力が面倒ならsftpで公開鍵でも使えばいいのに。
私が直面したわけではなく、近くの人から聞いた話ですが、そのように指摘しても「ftpで」と返事されることがたびたびだとか。
図書館ではありませんが、それなりに知名度のある企業のシステム部相当の人たちからです。
何でも「windows標準ではないから」というのが理由だそうで・・・
実際はVPNの上で使っているようですが、そうでないところもあるみたいでげふんげふん。
因みに日本だけでの話ではないですよ。というかあちらのほうが酷い。法律が違うから?
Re: (スコア:0)
「匿名アクセスを許可する」にチェック入ってるからね。(ワンクリックAnonymous化)
インストールオプション吟味してないだろうから、smtpだって生きてる可能性大。
さすがに「あぁだからWindowsは・・・」という時代でもないだろう。ロックダウンしとけ。
レベルの低いアプリ屋とか営業に毛の生えた程度の保守員が気づくわけ無いだろうけど。
今頃「Anonymousって何?あぁ匿名アクセスの事か」って言ってるよ、奴ら。
どうせ「匿名アクセス」の意味も分かってないだろうけどな。
同業者として、このレベルの糞業者は消えて欲しいと思う。
# 単なる愚痴なのでAC
Re:MDISの責任 (スコア:1)
しかもその2ケ所の設定は同じダイアログの違うタブなのに気付かないというのが残念です。
# ベンダーがデバイスドライバ等の配布にanonymous ftpを使用していた頃を知っている人も、もう絶滅したのでしょうね
Re: (スコア:0)
元コメントとは別ACですが。
そうだったら、MDISのシステムが全部 anonymous ftp 可になってるのでは。実際にはそうじゃないので、他に根拠でもない限り、MDISの指示というのは無理筋だと思う。
Re:MDISの責任 (スコア:1)
しかし、MDISのシステムって全部がftpメンテナンスなんでしょうか。
千代田興産への保守移管の際に「保守ツール」としてftpにanonymousでアクセスしてと
言われたんじゃとか。あり得ないような事してるのでどこまでも邪推が…。
Re: (スコア:0)
> 千代田興産への保守移管の際に「保守ツール」としてftpにanonymousでアクセスしてと
> 言われたんじゃとか。あり得ないような事してるのでどこまでも邪推が…。
そもそも報道で
「今回パスワード解除は2件(二つの図書館)とも特定のバカ担当者が作業軽減のためにやらかしたこと」
と千代田興産自体から説明されたとされており、
千代田興産自身のプレスリリースでも
「図書館ホームページの更新作業対応時に、弊社の確認漏れにより、
一時的にパスワードの設定が外れており、特定手順にて外部からのアクセス可能な
Re: (スコア:0)
大きなカスタマイズのあったところの運用初期に、パッチした版を実環境からブッコ抜くためにそうしてたんだとすれば、少数の館だけそういう設定になってたとしても説明がつかないこともないかな。