アカウント名:
パスワード:
そもそもこの機能、何の目的であるんだろう…?セキュリティ製品なのに、Window標準のセキュリティを迂回する機能なんて……
横からですが、Windows側は置き換えられたり追加されている可能性が有ります。 [msdn.com]
ちなみに内部的にはどうやらSophosのツールの認証>OS起動>Windowsの認証という構成です。ただ、そのままだと2回IDとパスワードを入れないといけないので、Sophos側で認証成功すればWindowsの認証を代理で行う機能があるようです。その機能が誤って働いてしまうと、本来Windowsの認証が起きるべきパターンでも勝手にSophosのツールがWindowsの認証をして通過してしまうという感じですね。
本件では、サイボウズ側の説明ではOSの設定を勝手に上書きして認証不要にする事が直接の原因のようです。Sophos側のknowledgeだとツールの認証機能自体に不具合が有るようにも読み取れますが技術的詳細が無いため不明です。# 「まれにあります」ってなんだ?特定手順で再現性があるなら「確実に発生します」だろうに。
普段使わない環境+スリープなんて使わない運用とかしてたらエンドユーザーは気づかないかもしれない。
電源の設定でスリープから復帰時にパスワードの入力を求めないようにすることができますよまともなところならそういう設定にはしないと思いますが…
発表読む限りだと、そのようにパスワード要求するように設定していたのに、休止状態にするとセキュリティーソフトがその設定を変更してパスワードなしでアンロックするようにしてしまったということのようですよ。
別の類似のセキュリティーソフトを使っていたことがありますが、Windowsのスクリーンセーバーの設定をユーザーが設定しても、ソフトが書き換えて常に一定時間後にロックして認証しないとアンロックできない設定に戻されていました。
この問題のソフトにも同様な強制上書き機能があって、休止の時にセキュリティーソフトの認証しないに設定すると、Windowsのスクリーンセーバー設定を間違って危険な方に上書きしちゃうのではないかと想像してます
普通に考えるとそうなるね
復帰時の認証がある、という前提がそもそもないから不思議にも思わなかったのかもセキュリティ強化するにはモノだけ揃えてもダメで、使う人間の意識も同じレベルでないとまったく意味がない、といういい例なんですかね
いやいや、だからフールプルーフが必要なんでしょうよ。
グループウェアで使うんだったらパスワードを忘れても大きな問題ではないだろうし、強制的に毎回ログインさせる仕様にすべきでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
脆弱性には以前から気がついてたんじゃないの? (スコア:5, すばらしい洞察)
Sophos Disk Encryptionをインストールすると常に復帰時の
Windowsの認証が効かなくなるってことでしょう?
だとるすと、Sophos Disk Encryptionを導入している企業はみんな
知ってたんじゃないかなと。
Sophos的にも「それは仕様です。(`・ω・´)キリッ」みたいな。
それとも、特定の複合条件(特定HW、OSパッチ等)を満たしたときにのみ
認証されないんでしょうか。 発表からは読み取れませんでしたが。
少なくとも、このPCを紛失したサイボウズの中の人やシステム管理者は復帰時に
認証されないことは知ってたと推測できますけど、どうなんでしょう。
「会社はパスワード設定しろとかウザいけど、なんか最近認証画面でないしラッキー」
ぐらいの甘い認識だったのではないでしょうか。
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:3, 参考になる)
オフにするとWindowsのログイン認証をバイパスするようになる
みたいですね。
http://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx
Sophos Disk Encryptionをインストールして最初にログインした時点で
Windowsの認証情報をPOAが取得し、以後はPOAが代わりにパスワードを
入力してくれるようです。
ユーザーが自分で無効化できる類のものではないようなので
管理者がPOAを無効にして渡したか、POAのパスワードを
ユーザー自身が空白にしたかと考えられます。
どちらにせよ、以前からログイン時にパスワード認証は無かったことを
認識していた可能性が高いですね。
まぁ、業務データの運搬・運用についてその程度の認識だったと。
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:1)
そもそもこの機能、何の目的であるんだろう…?
セキュリティ製品なのに、Window標準のセキュリティを迂回する機能なんて……
Re: (スコア:0)
横からですが、Windows側は置き換えられたり追加されている可能性が有ります。 [msdn.com]
ちなみに内部的にはどうやらSophosのツールの認証>OS起動>Windowsの認証という構成です。
ただ、そのままだと2回IDとパスワードを入れないといけないので、Sophos側で認証成功すればWindowsの認証を代理で行う機能があるようです。
その機能が誤って働いてしまうと、本来Windowsの認証が起きるべきパターンでも勝手にSophosのツールがWindowsの認証をして通過してしまうという感じですね。
Re: (スコア:0)
本件では、サイボウズ側の説明ではOSの設定を勝手に上書きして認証不要にする事が直接の原因のようです。
Sophos側のknowledgeだとツールの認証機能自体に不具合が有るようにも読み取れますが技術的詳細が無いため不明です。
# 「まれにあります」ってなんだ?特定手順で再現性があるなら「確実に発生します」だろうに。
Re: (スコア:0)
それ以外の大多数のユーザーにとっては起こりえないバグなのです
これが「まれによくある」の正体の一つです
Re: (スコア:0)
普段使わない環境+スリープなんて使わない運用とかしてたらエンドユーザーは気づかないかもしれない。
Re: (スコア:0)
電源の設定でスリープから復帰時にパスワードの入力を求めないようにすることができますよ
まともなところならそういう設定にはしないと思いますが…
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:5, 興味深い)
発表読む限りだと、そのようにパスワード要求するように設定していたのに、
休止状態にするとセキュリティーソフトがその設定を変更してパスワードなしでアンロックするようにしてしまったということのようですよ。
別の類似のセキュリティーソフトを使っていたことがありますが、
Windowsのスクリーンセーバーの設定をユーザーが設定しても、
ソフトが書き換えて常に一定時間後にロックして認証しないとアンロックできない設定に戻されていました。
この問題のソフトにも同様な強制上書き機能があって、
休止の時にセキュリティーソフトの認証しないに設定すると、
Windowsのスクリーンセーバー設定を間違って危険な方に上書きしちゃうのではないかと想像してます
Re: (スコア:0)
普通に考えるとそうなるね
復帰時の認証がある、という前提がそもそもないから不思議にも思わなかったのかも
セキュリティ強化するにはモノだけ揃えてもダメで、使う人間の意識も同じレベルでないと
まったく意味がない、といういい例なんですかね
Re: (スコア:0)
いやいや、だからフールプルーフが必要なんでしょうよ。
グループウェアで使うんだったらパスワードを忘れても大きな問題ではないだろうし、
強制的に毎回ログインさせる仕様にすべきでしょ。