首都大学東京で学内向けNASが外部に公開されていたことが明らかに、学生ら5万1000人分の個人情報流出の可能性も 92
ストーリー by hylom
よくありそうなトラブルですが 部門より
よくありそうなトラブルですが 部門より
fuminoli 曰く、
首都大学東京が、同大学の学生の成績や入学予定者、教員の氏名・住所・メールアドレスなどについて流出した可能性があると発表しました。原因は学内向けNASのFTP共有が有効になっていたためで、IDやパスワードなしに外部からFTPでのアクセスが可能だったとのこと(ITmedia)。
首都大学東京のプレスリリースPDFによると、閲覧可能だったデータは「概ね、延べ5万1千人」分だったようです。また、「現在まで情報が悪用されたとの報告や被害の発生については確認されていない」とのこと。
首都大学東京の学生が 「公開質問状」 を送った模様 (スコア:5, 興味深い)
首都大学東京の情報流出の件で公開質問状送った [hatenablog.com] によると、首都大学東京の学生が、この件について、「公開質問状」 を送ったようです。
無視せずに、誠意をもって回答していただきたいと思うので、拡散の為、ここに転載させていただきます。
Re:首都大学東京の学生が 「公開質問状」 を送った模様 (スコア:1)
質問状の文体はこんなもんですよ。
敬語やへりくだった表現は必要はありません。
追加で質問するならば、ファイアウォールの管理はどうなっていたか、どのようなプロセスで公開(ポート解放)の判断をしたのかという点も確認しておきたいところですね。
ファイヤウオール (スコア:1)
今時、大学全体のファイヤウオールもないのかよと調べてみたら、南大沢キャンパスだけはファイヤウオールありでそのほかは無防備みたい。ほかのキャンパスの事務から漏れたってことなのかな?
http://www.comp.tmu.ac.jp/tmuner/shinsei/fw-thru.html [tmu.ac.jp]
Re: (スコア:0)
外部というのが具体的にどういう意味かによるかと。
NASなんてグローバルIP持たせる必要があるものでもないし、外部(大学外)からのアクセスができるようにする必要もないものかと。
文面読むと、キャンパス内の学生からも見えちゃってたとも読めるし
そうだとすると、学内のネットへのアクセスがどうなっているのかにもよるかな。
今時野良WiFiで学内に自由にアクセスできるって少ないだろうし(イーサネットの口に差し込めば見えちゃうとかはありそうだけど(^^;)
Re:ファイヤウオール (スコア:1)
昨日のニュースでは一般の人からの通報と言ってたはずなので調べてみた。
NHKニュース [nhk.or.jp]
>教務課のパソコンの情報記録装置が、インターネットを通じて外部からアクセスできる状態になっていた
やっぱり学外だね。
で教務課ってことだけど、教務課は南大沢キャンパスにあるようだ。
ということはファイヤウオールにわざわざ穴を開けるように申請して無防備なNASを置いたということだ。
ありそうな話としては、.過去に何か外部に公開するサーバを置いてあったが、リプレースの際に無防備なNASに置き換わったかな。
Re:ファイヤウオール (スコア:1)
セキュリティ担当者はおろか火災警報が鳴っても警備員もそのデータの置いてある部屋に入れてもらえない程に極めて機密性の高いデータを扱ってるって事で強固なファイヤーウォールを構築したのに、外出先からアクセス出来ないとはけしからん、アクセスするのに一々認証とか面倒だから開放しろ、とか宣う先生方もいらっしゃいましてねぇ…
Re:ファイヤウオール (スコア:1)
元々石原が公約ぶち上げた結果、都立大に他3校をくっつけて突貫工事的に出来た変な名前の大学って設立経緯でしょ。
別々の大学を急いでくっつける際に大学間の事務情報統合をインターネット経由で中途半端にやった時の穴じゃないかと。
準備期間が1年位しかなかったようだし、目配りしきれなかったのかもね。
Re:ファイヤウオール (スコア:1)
Re:ファイヤウオール (スコア:1)
最近大学職員の多くを臨時雇いにしたり、派遣社員にしたり、外部委託するようになって、急にこういう事件が増えましたね。正規の職員以外に任せてよい領域とだめな領域の区別がものすごくいい加減になっている。どう考えても(ftpdの仕組みを考えても)、この事件はうっかりミスではなく、意図的に行われたものだと思います。大学職員の勤務体系、業務のあり方がもうすこしまともになるように、この事件を学内でもしっかり追求してほしいです。
まだ外部からアクセスできるかも? (スコア:1)
首都大学東京は問題点が何も理解できていないようです.
今回の場合,最初にすべき対処は
NASをインターネットから隔離することだと思います
しかしプレスリリースによると,彼らが行った対処は
> 直ちに、外部からアクセスできない状態(FTP共有を無効) とした
とのことです.
この文面だと,最悪,NASはインターネットに繋がったままで
FTP以外のプロトコルはまだ使えそうな雰囲気です
大学,しかも情報系の学科を持つ組織が
NASの運用さえできず,しかもこんな劣悪なプレスリリースを出すようでは
ダメですね
Re: (スコア:0)
>まだ使えそうな雰囲気です
雰囲気を根拠にダメ出しってのも凄いな
Re: (スコア:0)
実際にアクセスして確かめてみろとでも?
仮に、実際には適切な対処が行われているのだとしても、
こんなの書いちゃう時点で駄目出しされるには十分な根拠だと思うな。
Re:まだ外部からアクセスできるかも? (スコア:2)
> 実際にアクセスして確かめてみろとでも?
>
> 仮に、実際には適切な対処が行われているのだとしても、
> こんなの書いちゃう時点で駄目出しされるには十分な根拠だと思うな。
FTPが外部から見えていて情報が漏えいしていたので、FTPを閉じて情報漏えいを止めた。
ってことで今回の情報漏えいについては解決しているんじゃないんですかね?
Re: (スコア:0)
>実際にアクセスして確かめてみろとでも?
首都大学東京の総務あたりに問い合わせればよろしい。
Re: (スコア:0)
> 雰囲気を根拠にダメ出しってのも凄いな
ウェブが外部から見える!!
Re: (スコア:0)
今どき学内の情報システムの管理運用なんて、総務部IT課の雑用係が業者に丸投げしているだけだろ。
20年前(windows95が世に出た頃)なら、情報系の院生がボランティアでやっていたかもしれんが。
プレスリリースだって、NASと聞いて茄子とか那須しか思い浮かばない人がやっているんだから。
ポジティブに言い換えてみる。 (スコア:1)
流出した可能性があると発表しました。
↓ ↓ ↓
共有しました。
悪用って (スコア:0)
成績情報の悪用なんてわかりようないし、
そもそも知られたくない情報の筆頭だと思うんだけど。
集団訴訟もありうるんじゃないのこれ。
そんなことより (スコア:0)
学校名、都立大に戻さないのかな。
以下にも変な名前だから大学選ぶときの候補から外れる。
Re:そんなことより (スコア:2)
三重大爆発を思い出した。
Re:そんなことより (スコア:2)
あれから13年なんだな。
http://www.47news.jp/CN/200206/CN2002060501000089.html [47news.jp]
三重 大生物資源学部付属農場発電用実験炉爆発
Re: (スコア:0)
三重(みえ)の大爆発なのか
三重(さんじゅう)の大爆発なのか
そこが問題なのですね(違)。
Re:そんなことより (スコア:1)
三(さん; みっつ)の重大な爆発という解釈も可能。
Re:そんなことより (スコア:2)
> 三(さん; みっつ)の重大な爆発という解釈も可能。
マングローブ?
Re:そんなことより (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re: (スコア:0)
プール学院大学
以下にも変な名前の大学:
Re: (スコア:0)
誤変換失礼。
しかしプール学院大学はプール博士とかいう人の
名前から来てるそうだから、別段変じゃないと思うな。
Re: (スコア:0)
新銀行東京が名前を変える頃にはきっと…
#さすがにBNPパリバには戻さないと思うが
どこのNAS? (スコア:0)
デフォルトで匿名アクセスができる状態のFTPが有効で販売されてるって…
一体どこの製品?
そりゃ使う方がまずかったのは事実だろうが、製品も大概だろこれ
注意喚起のためにも公表してほしい
NAT内設置が前提では? (スコア:0)
NAT内に設置するのが前提の製品なのでは?
大学のネットワークではグローバルIPアドレスがDHCPで直接払いだされる仕組みのネットワークもあります
別途ファイアウォールを大学が設置していなければ外からアクセスできてしまいます
Re: (スコア:0)
だいぶ前だが、fedora系のlinuxを勉強がてらにインストールしてみたら、FTP周りはほとんどallowだったような気がする。
経費を浮かせるためとか、ダメ院生の訓練がてらとか、そういう理由でNASだけ付け足されたのかも。
Re: (スコア:0)
国立音楽大学
業者名 (スコア:0)
どこの業者だったのかな
×指導の徹底 ○適切な指導者の選定 (スコア:0)
日本有数の大学の情報セキュリティレベルがこれとは
権威主義で有能な人が担当や責任者になれないのですかね
デフォルト公開って機能は確かに性質悪いですけど
素人でもネットワークに覚えあればまずやらかさないポカだろうに
学生はもっと怒っていいと思うんだ
漏らされた当人はもとより
学び舎の質を地に落としたんだから
極東の一大学とはいえ
国内で東大ぷぷぷ~と言われることのないように
せめて改善策くらいは
腐っても東大といわれるくらいの内容を公表してほしいな
指導の徹底で頑張ります程度じゃ話にならないよ
Re: (スコア:0)
東大???
Re: (スコア:0)
強いて言えば大東ですかね?
まあ自分もパッと見た瞬間は、東京大学かと思いました。
Re: (スコア:0)
Re: (スコア:0)
都立大ってそこそこのレベルの学校だと思ってたけど
名前変わってから偏差値下がった?
まぁどっちにしても有数って程じゃなかったか。
Re:×指導の徹底 ○適切な指導者の選定 (スコア:1)
吸収されたひとつ、東京都立科学技術大学は少人数でアレゲなところが少なからずあったはずだが、筑波大に吸収させられたもっと極端にアレゲだった図書館情報大学のように目立てなくさせられてしまった。
Re: (スコア:0)
日本有数の大学???
まぁ、無数ではないな
Re: (スコア:0)
首都大学東京 は 東京の大学です.
東大は東京にある大学です.
良く似ています.
プレスリリースの文体 (スコア:0)
冒頭はですます調なのに、途中から文体かわってるのね。冒頭以外は技術系の人間が書いて文体変えずにそのままコピペしたのだろうか。
Re:プレスリリースの文体 (スコア:1)
文字画像ペーストじゃなくてちゃんとテキストというだけでも良かったと思ってしまう…
色々と毒され過ぎだな……
バカを晒すが (スコア:0)
IPv6が普及したら、こういう事増えるんじゃないかな?
ローカルIPとか不便だとか言ってるけど、むしろ公開したくない機器にグローバルIPなんか振らない方がいいんじゃないの?
Re: (スコア:0)
NATの向こう側のホストコンピューターでほとんど無駄に稼働してるファイアウォールがやっと活用されるようになるのさ。
外部公開していたのならGoogleeさんに収集されずみですね (スコア:0)
気にするなよ
どうせGoogeleサービス使ってるんだろ、
Re:外部公開していたのならGoogleeさんに収集されずみですね (スコア:1)
気にするなよ
どうせGoogeleサービス使ってるんだろ、
GoogleeとかGoogeleとか
そのパチ物サービスどこのだよw
Re:お詫びとして、一名様500円? (スコア:1)
Re:お詫びとして、一名様500円? (スコア:1)
千葉大学生協の場合、生協が売るから消費税が8円だけど国立大学法人直売であれば消費税なしのお品代だったのか!
Re:お詫びとして、一名様500円? (スコア:1)
もっとドラスティックに「おめでとう。なんにもしてやれないけど大学というしがらみから旅立つ諸君に祝福を!」かもよ。
// 別の言い方をすれば「首都大学東京オワタ」