パスワードを忘れた? アカウント作成
12118264 story
情報漏洩

年金機構、職員の電子メールを当面禁止、公式サイトは脆弱性発見で閲覧不可に 88

ストーリー by hylom
踏んだり蹴ったり 部門より
あるAnonymous Coward 曰く、

日本年金機構は個人情報流出事件を受けて、当面の間職員が使用する外部向け電子メールの使用を禁止したことを発表した(CNET)。

また、このリリースが掲載されているはずの公式サイトは脆弱性が発見され、「日本年金機構ホームページ (復旧作業中)」という暫定ページが出る状態となっている。アナウンスによると、6月6日の15時40分から閲覧を停止したという。当初は6日中の復旧を目指していたが、作業が長引いているとのこと(朝日新聞)。中の人たちはかなりグダグタになってそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by auge (19016) on 2015年06月09日 12時19分 (#2827705)

    情報漏洩に対して職員を罰し責任を取らせるのは必要だろう。

    # 無償で働いていたのならば、この限りではないが…

    • by Anonymous Coward on 2015年06月09日 12時36分 (#2827714)

      この種のメール経由の攻撃について、過大な罰を与えても何も改善しませんよ。
      改善すると思ってるなら、リスクを軽く見すぎてます。

      親コメント
      • リスクに対する認知度はあがると思います。
        とてもレベルの低い話ですが、まずは知ってもらわないと・・・。

        親コメント
      • by Anonymous Coward

        だからこそのメール禁止ですねわかります。

      • by Anonymous Coward

        働かざるもの食うべからずという言葉があってだな…

      • by Anonymous Coward
        >この種のメール経由の攻撃について、過大な罰を与えても何も改善しませんよ。
        わかる。

        >改善すると思ってるなら、リスクを軽く見すぎてます。
        全く意味が分からん。リスクの見積もりがどう関係するんだ?
        • by Anonymous Coward

          >> 改善すると思ってるなら、リスクを軽く見すぎてます。

          > 全く意味が分からん。リスクの見積もりがどう関係するんだ?

          あ、ここで言ってるリスクは、「十分な教育をしていたとしても、malware入り添付ファイルを
          開いてしまうリスク」のことです。分かりづらい表現ですみません。

          • by Anonymous Coward
            結果罰というメソッドではセキュリティリスクは回避できない、というのなら同意できるが
            マルウェアに引っかかる確率や頻度は高いから対策としてNG、というのなら同意できねぇ。
            なぜなら頻度が低い事案であっても結果罰じゃ意味無いと思うから。
      • by Anonymous Coward

        何を持って過大としているの?

    • 見せしめ的に職員を罰しても加入者にはなんの益もない。

      少なくとも形式上、国が外部委託していることになっていて
      だらしなく情報漏洩して、その処理費用を保険料から支出するということなので
      個人情報を預けて年金を預けることを強制する正当性が失われている。

      任意加入にして、加入したくない人には元本だけでも返還すべきでしょ。

      親コメント
    • by Anonymous Coward on 2015年06月09日 13時21分 (#2827759)

      公務員は身内を守る傾向があるから、特に罰がなくても不思議ではない。
      失態を犯して罰を与えないことは、もし自分がその立場になったときに罰されないからだ。
      自分を守るために周りの問題を見て見ぬ振りをする。
      そういう馴れ合い組織が問題を解決していけるとは思えないな。また今回のような事象を起こすだろう。

      親コメント
    • by Anonymous Coward on 2015年06月09日 14時00分 (#2827787)

      マジメに仕事してなかったという意味での処罰は必要だろうけど、漏洩そのものの責任は職員の根性に寄りかかった環境を作ったヤツが取るべきでは。

      親コメント
    • by Anonymous Coward

      # 無償で働いていたのならば、この限りではないが…

      えっ?

      • by Anonymous Coward

        サービス残業になった途端、ありとあらゆる法規を超越して奴隷労働を要求するのはいかがなものか

  • メール禁止? (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2015年06月09日 13時02分 (#2827739)

    トラップメールを開いた事よりもデータをインターネットにつながったコンピューターにコピーして運用していた事のほうが問題なような
    ※さすがに今どき.exeを開いちゃうのは擁護できませんが

    • by Anonymous Coward on 2015年06月09日 13時13分 (#2827746)

      ところが秘文というものがあってですね… >今どき.exeを開いちゃうのは擁護できませんが

      日立ソリューションズ『秘文 File Encryption』と自己解凍型exeファイルに対する反応
      http://togetter.com/li/831672 [togetter.com]

      親コメント
      • Re:メール禁止? (スコア:2, 参考になる)

        by Anonymous Coward on 2015年06月09日 14時24分 (#2827809)

        NTT(ciphercraft)も添付ファイルに自己解凍型exeを送ってきたよ。

        日立もNTTも顧客の安全なんて考えてないんだろう。

        親コメント
    • by nemui4 (20313) on 2015年06月09日 13時22分 (#2827760) 日記

      今どきのWindowsだとデフォルトでは拡張子って見え無くしてて、一般的なユーザだとその存在も知らなさそう。

      標的型攻撃だと「意識」だけで防ぐのは無理でしょうね。
      その認識が無い人たちに情報管理させてたとしたらそれが穴になってそうなので、そこからがんばってくだされ>責任者とコンサルの人たち。

      親コメント
      • by Anonymous Coward

        > 今どきのWindowsだとデフォルトでは拡張子って見え無くしてて、
        今どきっていつ頃からを指すんだろう……。
        自分の感覚ではかなり前からなんだけど。

    • by Anonymous Coward

      絶対に隔離すべきデータをさわるのにもかかわらず、インターネットに接続したPCに
      そのデータをコピーしているなんて、どう考えても馬鹿がやっているとしか思えない

      そもそもウイルスチェッカーやワクチンソフトなるものはどうなっていたのだろう
      すり抜けてきた?それともお役所得意のノーガード戦法?

      • by Anonymous Coward

        ターゲット攻撃にアンチウイルスソフトは無効ですよ。

        • by Anonymous Coward

          無効というより無力のほうが合ってるかな。

          アンチウイルスはすでに知られてるものにしか対処できないわけで、新種は完全スルーするしかない。

          ファイルのパーミッションだけではなく、AppArmorみたいなアプリ単位のファイルアクセス制御を付加するとかで、ウイルスに引っかかってもダメージを抑える方策じゃないと無理じゃないかな。
          もしくは規定されたアプリしか開けないようにきっちり管理するとか。

          • by nim (10479) on 2015年06月09日 14時00分 (#2827786)

            一応、ヒューリスティック分析で対応できる種類の「未知のウィルス」もあるので、一概に「無効」とか「無力」までは言えないかと。

            >アンチウイルスはすでに知られてるものにしか対処できないわけで、新種は完全スルーするしかない。

            というわけではない。
            ただ、巧妙に作られているものに対応するのはやはり難しいようだが。

            親コメント
            • by Anonymous Coward on 2015年06月09日 14時12分 (#2827801)

              ほぼ「無力」ですよ。マルウェア製作者は、ローカルPC上のヒューリスティック解析に引っかからないように、複数のアンチウィルスソフトを試しながら作ってますので。
              後のサーバー上での詳細なヒューリスティック解析では引っかかるかもしれませんが、それでは遅すぎます。

              親コメント
          • by Anonymous Coward

            Windowsにも、一応、強制アクセス制御としてMandatory Integrity Control [wikipedia.org]が載っていますが、大まかな制御しかできないので微妙です…。

            • by Anonymous Coward

              Windowsはもう長い間使ってないのでわからないけど、たしかvistaあたりから実装された管理者権限じゃないと実行できない場合ダイアログでパスワードやら確認を聞いてくるようなもの。*nix系でいうsudo。
              あれさえも一般のユーザーはわずらわしい、ってことで文句言ってたんじゃなかったっけ。
              セキュリティより利便性の方が重視されてしまうから、たとえ機能があっても使ってくれないんだろうなぁ。
              強制すればいいんだろうけど・・・

    • by Anonymous Coward

      既にコメントにある秘文を始め、ファイル暗号化送信ソリューションの多くには、
      自己復号形式の.exeファイルを作成する物が多くあります。
      もちろん証明書なしの.exeになるのでたいていのメールゲートウェイで止められるのですが、
      さらにたちの悪いことに、.exeを.ex_にして送信しろ、
      .ex_を受け取ったらこう開け、というマニュアルまであるのです。
      魚拓 http://megalodon.jp/2015-0606-1800-44/www.skygroup.jp/decode/exe.html [megalodon.jp]

      で、こういったソフトの導入実績として官公庁があることを鑑みると、
      そういったところ同士のやりとりでも使われていた可能性が高く、
      .exeを開くなというルールが徹底できなかったのも分かる気がします。

      • もちろん証明書なしの.exeになるのでたいていのメールゲートウェイで止められるのですが、
        さらにたちの悪いことに、.exeを.ex_にして送信しろ、
        .ex_を受け取ったらこう開け、というマニュアルまであるのです。

        Outlook でブロックされる添付ファイル [office.com]によると、

        安全にファイルを共有する

        Outlook でブロックされる種類のファイルを受信する必要がある場合は、送信者に依頼して、Outlook を使用しないでファイルにアクセスできるようにしてもらうか、または Outlook でブロックされる可能性が低いファイルにしてもらいます。以下に、信頼できる相手とファイルを共有する安全な方法をいくつかご紹介します。

        ファイル名を変更する Outlook で脅威として認識されないファイル名拡張子を使用して、添付ファイルの名前を変更するように送信者に依頼します。たとえば、.exe というファイル名拡張子を持つ実行ファイルの名前を変更して、.docx というファイル名拡張子を持つ Word 2010 ファイルにすることができます。

        送信者には、名前を変更した添付ファイルを再送信するように依頼します。添付ファイルを保存し、元のファイル名拡張子を使用してファイルの名前を変更するには、以下の手順を実行します。

        1. 電子メール メッセージの添付ファイルを選択します。
        2. 添付ファイルを右クリックし、[コピー] をクリックします。
        3. デスクトップを右クリックし、[貼り付け] をクリックします。
        4. 貼り付けたファイルを右クリックし、[名前の変更] をクリックします。
        5. .exe などの元のファイル名拡張子を使用してファイルの名前を変更します。

        "exe" ファイルの拡張子を "docx" に偽装しろと言っているようです。何故これが「安全にファイルを共有する」方法であるのか理解に苦しみます。

        親コメント
      • by Anonymous Coward
        exeを.ex_にするだけでスルっと通しちゃうメールサーバもどうかと思うが
        # そしてメールの先頭に"MZ"って書くだけでブロックされる事例が発生
      • by Anonymous Coward

        PEヘッダ [codezine.jp]で弾かないで、拡張子で弾いているというのもおかしいです。 >メールゲートウェイで止められるのですが、[...]、.exeを.ex_にして送信しろ、
        ヘッダで弾く、まともなメールゲートウェイは普及していないんですか?

        • by Anonymous Coward

          そして、暗号化zipにしておいて
          「パスワードは「Password」と入力して添付のZIPを展開いただいた後、中にある「重要文書.exe」を実行して下さい」
          と言う怪文書が…(実話

          • by Anonymous Coward

            暗号化zipは、中のファイル名が平文で見えるので、中のファイル名の拡張子で弾けるはず。それに加えて、古くて弱い暗号化zip(非AES)も弾くべきかと。

            # それでもexeを送る抜け道はまだまだありますね…

  • by Anonymous Coward on 2015年06月09日 13時16分 (#2827752)

    ✕ 中の人たちはかなりグダグタになってそうだ。
    ◯ 中の人たちは昔からグダグダだったし、今も、これからもそうだ。

    • by Anonymous Coward

      グダグダな人たちを再雇用した当時の政府もグダグダ。

  • by Anonymous Coward on 2015年06月09日 13時42分 (#2827769)

    まずはLANケーブルを引っこ抜く事からだ。
    それが基本であり絶対のポリシー。

    人間の統制だけして問題が起きたら現場担当のせいってやり方はセキュリティの世界では通用しない。
    それがわかってないからこういう事になる。

    卵が先か鶏が先かという話ではなく、
    トラブルに対する対処ポリシーがそもそものトラブルの原因になっていることに気付いていない。

    • by Anonymous Coward

      USBや光学メディアも感染源になりますし、安全にセキュリティ更新できない環境というのも微妙ですよ。
      ハードウェア型ファイアーウォールを導入しろ、ファイアーウォールの設定をキツくしろと主張するなら分かりますが、LANケーブルを抜くのは無いと思います。

      • by Anonymous Coward

        ならUSBもふさげばいいだけじゃない。
        どこの会社もそうしてる。

        設定終わったって確認できる、メール系と個人情報系のネットワークの分離ができたと確認できるまでは仕事止まろうがなんだろうが抜けって話。
        何も対策をせずに人間の教育が解決に繋がると思ってる甘い考えがそもそもでしょ。

        根本的な原因は単なるオペミスではなくメール系と個人情報系の作業を同じPCでやっていた事。

        分離がすぐにできないのならまずは個人情報系を安全なネットワークに隔離しないといけない。それが最優先。
        それはつまり外部へのラインを切る事。
        メール以外の要因でも漏れる可能性を孕んだままメールだけ禁止してるって状況をもうちょっと危険視しないと。

  • by Anonymous Coward on 2015年06月09日 13時54分 (#2827782)

    このビル [wikipedia.org]の屋上にど~んと鳩小屋を設置してだな

    • by Anonymous Coward

      そしてRFC 1149のIPoACでまた流出、と

  • by Anonymous Coward on 2015年06月09日 14時10分 (#2827798)

    サイバー攻撃じゃなくて、ヒステリックな「対策」のせいで業務が滞ったために。

    首を吊る人、飛び降りる人、電車に飛び込む人も出るかも。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...