有料放送を無料視聴可能にするプログラムを公開していた少年、佐賀県教委のシステムに不正アクセスしていた 74
ストーリー by hylom
どれだけのセキュリティだったのか 部門より
どれだけのセキュリティだったのか 部門より
あるAnonymous Coward 曰く、
佐賀県教育委員会のシステムに不正アクセスを行い、氏名や住所と言った個人情報および成績情報などを不正に入手した疑いで17歳少年が再逮捕された。(NHK)。
この少年は、B-CASカード不要で有料放送を視聴できるプログラムを独自に開発・公開して逮捕されている。警視庁が少年のPCなどを調べたところ、流出したと見られるデータが発見されて発覚したようだ。また、この情報流出について佐賀県教育委員会は今まで公表していなかったという。
佐賀県は教育システムのデジタル化を進めており、「ICT化が最も進んでいる」とも言われていたようだ(Yahoo!ニュース)。
先駆けていたからこそ、かも? (スコア:4, おもしろおかしい)
リンク先Yahoo!ニュースより引用
先駆けだったからこそ、
今となっては脆弱な古いセキュリティ技術を採用していた、あるいはセキュリティ自体が疎かで、
それが更新されてなかったりしたのかも。
Re:先駆けていたからこそ、かも? (スコア:3)
Re:先駆けていたからこそ、かも? (スコア:5, 参考になる)
これでしょうか。
佐賀県立高パソコン授業 優先された業者の利益(上) [hunter-investigate.jp]
SEI-Netを導入した凸版印刷の名前がネット上に挙げられていますが、凸版印刷は「佐賀県学習用PC等管理・運用業務」の見積書提出を辞退し、「学映システム」がセキュリティ管理を引き受けたとのこと。
ただ、SEI-Netに関わってどこまでの範囲についてセキュリティ管理を引き受けていたのかがわからないですね。
Re:先駆けていたからこそ、かも? (スコア:3, 興味深い)
その記事を読んだのですが、そこまで濡れ手に粟な商売になっていないように思いました。
金額的にもかなり値引いていますし、今年度の新機種もかなり値引かれているようです。5万円が高いというのは、0円でスマートフォンが手に入ったり、タブレットがただ同然で手に入ったりしたことが原因なのだろうかと思います。
また、そこまで故障するのが多いとは誰も思わないでしょうし、今まで使っていた実習教材がほとんどWindows対応なこともあるでしょうからOSの選定理由も異常だとは思いません。今までの教材を無にしてiPadを使えと言い出したら、一部の教員だけが狂喜乱舞して素晴らしい教材を作り上げたかもしれませんが、大多数は放置されていきます。
まぁ、どこまでの情報を引っ張り出せるようにするのか、教員であれば校長には大半のデータが引き出せないようにすることが当然だと考えるはずなので、調査不足としか言いようがないですね。
学映システムが落札しまくっているようですので癒着という点は否定できませんが、検討委員会も8回目以降を実施しているようですし(第7回の議事録が不完全のようですが)もう少し判断材料がほしいところでしょうか。
どれだけ声をあげても、荒げても、パスワードを画面に張り付ける教員は絶滅しませんよ。それだけで退職させない限りね。
Re:先駆けていたからこそ、かも? (スコア:2)
オフトピです。
検討委員会第8回議事録 [saga.lg.jp]を読んだのですが、佐賀県高等学校PTA連合会会長の伊東委員という人の発言がむちゃくちゃすぎて笑いました。
「ここに書いてある事を、人情味を踏まえて前向きにとらえてはどうかと考える。」
「総務省や文部科学省が、佐賀県の取組をここまで応援してくれている幸せを感じてほしいと考える。」
「文部科学省もアピールしてくれと言っている。『これだけ成果や数字があります。』ということを得られる手段が、アンケートだと思う。」
道理が通りそうにない検討委員会ですね。
Re:先駆けていたからこそ、かも? (スコア:2)
というわけで(どんなわけ?)佐賀県学習用 PC 等管理・運用等業務委託契約に関する調達仕様書 [archive.org]を見つけてきました。
「SCCM サーバや AD サーバの活用」とあり、NHKの続報 [nhk.or.jp]では「自分で作った攻撃用プログラムで欠陥を突いて」とあって、標的型攻撃っぽい要素が見受けられるなと思いました。
Re:先駆けていたからこそ、かも? (スコア:2)
佐賀県 - シスコ コラボレーション ソリューション 導入事例 - コラボレーション ユーザ事例 - Cisco Systems [cisco.com]
テレワークの推進には力が入っているようだ。
Re:案の定 (スコア:2)
一部のサーバーで教師が使う管理用のIDとパスワードの一覧表が、生徒のID、パスワードでも
見ることができるようになっていたようですね。
Re: (スコア:0)
先駆け!男塾
Re: (スコア:0)
方法はわからないけど、ID&PASSでアクセスできる限りどんなシステムも破られる。
一般の教師のセキュリティ意識も低いだろうし、教師権限のアカウントを乗っ取るなんてのも簡単そう。
# どうでもいいけど、すぐに消えるYahooニュースをソースにするとか・・・
# 少し手間でも元の毎日新聞のURLを張るのがマナーであろう http://mainichi.jp/articles/20160627/k00/00e/040/156000c [mainichi.jp]
# かといって日本の大手メディアも古い記事はすぐに閲覧不可にしてしまうわけだが・・・
Re:先駆けていたからこそ、かも? (スコア:1)
># 少し手間でも元の毎日新聞
それだと上限5件の閲覧記事数制限に該当する非契約者は記事のリード文すら読めない。
Re:先駆けていたからこそ、かも? (スコア:3, 興味深い)
ウォール・ストリート・ジャーナル日本版も手法は違うけどザル。
Re:先駆けていたからこそ、かも? (スコア:1)
ご教示多謝。
ウォールストリート・ジャーナルは日本語版だと途中までしか読めない記事に
悶々としていたので記事原文を探して読むようになった。方向性が変だけど。
Re: (スコア:0)
マナーも糞もないな
Re:先駆けていたからこそ、かも? (スコア:1)
というより、毎日新聞が自社サイトの脆弱性を放置しているのが根本原因なのでは……
Re: (スコア:0)
というより、毎日新聞が自社サイトの脆弱性を放置しているのが根本原因なのでは……
脆弱性にもレベルがあってね、クッキー削除したりプライベートモードでアクセスしてくれるがんばってでも記事を読みたい人は放置しましょう。っていう妥協もあるんですよ。
なにがなんでも止めるのは不可能でしょ?どこまで止めてどこで妥協するかを判断するんです。
Re: (スコア:0)
Cookie を送り込む奴が糞。
Re: (スコア:0)
不正アクセス防止法的にはOKなのかなぁ
Re: (スコア:0)
符牒を与えてるわけでもなし。消しただけでしょ
Re: (スコア:0)
># 少し手間でも元の毎日新聞
それだと上限5件の閲覧記事数制限に該当する非契約者は記事のリード文すら読めない。
契約すればいいだけじゃないの?
契約してなくて読めないと言い張るのはわがまま。
Re: (スコア:0)
無料契約するとデジタル毎日無料会員というのになるようだけど、毎日無料なのに月次制限はあるんですね。
Re:先駆けていたからこそ、かも? (スコア:1)
たとえ校長権限でも他校の生徒の成績にアクセスできたら、それはおかしいと思うし
せめて大量にダウンロードするなどしたら不正検知するシステムがあるべき
今回のはB-CAS事件がなければ不正アクセスにすら気づいてなさそう
Re: (スコア:0)
>リンク先Yahoo!ニュースより引用
ふと思うんだけど「Yahoo!ニュース」って書いちゃう人って(minetさんじゃなくてね)
なぜそれが2次情報だってことに気が付かないんですかね?
1次情報のリンクを貼りなさいっていうインターネットのルール知らないんですかね?
不正アクセス文科省担当者はショックをあらわに「最先端の佐賀県システム破られるとは」
http://mainichi.jp/articles/20160627/k00/00e/040/156000c [mainichi.jp]
Re: (スコア:0)
>> 1次情報のリンクを貼りなさいっていうインターネットのルール知らないんですかね?
そんなルールあったの?それだとGigazineとかGizmodoとかにリンクするのはほとんどアウトになっちゃうけど??
Re: (スコア:0)
いやつっこみどころはそこじゃないだろ。
毎日新聞の記事も一次情報じゃないよ。その点、あなたも同じ穴のムジナ。
Re: (スコア:0)
1次情報のリンクを貼りなさいっていうインターネットのルール知らないんですかね?
ヤフーニュースが報道機関の報道を報道機関の許諾を得たうえでまるっと転載しているだけってのは周知の事実でありまるっと転載している以上一次情報と内容は同一である。一次二次ってのは転載とはかんけいがないので故にヤフーニュースを一次情報と呼ぶのは問題ではない。掲載元の許諾を得ているってのも大きい。
ついでに言うと報道は報道機関の人員が取材した内容を編集したものなので一次情報と呼べるかといえばかなり怪しい。取材相手と記者、編集者と情報を加工できる利害関係者が無数に存在しますからな。ひどいケースだとまた聞きのまた聞きを記者に垂れ込む場合すらある。今回のような刑事事件で一次情報と呼べるのは警察の発表と被疑者の発表くらいのものでしょう。テレビやネットメディアのインタビューは生放送ならまあ一次と呼べるかもしれない。
Re:先駆けていたからこそ、かも? (スコア:1)
ヤフーニュースが報道機関の報道を報道機関の許諾を得たうえでまるっと転載しているだけってのは周知の事実でありまるっと転載している以上一次情報と内容は同一である。一次二次ってのは転載とはかんけいがないので故にヤフーニュースを一次情報と呼ぶのは問題ではない。掲載元の許諾を得ているってのも大きい。
元記事に訂正が入ってもヤフー!ニュースは訂正が入らない。
大量って (スコア:4, 興味深い)
教員一人分のアカウントで、大量に抜けるようなシステムなのだろうか。
Re:大量って (スコア:1)
大量に抜けるようなシステムなのだろうか。
はぁはぁ(*´Д`*)
Re: (スコア:0)
教員全員にroot権限でも渡してそう。
おっさん世代は (スコア:2)
良心回路が壊れてたら、どんなに優秀でもゴミだと、潜在意識に刷り込まれてるんだけどなぁ。
#なんで寸止めできなかったのか、才能が惜しいな。
Re:おっさん世代は (スコア:2)
他のコメで似たことを言ってる人が居るが、
そんな社会だから日本はAppleとかに勝てないんだ
ってストーリーが大好きなのもまたおっさん世代だと思う
Re:おっさん世代は (スコア:1)
自らの手で穴を塞いで堤防の決壊を防いだ少年の話を読んで感動したおっさん世代としては、穴があったら手を入れてみるのは当然だと思います。
# 銀のスケート [amazon.co.jp]
Re: (スコア:0)
フィ○トファ○クがご趣味ということですか?
Re: (スコア:0)
いや、こいつはゴミだろ
Re:おっさん世代は (スコア:1)
おっさん世代かどうかは判らないけど、Twitterとか見てると「こんな天才の芽を摘むなんて」みたいな論調のヤツが一定数いることは確か
まあ天才っつーならアドルフ・ヒトラーとか毛沢東とか、或いはオウム幹部なんかもある意味では天才だったわけで、事前にわかってるなら芽を摘んだ方がいい天才も世の中にゃごまんと居るのに
Re: (スコア:0)
年齢を考えれば更生の余地はあるでしょう。
この手のクラッカーが逮捕されると企業の人事が面接しに来たりするそうですし。
Re:おっさん世代は (スコア:1)
なにをもって更正と言うかは難しいが、少なくとも発生した損失に対して賠償するのが最低ラインだと思う
もちろん未成年だから親が代わりに払ってやるってのもアリだろうがね
海外では割と多いけど日本ではそういうのは少ないんじゃないかな。
悪事をやったヤツはどこまでも社会的にぶん殴る、が割と許される空気だから、そういうヤツを雇用したってことが公になると多分、技術力面でのメリットより会社の評判のデメリットのほうが大きくなる。
Re: (スコア:0)
> 事前にわかってるなら芽を摘んだ方がいい
事前にわかるなんてことなんてないので、無意味な言説ですね。
Re:おっさん世代は (スコア:1)
ゴミなのは良心回路を持っててもゴミみたいなシステムをそのまま運用してた佐賀なんとかかんとか
Re: (スコア:0)
> 良心回路が壊れてたら、どんなに優秀でもゴミ
ワイルド7を読んでたおっさん世代としては、それには賛成出来ないな。
「法律で裁けない悪党(脆弱性)はいっそ処刑してしまうべきだ」てな感じでどうよ?
Re: (スコア:0)
この子は法でさばけない悪党を悪用して悪事を働いただけでしょう。脆弱性見つけたんなら匿名で報告すればいいだけ。オプソならコード上の脆弱性を処刑することだってできる。
まあ法でさばけない悪を法の外で裁くと大抵法はそいつも裁く羽目になる。
Re: (スコア:0)
良心回路の壊れたおじさん [2ch.net]が、セキュリティーの進化を助けてやっているんだ!はやくhttpsを導入しろ! [2ch.net]と公開している掲示板の書き込み規制回避ノウハウ&支援ツール [github.com]なんてものもありますが
Re: (スコア:0)
色々とお痛をした人間はどの辺りがダメなのを経験しているので、それはそれで貴重な財産です。
手のかからない良い子ちゃん的な戦略とは全く正反対ですが。
Re: (スコア:0)
ゴミというのは電話のタダがけ機(ブルーボックス)を売って儲けていた 故 Steve Jobs のことですか?
Re: (スコア:0)
穴があったら手を突っ込んでみるというのは好奇心のレベルだと思うけどね。
Re: (スコア:0)
インディージョーンズのあのシーン思い出すので無理
Re:おっさん世代は (スコア:2, おもしろおかしい)
> # 乙女回路が壊れてたらどうなるんだろうか…
腐ります。えぇ。
教育の賜物だ (スコア:2)
悪魔を捕まえるトラップ (スコア:0)
だったら「佐賀スゲー」なのだが