アカウント名:
パスワード:
たいした情報含まれないから問題はないけど、元学生が含まれるなら、せめて何年度入学・卒業まで漏れた可能性があるかを発表してもらいたい。
大学内の人間です。ここ数ヶ月、情報室から何度も「Linuxユーザーはルートキットをチェックせよ、ここからダウンロードしろ!」なんていう怪しい指令だとか「ルーターから異常な通信が!チェックせよ!」とかうるさいなぁと思っていましたが、こういうことだったんですか。
しかし、チェックせよで何とかしようとしても、管理があまあまな大学なのでいつかはこういうことは起こるでしょうね。重要な情報に触れられる人間はせめてもうちょっとセキュリティ意識高いと良いのですが。
そもそも、大学の情報システム系のレベルが低すぎて、再発防止とか無理な気がします。
学務なんかのデータベースが漏洩したのならわかるけど、教育用計算機システムになんでOBの情報が残してあるんだろう。
ニュース見ると内部のシステムに侵入されてそこにパケットキャプチャしこまれて365の管理者パスワード引っこ抜かれたとか
パケットキャプチャって、仕掛けられる時点でもう何らかの管理者権限が取られてません??…そんでパケットキャプチャでパスワードが取られるって、暗号化とかはどうなってん?ほんとなんかな??
OB にもメールアドレスを提供するっていうサービスがあるそうだから、認証システムが共通だったってことじゃない?
・本学学生の ID 、氏名、所属、本学発行のメールアドレス、入学年度、学籍番号24,196 件・元学生の ID (現在使用不可)、氏名、所属、本学発行のメールアドレス(現在使用不可)、入学年度、学籍番号23,467件
だそうです。元学生はメールアドレスも無効化されているので、生涯メールとは別ものでしょう。(OBに提供される生涯メールは、学生アカウントとはメールアドレスが異なってます [osaka-u.ac.jp])
以下、かなり当てずっぽうの推測になりますが、たぶん、元学生に対してアカウントを論理削除しただけで物理削除はしてなかったということでしょう。入学者数は1学年あたり3,400人程度 [osaka-u.ac.jp]なので、47,000人は14年分ぐらい。学生と元学生がほぼ同数なので、7年前の時点で有効だった学生アカウントを起点に積算したらこのぐらいの数字になりそうです。で、その時期のサイバーメディアセンターの沿革 [osaka-u.ac.jp]を見ると、「2010年10月 全学IT認証基盤(CA/RA)システム更新」とあるので、たぶんこの時点で利用可能アカウントのみデータ移行し、以後ずっとDBに残っていてそれが今回流出したって感じじゃないかなぁ…
重複防止に、卒業後もしばらくメールアドレスを残しておく方針とかじゃないかな。そのついでに名前のエントリも残ってたとか。
学籍番号@ドメイン名、なら大丈夫なんだけど、学生の氏名から作ったメールアドレス@ドメイン名、だと被るとまずい。1回使ったメールアドレスは数年塩漬けにするとかそう言う運用がされてたような気がする。
それはそれで不味い運用だと思うけど。
大阪大学への不正アクセスについてまとめてみた [hatena.ne.jp]
メール本文とか色々漏れてるらしいよ。
阪大の発表以上の内容が含まれているわけでもなさそうだし、日経ITproの方が分かりやすい気がする。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
情報不足 (スコア:0)
たいした情報含まれないから問題はないけど、元学生が含まれるなら、せめて何年度入学・卒業まで漏れた可能性があるかを発表してもらいたい。
Re:情報不足 (スコア:1)
大学内の人間です。
ここ数ヶ月、情報室から何度も
「Linuxユーザーはルートキットをチェックせよ、ここからダウンロードしろ!」
なんていう怪しい指令だとか
「ルーターから異常な通信が!チェックせよ!」
とかうるさいなぁと思っていましたが、こういうことだったんですか。
しかし、チェックせよで何とかしようとしても、管理があまあまな大学なのでいつかはこういうことは起こるでしょうね。
重要な情報に触れられる人間はせめてもうちょっとセキュリティ意識高いと良いのですが。
そもそも、大学の情報システム系のレベルが低すぎて、再発防止とか無理な気がします。
Re: (スコア:0)
学務なんかのデータベースが漏洩したのならわかるけど、教育用計算機システムになんでOBの情報が残してあるんだろう。
Re:情報不足 (スコア:1)
ニュース見ると
内部のシステムに侵入されてそこにパケットキャプチャしこまれて
365の管理者パスワード引っこ抜かれたとか
Re: (スコア:0)
パケットキャプチャって、仕掛けられる時点でもう何らかの管理者権限が取られてません??…そんでパケットキャプチャでパスワードが取られるって、暗号化とかはどうなってん?ほんとなんかな??
Re: (スコア:0)
OB にもメールアドレスを提供するっていうサービスがあるそうだから、認証システムが共通だったってことじゃない?
Re:情報不足 (スコア:2)
だそうです。元学生はメールアドレスも無効化されているので、生涯メールとは別ものでしょう。(OBに提供される生涯メールは、学生アカウントとはメールアドレスが異なってます [osaka-u.ac.jp])
以下、かなり当てずっぽうの推測になりますが、
たぶん、元学生に対してアカウントを論理削除しただけで物理削除はしてなかったということでしょう。
入学者数は1学年あたり3,400人程度 [osaka-u.ac.jp]なので、47,000人は14年分ぐらい。学生と元学生がほぼ同数なので、7年前の時点で有効だった学生アカウントを起点に積算したらこのぐらいの数字になりそうです。
で、その時期のサイバーメディアセンターの沿革 [osaka-u.ac.jp]を見ると、「2010年10月 全学IT認証基盤(CA/RA)システム更新」とあるので、たぶんこの時点で利用可能アカウントのみデータ移行し、以後ずっとDBに残っていてそれが今回流出したって感じじゃないかなぁ…
Re: (スコア:0)
重複防止に、卒業後もしばらくメールアドレスを残しておく方針とかじゃないかな。そのついでに名前のエントリも残ってたとか。
学籍番号@ドメイン名、なら大丈夫なんだけど、学生の氏名から作ったメールアドレス@ドメイン名、だと被るとまずい。
1回使ったメールアドレスは数年塩漬けにするとかそう言う運用がされてたような気がする。
それはそれで不味い運用だと思うけど。
Re: (スコア:0)
大阪大学への不正アクセスについてまとめてみた [hatena.ne.jp]
メール本文とか色々漏れてるらしいよ。
Re: (スコア:0)
阪大の発表以上の内容が含まれているわけでもなさそうだし、日経ITproの方が分かりやすい気がする。