パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出」記事へのコメント

  • by Anonymous Coward on 2021年05月31日 16時39分 (#4041721)

    ProjectWEBってIDとパスワードだけで入れると記憶してるんだけど
    あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。
    せめていつもと違う端末からのアクセスがあればメールで一報入れるような仕組みでもあればよかったのに。
    これ使ってた自分を含めた協力会社の人たちは「危なっかしいよねー」とか言うてたけどプロパーさんたちは聞く耳持たずだし
    「だったらお前改良しろよ。ただし無料でな」的な返答はあった気がするー・・・
    もう10年くらい前の話しだから忘れちゃったけどさ。

    • by Anonymous Coward on 2021年05月31日 19時17分 (#4041856)

      だからパスワードの定期変更をですね

      親コメント
      • by Anonymous Coward

        複数サイトで使いまわししていなければ他所で流出しても問題ないんだよ
        だからパスワードの定期変更は必要ないとされている

      • by Anonymous Coward

        3年前ぐらいの話だけど、パスワードは90日に一度変更が強制される、末尾の記号だけ変更してローテしてたから意味ない。

        • by Anonymous Coward

          いまだにそうですよ、某大手h○%×$☆♭#▲※

        • by Anonymous Coward

          パスワード使いまわしの問題も、パスワード変更強制の問題も、そもそもユーザーにパスワードを決めさせるということ自体が諸悪の根源なんだよな。
          パスワードはランダムに自動発行しかできないようにするのが得策。

          • by Anonymous Coward

            そしてパスワードはパソコンに自動的に管理させるのが得策

          • by Anonymous Coward

            それやったら付箋にパスワード書いて貼られるんだけどな。あと管理者がパスワードを知ってしまう問題も大きい。

            最悪中の最悪の悪手なので10年以上前に初期パスワードは任意のものに変更できるのが当然になった。

            • by Anonymous Coward

              管理者はユーザーのパスワードなど知らなくても、直接データベースやサーバーのファイルを見れるでしょうに。

              • by Anonymous Coward

                初期設定後にもう一度ランダムに自動発行して画面内で通知などすればいいでしょ。

              • by Anonymous Coward

                直接覗いたら犯人バレバレでしょ。
                なりすませるってのは重要よ。

              • by Anonymous Coward

                管理者が自分の管理する情報を覗いたところで不自然じゃないしログも消せるでしょ
                何がバレるのか

              • by Anonymous Coward

                セキュリティ対策の常識として「管理者の不正」が最重要とされて10年以上経過してると思うが、
                こんな時代遅れな奴がまだいるとは・・・
                今どき管理者が与えられた権限のまま覗き回ったら良くてクビ、悪けりゃ警察に通報される。

                あと監査製品で特定のログ消すって不可能だぞ。
                ログを全部吹っ飛ばすことなら可能だがその時点で管理者=犯人になる。

              • by Anonymous Coward

                「管理者の不正」が最重要とされて10年以上経過してるなどという事実は存在しません。
                勝手な思い込みで歴史を捏造しないように。
                事実であるというのなら証拠を示してください。

            • by Anonymous Coward

              > あと管理者がパスワードを知ってしまう問題も大きい。

              ランダムに発行されたパスワードを管理者が把握してて何か問題あるか?

              • by Anonymous Coward

                管理者がユーザになりすまして不正を働ける時点で大問題。
                何のために一方向性ハッシュで暗号化してると思ってるんだ?

              • by Anonymous Coward

                一方向性ハッシュで暗号化してるのは漏洩した生パスワードを第三者(=利用者と管理者以外の人間)が悪用しないためです。
                管理者がユーザになりすました不正対策ではありません。

                利用者が決めたパスワードを他でも使い回していれば、それを管理者が知得できることは問題になり得ますが、それは原則として利用者の自己責任です。
                当然、ランダムに発行されたパスワードであれば、そのような問題は発生しません。

              • by Anonymous Coward

                IPA ISEC セキュア・プログラミング講座 [ipa.go.jp]

                たとえば,会員サービスのアプリケーションソフトウェアが画面1のように会員情報テーブル内にパスワードをクリアテキスト(そのまま読めるデータ)で保存していたとする。データベースの保守作業で使われたダンプリストが不用意に捨てられたり,バックアップテープが間違って持ち出されるなど,なんらかの事故や盗難などで漏洩した場合,テーブルに書かれているユーザID,パスワードをそのままの形で不正行為者が利用することができ,大変危険である(図1)。

                安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構 [ipa.go.jp](改訂第7版)

            • by Anonymous Coward

              業務用PCの従業員パスワードを管理者が知ってたら大問題?
              その従業員が休職・退職したらどうするつもりなんだよwww

          • by Anonymous Coward

            そもそも、パスワードが1つしか無いってのがダメなんだよね
            システムが自動発行したパスワードと、ユーザーが決めたパスワードの2つを使えばいい

            • by Anonymous Coward

              ユーザの負担が大きいって時点で時代遅れ。
              そういう「なんちゃってセキュリティ対策」は紙にパスワード書かれるくらいならマシな方で、
              ログイン画面を模したフィッシングサイトにも平気でパスワード入力されるとか逆効果にしかならない。

              証明書(ICカード)とPIN、必要に応じてトランザクション認証が今のトレンド。

        • by Anonymous Coward

          末尾の記号のローテが推測不能なら一定の意味はあるよね

      • by Anonymous Coward

        おもおかをあげたい。

    • 逆。単純なIDとパスワード認証だけだからイチイチアカウント追加申請しないでも現場で運用が回るの。
      で、結局今回の事件って垢が漏れたの?鯖が落とされたの?
      とりあえず今のパスワード変更汁!だとか、定期的にパスワード替える!なんて "指示" が来たのだが…。ホントーにそれが意味のある対処であることを示すエビデンスは何も示されていない。
      親コメント
      • by Anonymous Coward

        あんまりガチガチにしちゃうと、今は亡き宅ふぁいる便みたいな社外サービス使おうとする奴出ちゃうしね。

    • by Anonymous Coward

      さもありなん。ま〜た富士通か。

    • by Anonymous Coward

      あなたが10年前に無料で改良して富士通にフィードバックしていたら今回のこのような事態は起きなかったのに。
      と、今頃、この書き込みを見た富士通の人に逆恨みされているよ。ACで書いたのは賢明だね。

      • by Anonymous Coward on 2021年05月31日 20時29分 (#4041910)

        なるほど。最近の富士通のやらかしが多いのは、このACが富士通関連会社を追放されたからなんですね。
        今更戻ってこいと言われてももう遅い!

        親コメント
      • by Anonymous Coward

        むしろ本名で書かれたら、富士通の人が困るでしょ。
        あの時に指摘されてたのに〜って。

        あ、ACで書かれてもやっぱり困るからって事ですか?
        だから書かないでくれと?

    • by Anonymous Coward

      > あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。

      それはProjectWEBに限らず世の中のほとんどのシステムでそうなのでは?
      10年前って多要素認証どころかログイン通知すら一般的でなかった時代
      そら「だったらお前改良しろよ」って言われますわ

      • by Anonymous Coward

        > 10年前って多要素認証どころかログイン通知すら一般的でなかった時代

        10年前ならパスワードの強度検査はふつうにありましたね。
        2007年の記事:
        https://thinkit.co.jp/cert/article/0707/18/3/2.htm [thinkit.co.jp]

      • by Anonymous Coward

        ログイン情報が漏れることが想定外なシステムが問題なの。
        漏れたときにそれとわかるようになってないのが一番まずいの。

        わっかんねーだろうなあ。

    • by Anonymous Coward

      だからアクセス元のIP絞っとけよって言われてたジャン。
      もともとイントラ間でファイルをやりとりすることを想定してるから
      相手企業のGWアドレスだけ許可しとけばなんとかなるでしょっていう
      システムで、実際なんとかなってたんだよ。
      それが新コロ対策急造テレワークでガバッと許可アドレスを広げちゃったんでしょ。
      だから今頃になって大騒ぎなんだと思うよ。

      • by Anonymous Coward
        もう10年前の話だけど(元コメ主とは別人です)、少なくとも取引先共有のProjectWEBにIP制限なんて無かったよ
        • by Anonymous Coward

          数年前にちょっと使った外部の人間だけど、制限掛けるからとGW情報を届け出た。
          中の人たちはVPN(?)経由じゃないと入れないと言ってたけど、
          そとの私たちはホテルのWiFiからでも入れました。
          中の人ほど乖離に気づいてないのかも。

    • by Anonymous Coward

      もう18年くらい経ってるような気がするんだよなぁ…初期はマジ酷かった。

      >ただし無料でな
      そこはまっかく変わらね〜のなw

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...