パスワードを忘れた? アカウント作成
896006 story
情報漏洩

衆議院へのサイバー攻撃、全議員のパスワード流出でメールが閲覧された可能性も 31

ストーリー by hylom
つつぬけ 部門より
headless 曰く、

7月末から衆議院議員会館のパソコンがサイバー攻撃を受けていた問題で、衆議院は全議員のIDとパスワードが暗号化された状態で流出していたことを発表した(毎日jpの記事YOMIURI ONLINEの記事asahi.comの記事)。最大で15日間、流出したIDとパスワードでメールの閲覧ができた可能性もあるという。

以前のストーリーの続報となる。7月末に雑誌記者を装った攻撃者が議員3人にマルウェアを添付したメールを送信し、開封した1人のパソコンにマルウェアがインストールされた。このパソコンを利用して攻撃者は院内ネットワークに侵入、全議員のIDとパスワードを入手したという。パスワードは暗号化されていたが、一部が解読されてメールが盗み見された可能性もあるとのこと。

一方参議院では、衆議院に対する攻撃が発覚した8月以降も引き続きサイバー攻撃を受けており、情報が流出していた可能性もあるという。衆議院への攻撃で使われた中国とシンガポールのサイトに議員のパソコン29台が接続した痕跡が確認されており、両院の連携不足を指摘する声も出ているとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ikotom (20155) on 2011年11月17日 9時46分 (#2051721)

    巷では国益という観点でTPPの是非が議論されていますが、
    そういう意味ではこちらの方がよっぽど重大だと思うのは私だけ?

    戦争に例えてみれば、暗号を解読されて通信が丸見えになった軍は100%負け確定でしょう。
    すなわち今後の軍事・経済・外交、あらゆる国際競争の場面で中国に頭を押さえられるということ。

    今回発覚したシステムだけでなく、議員の個人PC、各党のPC、全部ひっくるめて
    直ちに総点検する必要があるのではないでしょうか。

    • by iayumu (44679) on 2011年11月17日 10時10分 (#2051736)
      まあ、大戦中から日本の通信は相手に丸見えですけどね。
      --
      ちきゅうにやさしい あきじかんのさいりよう
      親コメント
      • by Anonymous Coward
        当時はバレてないつもりだったんだよ。暗号の強度には絶対の自信があったからね。
        漏れてることに気付いただけ半世紀分は成長してる。
        • by Anonymous Coward

          暗号の強度はかなり良かったようですが、管理がダメだったと聞いています

          • by Anonymous Coward on 2011年11月17日 20時23分 (#2052126)

            重要な秘密にすべき通信も、さして重要でない通信も、強度の強い暗号を使っていたので
            敵に暗号を解く手がかりをより多く与えてしまったと聞いてます。

            親コメント
          • by Anonymous Coward

            暗号の強度はかなり良かったようですが、管理がダメだったと聞いています

            その点は進歩ないな。...いや、退化してるかも。

    • by Anonymous Coward

      わかってないなー
      TPP参加交渉で騒いでいるのは、自国の問題から目を背けるために決まっているじゃないですか

    • by Anonymous Coward

      オリンパスの損失隠しや公務員宿舎問題が足下に及ばない程の大問題だと思います。
      マスメディアで騒がれないのは不思議ですよね。

  • by lamvision (16580) on 2011年11月17日 8時44分 (#2051693)

    ユーザーの一人として侵入したのに
    全IDとパスワードが取得できるシステム構築をしてるんだろうか?

    しかも国の中で情報漏れが一番起きちゃいけない組織で

    • by Ryo.F (3896) on 2011年11月17日 9時40分 (#2051719) 日記

      毎日新聞の記事 [mainichi.jp]には、

      侵入者は8月22日、院内LANのサーバーにアクセスするための「管理者権限」のIDやパスワードを何らかの方法で入手。サーバーや運用管理パソコンを感染させ、全議員のIDやパスワード情報を取得した。パスワードは暗号化されていたが解読も可能で、一部の議員の受信メールが盗み見られた可能性があるという。

      とあります。
      トロイの木馬にやられるのは、それはそれで問題ですが、それよりも、「「管理者権限」のIDやパスワードを何らかの方法で入手」できたことの方が大問題です。
      また、ユーザサービス用ネットワークからサーバーや運用管理パソコンにアクセスした様ですが、この経路はなんだったのでしょうか?ユーザサービス経由であれば、ある意味仕方がありません。しかし、例えばSSHなんかの管理用サービスがユーザサービス用ネットワークからアクセスできていたのだとすると、設計上のミスなのではないでしょうか。
      暗号化されたパスワードが解読されるのは、ある意味仕方がありません。/etc/{passwd,shadow}が盗まれて、辞書攻撃されれただけでもかなりの確率で当てることができるでしょう。文字数を限定してブルートフォース攻撃をやっても当たるかもしれない。

      衆院事務局は8月下旬、システムを管理しているNTT東日本から異変の報告を受けたが、深刻なサイバー攻撃との認識はなかったという。

      これも問題ですね。ITの素人である事務局が深刻度を見積もれないのは、仕方ないとしても、ITのプロであるNTT東日本の説明がマズかったとは言えるでしょうね。

      親コメント
      • by Anonymous Coward

        そこらへんは議事録や文書が残ってるでしょうしNTTがそこまでヘマやらかすとは思えんが
        事務局の方じゃいくら失敗したってクビが飛んだりしないでしょうし緊張感が無いんじゃないの?

    • by JULY (38066) on 2011年11月17日 10時52分 (#2051764)

      例えば、ある一般ユーザの権限が取れた後に、権限上昇を許すセキュリティホールをづいて、最終的に Active Directory の管理者権限を奪取できれば、全アカウント情報を取得できます。UNIX 系 OS であれば、何らかの形で root をとれたら、メールサーバ等が認証に使っているアカウント情報を取得できます。

      標的型攻撃で戦略的なものなら、最初のマルウェア付きのメールは、とっかかりでしかなく、これが成功すれば、言わば、部外者がコントロールできる PC が内部にある状態になります。こうなると、様々な情報を攻撃者が収集でき、それを元に攻撃対象を見つけて攻略し、最終的にはサーバ等の管理者権限の奪取を目指す、という流れになります

      ....と、某勉強会での講師の方の話の受け売りで、実際にその現場を見たわけじゃないですが.....。

      全議員のIDとパスワードが暗号化された状態で流出していた

      ということなので、UNIX 系であれば、/etc/shadow、Windows 系であれば、SAM データベース、LDAP を使っていれば、userPassword のアトリビュートがハッシュ値で保存されているもの、といった類にデータが流失したことになると思いますが、正しいパスワードの付け方をしてれば、ブルートフォースで破るのは難しいです。
      ただ、みんなが正しいパスワードを付けている保証は無いので、安易なパスワードが設定されているアカウントに関しては、実際のパスワードが判明するでしょう。
      あと、Windows 系の場合、LM ハッシュが残って、かつ、Ophcrack で有償のレインボーテーブルを使えば、ほぼ、どんなパスワードでも判明します。

      ともかくも、現時点では技術的な情報に乏しいので、本当のところはよく分からないですが。

      親コメント
      • by Anonymous Coward

        Active Directoryの管理者権限もUNIXのrootも、それを取れただけでは全アカウントのIDとパスワードを盗むことは難しい。
        パスワードを勝手に変更することはできる。
        でもそれならすぐに発覚するよね。

        おそらく、メールサーバあたりの管理者権限を取られ、パケットキャプチャを仕掛けられたんじゃないだろうか。
        問題は、ただのユーザのPCが乗っ取られたからといって、そのPCでパケットキャプチャをしてもサーバや他のユーザのパスワードなんて拾えないから、どうやって管理者のパスワードまで盗んだかってことと、それを許してしまったのかということ。

        最初に週刊誌の記者を騙った攻撃者が「あなたの記事が載るよ」と画像と見せかけたTorojanを送りつけ、週刊誌に載ってもおかしくない実に覚えのあることをやった議員さんが「あれの記事か!」と思ってクリックしちゃっても、サーバの管理者のパスワードまで取るのは無理。
        何かシステム上に欠陥があったか、あるいは乗っ取られた議員のPCから管理者に、同じようにTorojanを送りつけたのかもしれない。

      • by Anonymous Coward

        >安易なパスワードが設定されているアカウント
        民主党の某氏の日記のパスワードが漏れた時なんて、短い英小文字だけでしたからねぇ、記憶によると
        議員のITリテラシはどれぐらいやら

  • 院内情報とか、外交情報、そんなのは漏れてもどうでも良い。

    一番怖いのは、「個人的な弱み」を握られること。例えば、○○議員と○○議員のいちゃいちゃしたメールとか。
    それをネタに議決を揺すられる。

    解散して入れ替えろ。本当に

    • 院内情報とか、外交情報、そんなのは漏れてもどうでも良い。

      相対的な重要度については、いろいろ評価があるでしょうが、「どうでも良い」ってことはないんじゃないかな。「院内情報」ってのが何を指すか知らないけど、例えば議員や関係者の個人情報が流出すれば、結果として「個人的な弱み」にたどり着かせてしまう可能性もある。
      「外交情報」にいたっては、なぜ「どうでも良い」のか全然解らない。
      「個人的な弱み」を掴まれて怖いのは、ゆすられて例えば「外交情報」を提供させられるということなんじゃないかな?

      冷静な分析と対策が必要なんじゃないかな?

      親コメント
      • by Anonymous Coward

        アホじゃない議員はメールで証拠を残さないんじゃないかな。
        メールでは秘書に指示して「○○の件は前向きに善処します」とかハッキリは何も言わず。

        実際は、議員同士で直接会ったときに、外務省に乗り込むなどで証拠を残さず云々やると。

        #マルチ山岡みたいなのはメールどころかマルチ商法集会での応援講演の映像が出てくるんだから言うに及ばず。

    • by Anonymous Coward

      >解散して入れ替えろ。本当に

      その論によるとメールを盗み見られた可能性のある現衆議院議員は次の選挙では立候補禁止ですね。
      私は現政権には非常に批判的ですが、あなたの論はおかしいと思います。

    • by Anonymous Coward

      >○○議員と○○議員のいちゃいちゃしたメール
      そんなのを国家機関のメールを使って流す人間は、それこそ(ry

      • by Anonymous Coward

        >○○議員と○○議員のいちゃいちゃしたメール
        そんなのを国家機関のメールを使って流す人間は、それこそ(ry

        そういう人間も、そうでない人間も、同等の議決権を持っているから、
        今回の流出は怖いというのが元コメの意見だと思う。

  • by Anonymous Coward on 2011年11月17日 6時51分 (#2051663)

    >衆院事務局は8月下旬、システムを管理しているNTT東日本から異変の報告を受けたが、
    >深刻なサイバー攻撃との認識はなかったという。
    >衆院の服部創広報課長は「標的型の攻撃への意識が甘かった。
    >対応や議員への周知が遅きに失したところはあり、十分検証したい」と話している。

    とあるけど、NTT東日本は何て報告したんだろうね?

    サイバー攻撃による情報漏えいの可能性の認識
    ⇒ 自分らの構築したシステムのセキュリティが甘かった?
    ⇒ それとなく報告して、あたかも大問題ではないようにしとこう
    ってことは流石にないよね?

    契約上、セキュリティ上の問題が発生した場合
    (1) NTT東日本はこれを衆院事務局に報告
    (2) 衆院事務局がこの問題を吟味
    (3) 何らかの対策が必要であると判断された場合、NTT東日本に対策を要請
    のような感じなんだろうか?

  • by Anonymous Coward on 2011年11月17日 8時40分 (#2051690)

    このままだとノーガード戦法すら出来ない

  • by Anonymous Coward on 2011年11月17日 9時15分 (#2051707)
    素朴な疑問。
  • by Anonymous Coward on 2011年11月17日 9時38分 (#2051718)

    こんどは何に責任を押し付けるんでしょうね

  • by Anonymous Coward on 2011年11月17日 11時11分 (#2051779)

    >両院の連携不足を指摘する声も出ているとのことだ。
    もともと2院あるのは複数の立場・見方を得る為。
    ついでにもっと分けてしまって、システム自体別個に独立して作る。
    構成も全然違うって位にした方が、1本の釣り糸で纏めて手繰り寄せられなくて吉。
    だと思うんだ。

    • by Gu-tara*,(._.),* (38869) on 2011年11月17日 15時23分 (#2051974) 日記
      元ネタで言ってるのは、情報連携を指してると思うんだが。

      セキュリティとかルールは立場や見方で違う訳ではないので、連携して対処(防御)できるようでないと駄目だと思うだよ。

      システム自体をそれぞれ独立させたりするのは否定しないけど、そんな無駄な予算は優先的にカットすべきではないかな。

      親コメント
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...