衆議院へのサイバー攻撃、全議員のパスワード流出でメールが閲覧された可能性も 31
ストーリー by hylom
つつぬけ 部門より
つつぬけ 部門より
headless 曰く、
7月末から衆議院議員会館のパソコンがサイバー攻撃を受けていた問題で、衆議院は全議員のIDとパスワードが暗号化された状態で流出していたことを発表した(毎日jpの記事、 YOMIURI ONLINEの記事、 asahi.comの記事)。最大で15日間、流出したIDとパスワードでメールの閲覧ができた可能性もあるという。
以前のストーリーの続報となる。7月末に雑誌記者を装った攻撃者が議員3人にマルウェアを添付したメールを送信し、開封した1人のパソコンにマルウェアがインストールされた。このパソコンを利用して攻撃者は院内ネットワークに侵入、全議員のIDとパスワードを入手したという。パスワードは暗号化されていたが、一部が解読されてメールが盗み見された可能性もあるとのこと。
一方参議院では、衆議院に対する攻撃が発覚した8月以降も引き続きサイバー攻撃を受けており、情報が流出していた可能性もあるという。衆議院への攻撃で使われた中国とシンガポールのサイトに議員のパソコン29台が接続した痕跡が確認されており、両院の連携不足を指摘する声も出ているとのことだ。
TPPより (スコア:2)
巷では国益という観点でTPPの是非が議論されていますが、
そういう意味ではこちらの方がよっぽど重大だと思うのは私だけ?
戦争に例えてみれば、暗号を解読されて通信が丸見えになった軍は100%負け確定でしょう。
すなわち今後の軍事・経済・外交、あらゆる国際競争の場面で中国に頭を押さえられるということ。
今回発覚したシステムだけでなく、議員の個人PC、各党のPC、全部ひっくるめて
直ちに総点検する必要があるのではないでしょうか。
日本のお家芸 (スコア:1)
ちきゅうにやさしい あきじかんのさいりよう
Re: (スコア:0)
漏れてることに気付いただけ半世紀分は成長してる。
Re: (スコア:0)
暗号の強度はかなり良かったようですが、管理がダメだったと聞いています
Re:日本のお家芸 (スコア:1)
重要な秘密にすべき通信も、さして重要でない通信も、強度の強い暗号を使っていたので
敵に暗号を解く手がかりをより多く与えてしまったと聞いてます。
Re: (スコア:0)
暗号の強度はかなり良かったようですが、管理がダメだったと聞いています
その点は進歩ないな。...いや、退化してるかも。
Re: (スコア:0)
わかってないなー
TPP参加交渉で騒いでいるのは、自国の問題から目を背けるために決まっているじゃないですか
Re: (スコア:0)
オリンパスの損失隠しや公務員宿舎問題が足下に及ばない程の大問題だと思います。
マスメディアで騒がれないのは不思議ですよね。
なんで (スコア:1)
ユーザーの一人として侵入したのに
全IDとパスワードが取得できるシステム構築をしてるんだろうか?
しかも国の中で情報漏れが一番起きちゃいけない組織で
Re:なんで (スコア:2)
毎日新聞の記事 [mainichi.jp]には、
とあります。
トロイの木馬にやられるのは、それはそれで問題ですが、それよりも、「「管理者権限」のIDやパスワードを何らかの方法で入手」できたことの方が大問題です。
また、ユーザサービス用ネットワークからサーバーや運用管理パソコンにアクセスした様ですが、この経路はなんだったのでしょうか?ユーザサービス経由であれば、ある意味仕方がありません。しかし、例えばSSHなんかの管理用サービスがユーザサービス用ネットワークからアクセスできていたのだとすると、設計上のミスなのではないでしょうか。
暗号化されたパスワードが解読されるのは、ある意味仕方がありません。/etc/{passwd,shadow}が盗まれて、辞書攻撃されれただけでもかなりの確率で当てることができるでしょう。文字数を限定してブルートフォース攻撃をやっても当たるかもしれない。
Re: (スコア:0)
そこらへんは議事録や文書が残ってるでしょうしNTTがそこまでヘマやらかすとは思えんが
事務局の方じゃいくら失敗したってクビが飛んだりしないでしょうし緊張感が無いんじゃないの?
Re:なんで (スコア:2)
例えば、ある一般ユーザの権限が取れた後に、権限上昇を許すセキュリティホールをづいて、最終的に Active Directory の管理者権限を奪取できれば、全アカウント情報を取得できます。UNIX 系 OS であれば、何らかの形で root をとれたら、メールサーバ等が認証に使っているアカウント情報を取得できます。
標的型攻撃で戦略的なものなら、最初のマルウェア付きのメールは、とっかかりでしかなく、これが成功すれば、言わば、部外者がコントロールできる PC が内部にある状態になります。こうなると、様々な情報を攻撃者が収集でき、それを元に攻撃対象を見つけて攻略し、最終的にはサーバ等の管理者権限の奪取を目指す、という流れになります
....と、某勉強会での講師の方の話の受け売りで、実際にその現場を見たわけじゃないですが.....。
ということなので、UNIX 系であれば、/etc/shadow、Windows 系であれば、SAM データベース、LDAP を使っていれば、userPassword のアトリビュートがハッシュ値で保存されているもの、といった類にデータが流失したことになると思いますが、正しいパスワードの付け方をしてれば、ブルートフォースで破るのは難しいです。
ただ、みんなが正しいパスワードを付けている保証は無いので、安易なパスワードが設定されているアカウントに関しては、実際のパスワードが判明するでしょう。
あと、Windows 系の場合、LM ハッシュが残って、かつ、Ophcrack で有償のレインボーテーブルを使えば、ほぼ、どんなパスワードでも判明します。
ともかくも、現時点では技術的な情報に乏しいので、本当のところはよく分からないですが。
Re: (スコア:0)
Active Directoryの管理者権限もUNIXのrootも、それを取れただけでは全アカウントのIDとパスワードを盗むことは難しい。
パスワードを勝手に変更することはできる。
でもそれならすぐに発覚するよね。
おそらく、メールサーバあたりの管理者権限を取られ、パケットキャプチャを仕掛けられたんじゃないだろうか。
問題は、ただのユーザのPCが乗っ取られたからといって、そのPCでパケットキャプチャをしてもサーバや他のユーザのパスワードなんて拾えないから、どうやって管理者のパスワードまで盗んだかってことと、それを許してしまったのかということ。
最初に週刊誌の記者を騙った攻撃者が「あなたの記事が載るよ」と画像と見せかけたTorojanを送りつけ、週刊誌に載ってもおかしくない実に覚えのあることをやった議員さんが「あれの記事か!」と思ってクリックしちゃっても、サーバの管理者のパスワードまで取るのは無理。
何かシステム上に欠陥があったか、あるいは乗っ取られた議員のPCから管理者に、同じようにTorojanを送りつけたのかもしれない。
Re: (スコア:0)
>安易なパスワードが設定されているアカウント
民主党の某氏の日記のパスワードが漏れた時なんて、短い英小文字だけでしたからねぇ、記憶によると
議員のITリテラシはどれぐらいやら
こう言うので一番怖いのは (スコア:0)
院内情報とか、外交情報、そんなのは漏れてもどうでも良い。
一番怖いのは、「個人的な弱み」を握られること。例えば、○○議員と○○議員のいちゃいちゃしたメールとか。
それをネタに議決を揺すられる。
解散して入れ替えろ。本当に
Re:こう言うので一番怖いのは (スコア:1)
院内情報とか、外交情報、そんなのは漏れてもどうでも良い。
相対的な重要度については、いろいろ評価があるでしょうが、「どうでも良い」ってことはないんじゃないかな。「院内情報」ってのが何を指すか知らないけど、例えば議員や関係者の個人情報が流出すれば、結果として「個人的な弱み」にたどり着かせてしまう可能性もある。
「外交情報」にいたっては、なぜ「どうでも良い」のか全然解らない。
「個人的な弱み」を掴まれて怖いのは、ゆすられて例えば「外交情報」を提供させられるということなんじゃないかな?
冷静な分析と対策が必要なんじゃないかな?
Re: (スコア:0)
アホじゃない議員はメールで証拠を残さないんじゃないかな。
メールでは秘書に指示して「○○の件は前向きに善処します」とかハッキリは何も言わず。
実際は、議員同士で直接会ったときに、外務省に乗り込むなどで証拠を残さず云々やると。
#マルチ山岡みたいなのはメールどころかマルチ商法集会での応援講演の映像が出てくるんだから言うに及ばず。
Re:こう言うので一番怖いのは (スコア:1)
一方、アホな議員はメールを使うこともままならないのであった。
権力はあるから自分の好きな通信手段ごり押しできるし。
#正直、議員は機密情報をメールでやりとりなんてしてないと思うんだ…
Re: (スコア:0)
>解散して入れ替えろ。本当に
その論によるとメールを盗み見られた可能性のある現衆議院議員は次の選挙では立候補禁止ですね。
私は現政権には非常に批判的ですが、あなたの論はおかしいと思います。
Re:こう言うので一番怖いのは (スコア:1)
次だけじゃなくずーっと立候補禁止でいいと思うよ。セキュリティという観点からすれば。
fjの教祖様
Re: (スコア:0)
現政権をとは言ってないと思う。
総とっかえでいいよ。
Re: (スコア:0)
>○○議員と○○議員のいちゃいちゃしたメール
そんなのを国家機関のメールを使って流す人間は、それこそ(ry
Re: (スコア:0)
>○○議員と○○議員のいちゃいちゃしたメール
そんなのを国家機関のメールを使って流す人間は、それこそ(ry
そういう人間も、そうでない人間も、同等の議決権を持っているから、
今回の流出は怖いというのが元コメの意見だと思う。
深刻なサイバー攻撃との認識はなかった (スコア:0)
>衆院事務局は8月下旬、システムを管理しているNTT東日本から異変の報告を受けたが、
>深刻なサイバー攻撃との認識はなかったという。
>衆院の服部創広報課長は「標的型の攻撃への意識が甘かった。
>対応や議員への周知が遅きに失したところはあり、十分検証したい」と話している。
とあるけど、NTT東日本は何て報告したんだろうね?
サイバー攻撃による情報漏えいの可能性の認識
⇒ 自分らの構築したシステムのセキュリティが甘かった?
⇒ それとなく報告して、あたかも大問題ではないようにしとこう
ってことは流石にないよね?
契約上、セキュリティ上の問題が発生した場合
(1) NTT東日本はこれを衆院事務局に報告
(2) 衆院事務局がこの問題を吟味
(3) 何らかの対策が必要であると判断された場合、NTT東日本に対策を要請
のような感じなんだろうか?
やっぱりスパイ防止法が必要だね (スコア:0)
このままだとノーガード戦法すら出来ない
高木さんはこっちにコメントしないんだろうか (スコア:0)
Re: (スコア:0)
何故?
Winnyはもうない (スコア:0)
こんどは何に責任を押し付けるんでしょうね
Re: (スコア:0)
シタウケガー
連携するな (スコア:0)
>両院の連携不足を指摘する声も出ているとのことだ。
もともと2院あるのは複数の立場・見方を得る為。
ついでにもっと分けてしまって、システム自体別個に独立して作る。
構成も全然違うって位にした方が、1本の釣り糸で纏めて手繰り寄せられなくて吉。
だと思うんだ。
Re:連携するな (スコア:1)
セキュリティとかルールは立場や見方で違う訳ではないので、連携して対処(防御)できるようでないと駄目だと思うだよ。
システム自体をそれぞれ独立させたりするのは否定しないけど、そんな無駄な予算は優先的にカットすべきではないかな。