国家検定「ファイナンシャル・プランニング技能検定試験」の試験問題、Webサイト上で試験前に閲覧可能とになっていた 45
ストーリー by hylom
あるあ… 部門より
あるあ… 部門より
chuukai 曰く、
1月27日に実施された国家検定「ファイナンシャル・プランニング技能検定」において、検定の実施団体である一般社団法人金融財政事情研究会のWebサイトに事前に試験問題が掲載されていたことが判明した(一般社団法人金融財政事情研究会のお知らせ、厚生労働省の報道資料、毎日新聞、読売新聞)。
試験前日の1月26日、2ちゃんねるのスレッド「1級FP技能士専用の意見交換の場11」の674で
FPのサイトの過去問回答例の画面にしてURLにある2012を2013に変えてみろ。今からでも十分間に合うだろ。検討を祈る。
という書き込みがあったことから、事前にアクセスされることを想定していなかったファイルに、ディレクトリの一部を変更するだけでアクセスできたことが原因であったとみられる。
「公開予定のファイルを事前に外部からアクセスできる状態に置く」という危険な運用はどうすれば防げるのだろうか。
よくあること (スコア:3)
>群馬県の宅地建物取引主任者資格試験の合格者情報が、正式発表の前日に県のホームページ上で閲覧可能(2006年)
年号とかで類推可能というのが拙いよね。
よし、対策思いついた (スコア:1)
保管するディレクトリ名を、「二千十四年春試験」とか全角文字でわかりやすくつける。
次に、その名称をBase64でurl用にエンコードするんだ。
こうすれば、簡単には推測できまい。
適当に顔文字なんか混ぜたら、もっと推測しにくくなるぞ。
/*
担当者が公開用データを保存したディレクトリ名を覚えきれず、公開できなくなるという新たなリスクが発生するのであった・・・。(^^;
*/
Re: (スコア:0)
directory listingが有効になってます。
http://security.srad.jp/comments.pl?sid=591633&cid=2315201 [srad.jp]
Re: (スコア:0)
皇紀とか使えば類推されにくいかも。
または地球を公転上から押し出して2014年以降が来ないようにすれば。
「サーバーに送っただけで外部から閲覧できると思わなかった」 (スコア:2)
タレこんだchuukaiです。タイトルを変更していただいてありがとうございます。
FP検定:試験前に問題を誤掲載…準備中にサーバー送信(毎日新聞 2013年01月29日 12時20分(最終更新 01月29日 12時39分))
ファイルを外部公開向けウエブサーバーに送っても、そのファイルは外部から閲覧できないとしたら、どんなファイルでも公開できないじゃないか。
Re:「サーバーに送っただけで外部から閲覧できると思わなかった」 (スコア:2)
Topページから帰納的にページをたどってもリンクがないページを出力しないという機能を
Apacheに付けた方がいいんじゃないか。
Re:「サーバーに送っただけで外部から閲覧できると思わなかった」 (スコア:1)
Topページにアクセスできません。
.htaccess (スコア:1)
.htaccessの事なんて知らないですもんね。
# それ以前の問題か。
Re: (スコア:0)
機能は存在しているのだから設定しないのは検定実施機関側の不手際ですね。
というか、こういう操作は資格を持った専門職でないとできないようにするとか出来ないのかね?
# まぁ、その専門職の資格とってウハウハらくちん生活送りたいだけなんですけど
Re:「サーバーに送っただけで外部から閲覧できると思わなかった」 (スコア:1)
実施前の試験問題の管理ポリシーが存在しなかったのではないかと思いますね。
サーバーに送るとか外部から閲覧とか以前に、ネットに繋がったPCにデータを置くこと自体,普通はしないんじゃないかな。
Re: (スコア:0)
積極的に公開しているように見える。
http://www.kinzai.or.jp/rs/lib/question/pdf/ [kinzai.or.jp]
Re: (スコア:0)
再試験も、来年も、このまんまだったりして...
Apacheの設定が (スコア:0)
まずい気がする。
上のディレクトリ辿ってたらこんものまで…
役員名簿
ttp://www.kinzai.or.jp/rs/lib/info/pdf/yakuin_2012.pdf
役員の報酬に関する規程
ttp://www.kinzai.or.jp/rs/lib/info/pdf/houshuu.pdf
Re:Apacheの設定が (スコア:4, 参考になる)
役員名簿はサイトトップの「一般社団法人 金融財政事情研究会について [kinzai.or.jp]」からリンクされており、元々公になっていますね。
役員の報酬に関する規程に関しても、2007年時点で外部からリンクされています [ohtan.net]ので公開情報だったようです。
2010年5月時点ではリンクされていたみたいですが、その後2011年10月までの変更で孤立したようです。 [archive.org]
「Twitterに書き込んだだけで全世界から閲覧できるとは思わなかった」 (スコア:0)
大 炎 上
Re: (スコア:0)
自分の組織のところのサーバーだったら色々工夫はできると思いますが、
案外と、システムが何をできるかということを知らない人は多い気がします。
外注に丸投げしてばかりいるのかなと想像したりして。
Apacheとかって日付で表示を分岐できたりしますよね。
Re: (スコア:0)
> HPのサーバーへ送信した。
こういうところでメーカー名を晒すようなセキュリティ意識の低さが元凶ですね。
Re: (スコア:0)
メーカー名は小文字で書こうよ。
Re:「サーバーに送っただけで外部から閲覧できると思わなかった」 (スコア:1)
ロゴが小文字っぽいだけで、正式な(Hewlett-Packard 自身が表示している)社名略称は大文字でHP [hp.com] ですよ。 [hp.com]
Re: (スコア:0)
実際はDELLなので問題ないですw
Re: (スコア:0)
ひょっとしてそれはギャグで言ってるのか?
Re: (スコア:0)
え?マジレス?
ナニー!!! (スコア:2, 参考になる)
1/27にFP3受検して、自己採点で合格してたんだけど、
ショーック!
なんてバカなことしてくれたんだ、金財研は!
解答の公開が試験当日の17:30だったんだけど、
金財研の試験回数が多いから(2002年くらいから)、
まさかそんなバカなことをしてるとは思わなかった。
FP3級も理系にとっては意外と難しかった。
テキストになぜこうするのか理由がなくて、なかなか覚えられなかったし、たとえばバランスシートの作り方は分かるけど、
どう評価し、どう変えていけばいいかとかは書いてないの(´・ω・`)
やり直し試験はないだろうけど、もう一度勉強しろと言われても、お断りしたい。
ここだけ何年前のインターネッツって言えばいい? (スコア:1)
Contents Management Systemというものがあります。
たとえばXOOPSのように、無償で利用できるもので
非常に拡張性が高いものもあります。
そういったCMSの中には、期限を指定した情報公開の仕組みがあり
期日が来たら、情報が公開されるように設定することもできます。
こういったシステムが登場した以上、ほんの4,5年もしたら
少なくとも、事前に情報が漏洩するようなことはなくなるはずです。
公開終了後も、ウェブ検索のキャッシュで見られることはあるかもしれませんし
Internet Archiveのようなサービスがありますし…
ウェブサイトを、あたかも魚拓を取るように保存するサービスが生まれれば
期限で公開終了する仕組みは、形骸化してしまうかもしれません。
Re:ここだけ何年前のインターネッツって言えばいい? (スコア:1)
逆に、試験当日に問題や回答を掲載する昨今の風潮を改めて、
翌日以降に掲載するように戻せばいいと思う。
情報公開してますアピールも程々にしたほうがいいと思うんだよね。
Re: (スコア:0)
予備校とか試験速報で稼いでいる連中がいるからなぁ
http://mainichi.jp/feature/exam/news/20130123ddm041100039000c.html [mainichi.jp]
Re: (スコア:0)
有名なCMSが登場してから少なくとも4,5年は経ってると思います。
調べてみたら、Xoopsがリリースされたのは2002年とか。
Re:ここだけ何年前のインターネッツって言えばいい? (スコア:1)
# yes, fly. no, fry.
何年前か調べてくれてありがとう (スコア:0)
XOOPが注目された頃に少しいじりました。
でも、ほどなくXOOPSという名は消えたと認識しています。
CMSが認知されておらず、魚拓も無かった頃…
そんな時代のことを思い出しながら、このネタを書きました。
スキルも技術的知識も持たないのに
CMSを頼らない人たちが、正直理解できません。
Re: (スコア:0)
Re: (スコア:0)
普通に魚拓サービスはあります [megalodon.jp]よ
問題ない (スコア:1)
一時、次回の問題が過去問であるかのように、誤って公開される不具合がございました。
現在はこの不具合は解消されており、過去問のみが公開されてた状態になっております。
Re: (スコア:0)
今後このような事を繰り返さないよう適切に対処いたしますので、
アドレスに2014と入れることはおやめください。
低レベルすぎる (スコア:1)
>「公開予定のファイルを事前に外部からアクセスできる状態に置く」という危険な運用はどうすれば防げるのだろうか。
本番環境にアップしなければいいだけです。
アクセス制限とか小細工をする必要はありませんがな。
小規模なら必要なタイミングで人手でアップすればいいし、大規模なら
検証環境から何らかの手段で更新すればいいだけ。
議論する価値のあるテーマじゃないと思うが。
Re: (スコア:0)
議論すべきは、こんなアホな運用を何故誰も止められなかったのか、ですよね。
Re: (スコア:0)
乗せちゃっている以上は、管理をきちんと閲覧の期限や対象を指定していたとしても、何らかの脆弱性で見れる状態に成り得ると思わないといけない。
また、乗せるだけでも人的ミスの可能背は除外できない。
となれば、「絶対に出てはダメ」と言うのなら、最初から置かない。
それだけの話ですよね。
「偶には出ても仕方ない」程度なら、「CMSの公開期限設定をしっかりする」ってのも対策になるのだろうけど。
情報管理の専任を置く (スコア:0)
こういう風に誰が何やってもトラブルは起きるので、専門外の人を教育するだけでは無理でしょう。
専任を置いて、ツールでの縛りもキツくしないと、いつでもトラブルが起きてしまいます。
Re:情報管理の専任を置く (スコア:1)
そういったCMSの中には、期限を指定した情報公開の仕組みがあり
期日が来たら、情報が公開されるように設定することもできます。
それをそのまま鵜呑みにすると、怖いですよ。
表向き、テキストはうまく動いていても、
画像とかPDFは、普通にファイルが置いてあるだけで、
制限がかかってなかったりする場合もあるので、
今回のようにURLを類推すれば見れちゃったりすることもありますよ。
(XOOPSがどうなっているかは知りませんが)
今回のは、情報管理の問題で、ウェブ管理者が試験前に試験問題(と解答例?)が出回っていること事態が問題。
Re: (スコア:0)
もしかしたら担当者は情報管理専任のだったかも知れないよ。
京都府警の出番 (スコア:0)
偽計業務妨害でとりあえず逮捕しちゃう?
ACCS不正アクセス事件再来? (スコア:0)
ACCS不正アクセス事件とあんまり変わらない程度ですよね。
意図しない不正アクセスとして、あっちが起訴とかはしないと思いますが・・・。
こわいこわい。
噓から出たまこと? (スコア:0)
該当スレの 674 の人のその後のカキコによると、冗談のつもりで書いた(自分もアクセスしてなかった)のが、本当に掲出されてた
という話のようですね。(当人曰くですが。)
何の何の (スコア:0)
>「公開予定のファイルを事前に外部からアクセスできる状態に置く」という危険な運用はどうすれば防げるのだろうか。
公開予定ですらないファイルを外部からアクセスできる状態に置いてたgithubのユーザーに比べたらたいしたことない
資格の意味なし。信用度ゼロ。 (スコア:0)
こんないい加減なことでいいの資格の信用度ゼロ。試験中止するべきだったんじゃない。
試験実施団体と監督省庁の発表がありました (スコア:0)
国家検定ファイナンシャル・プランニング技能検定試験の合格発表は3月7日に予定どおり行われます。|報道発表資料|厚生労働省
http://www.mhlw.go.jp/stf/houdou/2r9852000002v29x.html [mhlw.go.jp]
厚生労働省の報告書[PDF]が詳しい。
おまけ
[重要なお知らせ] 2013年1月27日実施のファイナンシャル・プランニング技能検定における試験問題漏洩に関するお詫びならびに同日試験のお取扱いについて |一般社団法人 金融財政事情研究会
http://www.kinzai.or.jp/ginou/fp/detail/172 [kinzai.or.jp]
日本FP協会|日本FP協会について|日本FP協会からのお知らせ|一般社団法人金融財政事情研究会におけるファイナンシャル・プランニング技能検定試験問題の漏洩に関するご報告
http://www.jafp.or.jp/about/info/info_20130128.shtml#0212 [jafp.or.jp]