首都大学東京の学内NAS、迷惑メール大量送信の踏み台にされる 41
ストーリー by hylom
またNASか 部門より
またNASか 部門より
headless 曰く、
首都大学東京は2日、学内に設置していたNASを踏み台とした大量の迷惑メール送信が行われていたことを発表した。同大では1月にも教務課事務室内のNASが外部からアクセス可能な状態であったことを発表しているが、今回のNASは南大沢キャンパスの社会福祉学教室が管理するものだという(発表:PDF、NHK、共同通信)。
1月27日16時に学術情報基盤センターが当該NASから大量にメールが送信されていることを検知。NASをネットワークから切り離して調査したところ、15時06分から16時37分の間に約10万通の迷惑メールが送信されていたことが分かったという。NASはFTP共有を無効にしていたが、管理者パスワードは初期値のままであり、格納されていた650人分の個人情報を含む電子データにはアクセス制限をかけていなかったという。
1月22日以降、外部からNASがアクセスを受けた形跡は確認されておらず、個人情報の悪用などの被害は発生していないが、専門業者に依頼してより詳細なアクセス情報を調査しているとのこと。また、緊急対応として2日、南大沢キャンパスにおける学外からの通信を遮断したそうだ。
誰も (スコア:4, すばらしい洞察)
管理してなかったんですね。要するにそういう事でしょ。
**たこさん**・・・
Re: (スコア:0)
こういうのは担当部署か業者がやるものだと思いますがあまり詳しく無い職員が勝手にやったんでしょうか
Re:誰も (スコア:4, すばらしい洞察)
Re:誰も (スコア:1)
業者. o O (学校がやってくれるだろう)
学校. o O (業者がやってくれるだろう)
Re: (スコア:0)
>社会福祉学教室が管理するもの
…だそうだから、担当部署は教室ごとにあったんじゃない?
察してあげようよ。
Re: (スコア:0)
大学は情報システムの導入時期が早くて(何せ研究しているわけだ)、研究の一環として片手間管理から実用品、インフラになし崩し的に移行してるところが多い。
専任に雇われた管理者が結果的に居なかったり、教員が抵抗・妨害するので置けないといったケースが多くあるらしい。業者は研究に都合の良い構成をするわけではないし。
なので業者や大学事務がやってないのは怠惰の結果とは限らない。学部学科ごとにID体系もサービスも違うなんて、企業なら首が飛びそうだが。
ガバナンスだのコンプライアンスだのとは程遠い野蛮な世界。
Re: (スコア:0)
ガバナンスは声高に叫んではいるぞ。学長から理事長だの、xxセンターだの、xx領域だの
無駄なプランと役立たずな組織論は活発だ。
ただ、いまどき踏み台は恥ずかしいね、いくら大学といえども。
Re: (スコア:0)
テレビやレコーダー用のUSB接続外付けハードディスクに管理者がいると思う人はいないだろうから、一般人がNASを「管理」する必要があるとは思わないのも当然では?(中にプロセッサやOSが入ってるとは思わんだろ)
Re: (スコア:0)
Re:誰も (スコア:1)
えっ、パソコンに外付けハードディスク繋いだだけなのに何で起こられるの?(by一般人)
Re: (スコア:0)
先ほど、「ハードディスクを繋いだだけ」という客からのクレームが。
そのハードディスクはDELLと書いていてディスプレイとマウスとキーボードが付いている奴だそうな。
何故に主犯が居直る?
Re: (スコア:0)
オフィスならまだしも、大学とあっては学生が持ち込みのノートパソコン等機器を接続することはよくあることなので、
大学の管理するネットワーク上の全ての機器が把握されているということはないでしょう。
そういう場合でも、普通は、学外から学内への接続は特別に許可された学内の機器のみ許可。
私のいた大学では、学生持ち込み機器は学外への接続に当たってはウェブやメール、SSHなどの一部のサービスのみとなるようポートが遮断されていました。
研究室設置の機器はその限りではありません。
さらに学生の機器は何らかの認証により、どの機器はどの学生の物か識別しなければなりません。
そうでなければ学生が学内ネットワークから犯罪予告などした場合に犯人が特定できませんからね。
果たしてどこまで、首都大学東京はやっていたのでしょうか。
Re: (スコア:0)
>研究室設置の機器はその限りではありません。
>果たしてどこまで、首都大学東京はやっていたのでしょうか。
・このNASは研究室による設置を許してしまったもの。
・NASの特定、ネットワークからの切り離し、調査を行っている。
そこまでやった。自分で説明してるじゃん。
普通に考えて (スコア:4, すばらしい洞察)
学内ネットに置いたマシンが外から見えるのが間違いです。
NASでメール送信? (スコア:2)
そもそも、なぜNASがメールを送信(または中継)できたの?
Re:NASでメール送信? (スコア:1)
NetGearとか実売1万ちょい(HDDレス)で、バリバリのARM Linuxが入った
NAS売ってます。SSHログインしたり、いろんなパッケージ入れたりできますよ。
Re: (スコア:0)
ありうる答えは、「NASという名前がついている中身はLinuxマシンだったから」
Re:NASでメール送信? (スコア:1)
NASだけじゃなく、ファイアウォールからDVDレコーダーから、ネットワーク機能を持つOSを一から作っているところはもう少数派で、たいていちょっと蓋を開けるとLinuxかBSDかなんです。当然のようにShellShockも食らうので、NASが乗っ取られる事件が続発して、NASが危ないから見直せという情報は耳にしていたはずなんですが…
メールを投げるのは単にテキストを送受信すればよいだけで、特別クライアントは要りません。BASHが既にネットワーク機能を持っていて、/dev/tcp/IPaddress/25にリダイレクトするだけでよいので、BASHが入っているだけでもうメールは送り放題です。
Re: (スコア:0)
たとえばこういう [synology.com]NASだったんでしょうかね。
NASにどうしてSMTPサーバー機能がついているのかは不明ですが。
リンク先の「アプリケーション」を見ると、やたら何とかサーバーの機能があるっぽい。
白物家電などでも、よくわかってない人ほどやたらオマケ機能がついてるものを買いたがるよね。。
Re: (スコア:0)
エラーとか警告とか、メール通知機能は普通に利用しますよね?
中継を止めてないのは不手際だとは思いますが。
Re: (スコア:0)
中継を止めてないのは不手際だとは思いますが。
デフォルトの設定が安全側でなく何でもアリ側に振られているからでしょうね。
そうでないとマニュアルすら読まないユーザーからの問い合わせで、コールセンターが悲鳴をあげるから。
Re: (スコア:0)
メールでエラーを飛ばす機能が付いているNASは、SMTPが有効だったりしてびっくりします。
Re: (スコア:0)
最近のNASはサーバと考えないと駄目ですよ。
Webサーバは当たり前で、仮想マシンまで搭載しているのもありますし。
glibcの影響ももろに…
Re: (スコア:0)
~仮想マシンまで搭載しているのもありますし。
最近のセキュリティソフトは仮想マシンと言うかサンドボックスというか、疑わしいコードをチェックするための込み入った仕掛けが盛ってあって、逆にその部分に脆弱性があって攻撃されると危ないんじゃないかという話を思い出した
情報関係の学生に作らせた感 (スコア:2)
そんな感じがしてならない
Re: (スコア:0)
学生とは卒業するもんだという事を忘れてる奴大杉
外部からNASがアクセスを受けた形跡は確認されておらず (スコア:1)
元々ログとか取ってないダケだったりして。
Re: (スコア:0)
一般向けのNASや法人向けでも安物のNASだとそもそもNAS自体にログを取る機能が無いのでアクセス履歴なんか追えませんよね。
Re: (スコア:0)
まず、「外部からNASがアクセスを受けた形跡は確認されておらず」ってことは、あの事件の後もこのNASは隔離されていなかったということ。
これが1点。
さらに、
「緊急対応として2日、南大沢キャンパスにおける学外からの通信を遮断したそうだ。」ということから、どこで切り分けすればいいのかも未だにわかっていないという点。
痛すぎますね。
Re: (スコア:0)
今回見つかったNASだけでなく、他にもあるかもしれないわけで、へたな切り分けはむしろ危ないんじゃ?
Re: (スコア:0)
時系列はこんな感じだろうか。
2014/10以前 FTP公開開始
2015/1/1 FTP問題発覚
1/5 FTP停止
1/19 前回の発表
1/22 現在残っている最後のログ?
1/27 SPAM送信 発覚・停止
2/2 今回の発表
ログがまともに残っていないまま問題が発生した機器を、証拠保全せずにそのまま使い続けているのだろうか。
踏み台って事は限りなく外部からのアクセスっぽいけど、言い切ってしまうのは内部にSPAM業者がいるとか無いよね?
本文をよく読もう (スコア:0)
#2754931もそうだが、前回のFTPの件は、別件のようです。
NAS自体も管理者も異なってるという事でしょう。
2機ある事は3機あるって事で、おそらくまた同じような事件起こすんでしょうね。
危機管理が甘いというか、とにかくこの大学に属する人間には、NASの運用は不可能という証明の様な事例ですね。
各社の採用担当者の方も、そこら辺は十分に考慮された方がよろしいでしょう。
Re: (スコア:0)
大学「NASを運用している人は申し出てくださーい」
アホ「外されたら不便だしほっとこ。どうせ見つからない」
もう学内で生きてるIPアドレスに向けてポートスキャンかますべきだと思う。
てか前回のときにそれやってなかったのかよ…
対岸の火事か!? (スコア:0)
これは対岸の火事でいいのかな?
管理者パスワードがデフォルトってのは確かにあれだが
パスワードがあるだけましだったとも言えなくもなく(^^;
今後いろいろなものがネットにつながるようになると、踏み台にされる可能性が高くなるってわけだから
外部からアクセスできて、SMTPが有効になっていて、メールの転送が可能ってだけでも今後は問題になるってことだよねー、だとするとあれやこれやもそのうち問題になりそうな(^^;
Re:対岸の火事か!? (スコア:2)
対岸の火事です
大学や企業のような大きな組織は,ネットワーク管理部門を設置し,ネットワークを徹底的に管理するのが普通です.
人数が多い分,個人情報の流出などのリスクが大きいためです.
ネットワークにはまさにファイヤウォールを導入し"火事"を防ぐ工夫をします
また不運にも"火事"になった場合にも備えて,対処方法・マスコミ対策をちゃんと準備しています
ですから,首都大学東京のような"火事"やその後の不手際はまず起きません.
この管理法は具体的には以下のような構成になります
http://www.ipa.go.jp/security/fy18/reports/contents/enterprise/html/221.html [ipa.go.jp]
(厳密な意味でこの管理法で十分だとか,IPAが奨励しているから正しい,ということを言うつもりはありません.
ただ上記URLは,大きな組織がネットワークを管理・運用する際のガイドラインとしては良くまとまっているので,例として引用しました)
先月の個人情報流出の時点で,首都大学東京のネットワークは,IPAが上記のページ等で注意喚起している事項さえ実践できていないことが明らかでした.そのため私は「まだ外部からアクセスできるんじゃないか?」と心配になりましたし,実際に踏み台になってしまいました
http://srad.jp/comments.pl?sid=650052&cid=2746893 [srad.jp]
大学は教育機関でもありますから,今回の火事を教訓に
ネットワーク管理・運用の悪い例から,見本となるような良い例へと,変化してほしいと思います.
Re:対岸の火事か!? (スコア:1)
全社メールの説明でDMZといったら、
不穏当だと思われました。
たしかにそうです。もっと遠回しな
言い方でも良いように思うのです。
#たしかに実際はそう言っても良いくらい
#ヤバいのも確かですが、言いづらい!
Re:対岸の火事か!? (スコア:1)
今でもIPv6だと外部から直接アクセスしたりできるよね
家庭のホームネットワークで
「ルーターの内側に設置しているから、外部から直接アクセスすることはできないのでパスワードはなしでいいか」
と思っていたらそれはIPv4だけの話で、ルーターはIPv6はパススルーでファイアウォールがないため、外部から直接アクセスできてデータ漏洩。
みたいな話はそのうち出てくると思う。
Re: (スコア:0)
> 外部からアクセスできて、SMTPが有効になっていて、メールの転送が可能ってだけでも今後は問題になるってことだよねー、
マジレスすると、それは「オープンリレーサ-バ」と言う奴で、
10年以上前から問題になってる。
メールサーバ構築時に、最も注意しなければならない設定。
キャリア側でもop25bという活動で、簡単には(別キャリアからは)
spam送信の踏み台には出来ないように対策してる。
pdfからはsmtpサーバか稼働していたという風には読み取れないし、
管理用webページとかに不正アクセスされて、NASを管理者権限で
乗っ取られたとかじゃないかなぁ。
サーバ内にspam送信スクリプトを置いて、動かしていたとか。
Re: (スコア:0)
火事と喧嘩は江戸の華ってな
Re: (スコア:0)
そこでファイヤーウォールを(ry
# 防火扉の設置は義務?