パスワードを忘れた? アカウント作成
12258784 story
政府

年金機構、パスワードを設定していないにもかかわらず「設定済み」との内部報告を行っていた 50

ストーリー by hylom
責任は誰が取るんですかね 部門より
あるAnonymous Coward 曰く、

先日明らかになった日本年金機構の個人情報流出問題では、流出したファイルのほとんどでパスワード設定などがされておらず、誰もが閲覧できる状況になっていたことが被害を広めたが、これについて日本年金機構が2013年に全国の年金事務所などにパスワード設定を求め、全部署が「完了」と報告していたことが明らかになった。しかし実際にはパスワード設定がほとんど行われていなかったことから、この報告の大半が虚偽だった可能性が指摘されている(読売新聞時事通信東京新聞)。

年金機構では個人情報が含まれたファイルを共有フォルダで扱う場合にはパスワードなどを設定して保護するよう内規が定められているという。しかし、流出したファイルのうち実際にパスワードが設定されていたものは1%以下だったとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年07月07日 14時58分 (#2843397)

    そもそも、NTTデータが必死こいて開発した管理用基幹システムからデータを抜いてExcelに落として、そのExcelを普通の共有サーバで皆で使っている時点でおかしい。パスワード云々の話じゃないだろう?
    http://d.hatena.ne.jp/kibashiri/20150604/1433385727 [hatena.ne.jp]

    • そもそも「ファイル」というのがエクセルファイルのことだとしたら、パスワードってツール使えば解除できなかったっけ?
      昔パスワード忘れて困った時に何かブルートフォース的なツールでパスワード開けたような気がするのだが

      親コメント
      • そもそも「ファイル」というのがエクセルファイルのことだとしたら、パスワードってツール使えば解除できなかったっけ? 昔パスワード忘れて困った時に何かブルートフォース的なツールでパスワード開けたような気がするのだが

        Office 2003 以前の形式(doc, xls, ppt)であれば、ZIP(AES 256bit)よりも脆弱ですが、ZIP(ZipCrypto)よりは遥かに安全です。

        Office 2007 以降の形式(docx, xlsx, pptx)であれば、ZIP(ZipCrypto)の約20万倍、ZIP(AES 256bit)の約45倍の強度があり、かなり安全で優秀な暗号化方式であるといえます。10桁のランダムな英大小文字+数字であればスパコンでも解析が困難、12桁であれば新たな脆弱性が発見されない限り不可能といえる強度です。「がんばれ!!ゲイツ君」が流行った時代とは異なり、最近の Microsoft はセキュリティに力を入れているのです。勿論、パスワード(パスフレーズ)の強度が低かったら駄目ですが、それはどんな暗号化形式であっても言えることです。

        (参考: パスワードの最大解読時間測定 【暗号強度別】 [dit.co.jp])

        親コメント
        • by Anonymous Coward

          ところで、Windows10ではパスワードの格納方法はどうなるの?結局RC4+ソルト無しで変わらないの?

          • by Printable is bad. (38668) on 2015年07月07日 21時08分 (#2843632)

            ところで、Windows10ではパスワードの格納方法はどうなるの?結局RC4+ソルト無しで変わらないの?

            Windows 10 のログオンパスワードを、Unicode(UTF-16LE)に変換した後、MD4でハッシュ化(ソルト無し)したものがHDDに格納されたはずです。「RC4」が Windows のパスワードの格納に使われるという話は知りません。ネットワーク経由でのNTLM認証の暗号化には使われていたと思いますが。これは、非常に脆弱 [dit.co.jp]で、ランダムな英大小文字+数字(62文字種)8桁なら家庭用のPCで1.2時間で解読できてしまう程度のものです。しかし、ネットワークログオンの互換性を過去のOSと保つために必要なので、仕方がないのです。

            そもそも、ネットワーク経由でのログオンについては、ハッシュ化されたパスワードを抜き取れば生パスワードの解析不要で悪用できる [hatena.ne.jp] のですから、ハッシュの強度に関係なく、ハッシュ化されたパスワードを読み取ることができた時点で駄目なのです。Windows に限らず、物理的にHDDの内容にアクセスできる環境からの攻撃にOSのログオンパスワードは意味をなしませんから、TrueCryptかBitLockerでHDDを暗号化しておくとよいでしょう。

            親コメント
    • by Anonymous Coward on 2015年07月07日 15時29分 (#2843427)

      上のリンクの話が本当かどうかは知らんが、
      いずれにしてもPCから流出するような形で
      データが保存されてる時点で何かがおかしいに決まってる。

      親コメント
      • by Anonymous Coward

        残念ながらあの組織はおかしいことに気付いていない。
        それは社会保険庁が名前を変えただけであることからもわかる。

        また名前変えればいいんじゃないですか?
        今度は何にしますか?

        名前を入力してください>社会保険庁
        エラー。その名前は既に悪いイメージが付いています。
        名前を入力してください>日本年金機構
        エラー。その名前は既に悪いイメージが付いています。
        名前を入力してください>_

        • by Anonymous Coward

          何がおかしいって、銃弾で撃たれて傷だけふさぐというか、
          治安が悪いエリアをあるいていて襲われたら、次からはヘルメットをかぶって治安の悪いエリアを通りましょう的な、病原というか根本原因を理解しないまま、的外れな対症療法を適用してしまう。

          たちが悪いのは小さい組織ならまだしも、巨大な組織でお上からの命令で、
          その的外れな対症療法が蔓延してしまうことだ。
          不条理が現場を縛り、カイゼンとは程遠い。あれは、そういう組織だ。

          巨象(IBM)も踊るというが、踊れない巨像は倒産して市場から消える。
          市場原理に基づけばそうだが、国が死に絶えるまで日本年金機構は消えないので、歪なまま悶え続ける。

    • ダメなところほど何でもかんでも共有ファイルやメールでやりたがるんだよなー。
      # 手段が不定形だと手間がかかる上に不正や間違いの入り込む余地てんこ盛り。

      親コメント
    • by Anonymous Coward

      結局、リテラシーのない一般人はそういうことになるんだろうと思う。
      セキュリティより利便性を重視する。
      楽になるならセキュリティとかどうでもいい。
      無料で使えるならセキュリティなんてどうでもいい。(大事な情報も余裕で渡す)

      だから、そういう人間に使わせるなら、できることを絞ったほうがいいんだろうと思う。
      データを抜かせない。スクリーンショットなんかは防げないけど。
      共有サーバー使わせない。(ファイルを置けるのはリテラシー高い人だけ)

      • by Anonymous Coward

        「共有フォルダで扱う場合にはパスワードなどを設定して保護するよう内規」があったんだからやるだろうね。

      • by Anonymous Coward

        >共有サーバー使わせない。(ファイルを置けるのはリテラシー高い人だけ)

        ファイルを置けるのはリテラシーの高い人だけに限ってますかという調査に YES と報告し、
        実際には、リテラシーの低い人にファイルを置かせるようになるだけのような気もする。

    • by Anonymous Coward

      いや、パスワードが設定されていない共有サーバ上のオフィスファイルは、機械的に1分後位に抹消する様にシステムを改修すれば良い。(共有サーバ上なら可能だろう)
      序でにパスワードの甘いファイルやローカルファイル(=汚物)も抹消だぁ。(出来れば)

      # 五十歩百歩である事は認める。

    • by Anonymous Coward

      最大の問題はそこんところだよね
      やるべきことをやっていればファイルにパスワード設定してなかろうがウィルス感染しようが個人情報は漏れなかったのに
      だけど何故か根本の問題をスルーし続けて周囲の2次的な問題ばかりが取り上げられてる気がする

      報道や調査している人はセキュリティに関して無知な人ばかりなのか
      元凶の責任者が偉くなっていたりで、あえて避けているのか

      • by Anonymous Coward

        ファイルで管理している時点でダメダメでしょう

      • by Anonymous Coward

        >報道や調査している人はセキュリティに関して無知な人ばかりなのか
        報道やそれに伴う調査は「お漏らしした」って事実を広めればそれはそれで良い。
        当事者関連以外では対応担当って訳でもないし調査権限だって無いからだ。

        まあ、マスコミが意見を聞きに行った専門家が実際の担当だったりすると、その時は具体的な原因と対処方法まで突っ込むべきだとは思うが。

    • by Anonymous Coward

      システムがゴミのような作りっぽい。
      用事があって行ったとき、データ検索で手こずってて職員に謝られたので。

      そもそもデータ自体酷い状態だったよね。ここ。

  • 外部に持ち出すPCやUSBなんかにはパスワードをかけろというのは常識と思うが
    内部で使うファイル一つ一つに設定するのは現実的には無理でしょうね。
    リテラシーがたんない人が大騒ぎするのは勝手だけど、その発想では歴史が繰り返されるだけ。
    重要なのは、外部接続系(インターネット)と、内部業務系をどう隔離するかでしょうね。
    今が便利すぎるので、規制は不便を強いるというのは前提ですけど、メールの問い合わせなんかは一元化してしまって、極端にいえば紙ベースでどうしてもダメなものだけメディア経由でやりとりするみたいな感じにするんじゃないでしょうか。
    論議が内向きで、原因を矮小化させている経営陣のボンクラ感のあるスリカエプロパガンダになんで踊らされているのでしょうね。
    そんな重要と考えられる内規違反があるなら、監査部門や経営が気づかない方をバカだと思わなければね。
    • by Anonymous Coward

      業務体制とシステムのギャップがあるから起きてるんでしょう。

      本質改善やらず、運用(作業者負担)でカバーとか対策になってない対策とるのではないかな。

  • by Anonymous Coward on 2015年07月07日 14時37分 (#2843377)

    パスワードをかけていても、すべて共通「1234」(桁が足りなければ「1234567890」)にしてたんじゃないの? それが組織の体質というものでしょ!

    • by Anonymous Coward

      そしてそういう組織を信用してしまう国民の体質

    • by Anonymous Coward

      パスワードをかけていないと報道されているのに、なぜ好意的に解釈してあげるのか。

      • by Anonymous Coward

        実際にパスワードが設定されていたものは1%以下だった

        に対して、そのパスワードさえも「1234」などの単純なものではないか?という話でしょ。

        • by nemui4 (20313) on 2015年07月07日 16時25分 (#2843465) 日記

          >に対して、そのパスワードさえも「1234」などの単純なものではないか?という話でしょ。

          でもそれはただの推測か妄想。

          実際に、ずさんな状態を突きつけられてしまうとそう思っちゃうけど。

          親コメント
          • by Anonymous Coward

            >でもそれはただの推測か妄想。

            で、それがなにか?

    • by Anonymous Coward

      ちょっと前のお役所はパスワードの書かれたポストイットがモニタかキーボードの裏に貼ってあったなぁ
      #見あたらなくてもその辺の人に聞けば教えてくれた

      • by Anonymous Coward

        そんなの大手SIerでもゴマンと居るんだが>PW貼ってるや事務担当者が知ってる

    • by Anonymous Coward

      「組織の体質」というのであれば、「実際に行う事より、報告書の書式を揃える事が重要」と思っていた可能性が否定できない。

      • by Anonymous Coward

        だから監査があるはずですよね。システム部門も書類だけあれば良かったってことでしょ。
        うちの会社も似たようなレベルなんですが、根本原因は不勉強で傲慢なお偉いさんじゃないかと

    • by Anonymous Coward

      月に一度のパスワード更新。
      末尾の数字に1を足す。

  • by pokuri (33231) on 2015年07月07日 14時55分 (#2843394) ホームページ

    ・パスワードの設定の仕方を知らない
      (が、まさかそんなこと今更聞けない)

    ・そもそもパスワードを知らない
      (知らないなんて言えない。合言葉って言ってくれれば良かったのに!)

    まさかねえ、、

    --
    pokuri
  • by Anonymous Coward on 2015年07月07日 21時09分 (#2843634)

    ああ、処罰する気が無いのですね。甘いなぁ。
    これでボーナス満額出るのだから公務員っていいよね

    • by Anonymous Coward

      東電の社員も何があってもボーナスは満額出るみたいですよ。

  • by Anonymous Coward on 2015年07月07日 14時58分 (#2843398)

    `全部署が計4回にわたって「完了」と報告。’

    超厳重な報告体制ですなー(鼻ほじ

    • by Anonymous Coward on 2015年07月07日 15時49分 (#2843445)

      「これ課長のハンコ欲しいんですけど」
      「課長いないけどハンコなら一番上の引き出しに入ってるよ」
      「じゃあ押しときますね」

      そんな優しい世界

      親コメント
      • by Anonymous Coward

        そういう運用しかできない事情を変えれない事情があるから、そういう運用を問題にしないために勝手に行動した人がいるんじゃないの。

        問題解決しようとしたら地雷踏むとわかってるなら、誰も前になんか踏み出さないよ。

    • by Anonymous Coward on 2015年07月07日 15時07分 (#2843409)

      そういうもんでしょう?

      母親「何テレビばっかり観てるの!! 宿題はやったの?」
      子供「やったよ」(やってないけど……)

      親コメント
    • by Anonymous Coward on 2015年07月07日 15時15分 (#2843415)

      シャットダウンの前に行うsyncは三回でしたっけ?
      それ思い出しました。

      親コメント
  • by Anonymous Coward on 2015年07月07日 21時30分 (#2843646)

    役所(及び関連機関)のPCは、ICカード認証でしか起動・ログイン出来ないようにしておけ。
    で、ログは全て残せ。まずそれから始めろ。

  • by Anonymous Coward on 2015年07月08日 9時15分 (#2843826)

    誰一人責任を取った人もなく、いまごろになってこんな話をまだしてるし。
    どういう措置を取ったのかも明らかになってないし、実は今もなんか流出してても不思議じゃないですね

    • by Anonymous Coward

      うやむやにしようとしてる感は半端ない
      あれ以来まともに報道されてないよね?
      圧力でも掛かってるのかと

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...