Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち 38
ストーリー by hylom
これがお役所仕事か 部門より
これがお役所仕事か 部門より
あるAnonymous Coward曰く、
国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした(プレスリリース、時事通信、ITpro)。
Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。
漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており、アンケートも4月6日以前の分はサーバーから取り除かれていたということで、被害が限定されたのだけは救いである。
やはり2流省庁の国土交通省は駄目だな (スコア:1)
どっかの官庁が年末年始にサイトを(故意に)落として叩かれてたけど (スコア:1)
これじゃやっぱ落とすしか選択の余地ないだろ。
単年度予算 (スコア:0)
3月に発注しようとしたけど経理のほうから「本年度中に支払いまで終了しない案件は受け付けられません」とか言われて修正できませんでした、というオチではないかと...
割りきってサーバ止めちゃったほうがマシだったんじゃないですかね。
Re: (スコア:0)
サーバ止めないなんて、データを軽く見すぎじゃん!って思ったけど
ふと思ったんだ
運営委託会社にサーバ停止を依頼する予算もおりなかったんじゃないのかって
Re:単年度予算 (スコア:1)
保守料って予算に計上されないもんなんでしょうかね
Re: (スコア:0)
そういう経理やその上司をクビにして、浮いた金で対策・・・出来るほどの金にはならんか。
とっとと予備費でも奪いとって対策すればいいのに、トップがあまりにも無能すぐる・・・
Re: (スコア:0)
巫女SEがいれば良かったんだな。
Re: (スコア:0)
そこそこのWAF入れて、そいつをメンテすれば0dayはともかく今回のようなケースは防げたと思う。
開発元の責任は? (スコア:0)
早急に対応する必要がある瑕疵に対して開発元が別途費用での対応を要求したのだろうか?
Apache Strutsで開発することを決めたのが国交省なのか開発元なのかでも違うと思うけど、
通常、仕様を変えたり機能を追加するのではない限り、バグを修正する分には開発元の
負担で対応すべきだったんじゃないか。
そもそも、Jakartaの脆弱性が致命的で、認知した当日にでも対応する必要があるくらい
緊急性が高い問題なのに、その修正をのんびりと次年度の予算で契約するのを要求して
待たせてて被害が出たとしたら悪徳じゃないか。
Apache Strutsでの開発をしていたなら、その危険性は十分わかっていたはず。
Re:開発元の責任は? (スコア:2, すばらしい洞察)
残念ながら、起きるか分からない状況に対して、事前に費用を含んで契約する事は、国民が許さないでしょう。
散々、裏金だの贈収賄だの叩きましたからね。
一般企業同士だったら、コンプライアンス無視して、契約後回しで、作業前倒しってのも可能だろうけどね。
国民の為ならば、省庁や業者がお互いに便宜を図っても良いって事にすればいいんじゃないかな。
Re: (スコア:0)
それは保守費用でしょ。
賄賂大好き政党のネット工作はくだらないな。
Re: (スコア:0)
全くその通りですね
獣医師連盟から賄賂をもらっている民進党を許してはなりません
Re: (スコア:0)
脆弱性が出ることを前提にして開発費用を押さえるのは国民が許さないだろ
Re:開発元の責任は? (スコア:1)
いやいや、未知の脆弱性にまで対応しろってどんだけのこと言ってるか自覚ないんですか。
Re:開発元の責任は? (スコア:1)
なんらかのFW使うなら FW の不具合にも責任持つのが当たり前。
商用の FW は、FWの開発元がサポートしてくれる。(そのために金を払う)
オープンソースのものを使うなら誰かがやるか、待てないなら自分たちでやるってのは当たり前。
何寝惚けたこといってんの?
オープンソースの物を使えば責任なくなるわけじゃないよ?
Re: (スコア:0)
そうかもしれないけど、システム開発元の瑕疵対応には含まれないのが一般的すね。
無料でやったら利益供与の罪に問われそうだし、構成管理的な問題も出てきそうです。
以前「設計書の更新が凍結されているため、設計書変更を伴うような不具合修正はできない」って事があったの思い出した。
この設計書は、アーキテクチャ設計やミドルウェア構成も含む。
Re: (スコア:0)
開発に CentOS とか使っておきながら、デプロイ先では CentOS でも使えばいいのいに、RedHat Enterprise とか、つかうのはなんででしょうね?
OS やフレームワークを顧客が調達して、その上のアプリケーションを提供した場合は対象になりませんが、システムとして OSや FW込みで提供した場合には PL 法上でも製造物責任を問われます。
責任のなところにいて、意識したことがないのかもしれませんが、日本(以外でもそうだけど)フレームワークや OS の不具合の責任が納入ベンダにないなんて主張は通用しません。
Re: (スコア:0)
機能を保ちつつ、不具合を解消しつつ、コストも発生させないというのは無理。どれか二つまで。
つまり責任を取って無料でシステムを停止させるか、了承を得て不具合を知りながら稼働させるか、費用をかけて改修するか。
Re: (スコア:0)
瑕疵担保期間1年とかだろうからねぇ。過ぎちゃったんじゃないの?
今度法律変わるみたいだけど。
Re:開発元の責任は? (スコア:1)
Strutsの不具合が、開発元の瑕疵になるんですかね。
Windowsの不具合を「瑕疵担保期間だから直せ」って迫られるようなもんでは。
Re: (スコア:0)
何のためにバカ高い費用払ってると思ってんだよ
Re: (スコア:0)
サポート範囲外にするとか、特別な契約でもしてれば別ですけど。
Windows の不具合の場合でも同じ。
サポート期間内なら Windows の不具合は MS が直すでしょうけど、MS が直さない/直すまでの仮でアドホックな対応もします。
Re: (スコア:0)
OSの不具合もシステムを導入したベンダの責任になるのはあたりまえ。
Re: (スコア:0)
このツリー配下で「ふつう瑕疵になる」というコメントがあって、なんてブラックな契約なんだという感想。
(自分の周りでは、まずそんな契約は無いので。もちろん、そういう事を言うユーザーは多いけれど)
Re: (スコア:0)
契約で特別免除させることは出来るかもしれんが、下手すると契約に書いてても、裁判では、そんな条件は無効と言われる可能性すらあるレベルの当たり前の話
Re: (スコア:0)
さっさと止めろよとは思うけど、
バグの修正で何も変わらないと思っているなら間違い。
> Apache Strutsでの開発をしていたなら、その危険性は十分わかっていたはず。
これは結果論。
予算待ち (スコア:0)
予備費使って改修すればよかったんだよ
牛耳ってるのが財務省だから拒否されたなら財務省に責任転嫁できたのに・・・
それにしても運営委託会社っていうのはこういうの改修することは仕事に入ってないの?
Re:予算待ち (スコア:3, 興味深い)
>予備費使って改修すればよかったんだよ
本当の官庁系の予算・決算は知らないのですが、国立系研究機関にいた経験で。
官系の予備費、って「年度初め(前年度末)の当初予算ではわからなかったが
年度内に必要だとわかったもの」に使える(大抵は費目の付け替えでねん出)
程度で、それも年度末1・2か月間は〆の計算をするのでそれ以前に納品・検収が
済んでないと困るものです。
「何に使うか決まってないけど、とりあえずバッファとしてプールしておくお金」
なんて便利な、急なサーバーメンテナンスに割り振れるような「予備費」なものはありません。
国民感情的に許されないでしょ?「税金で徴収しておきながら何に使うかわからないだと?」とか。
#「いいこと思いついた!これ論文にする!」
#なんてことが12月や1月にあって、論文書いても投稿料や英文校閲費用の関係で
#4月の新年度まで寝かしたこととかざらです。
##というか、それが原因でモチベーションが下がって2月3月はやる気がでない
Re: (スコア:0)
契約内容に入ってりゃやるけど、入れてなかったんだろ。
契約に無いのに対応したらそれこそ問題。
高い教科書代 (スコア:0)
フリーソフトを使うと責任の所在が不明確になるので、かえって高くつく、という実例。
Re: (スコア:0)
むしろ責任の所在を明確にしない役所向きの仕組みです!
ネット社会において余りにも遅すぎる対応 (スコア:0)
それだけ価値のない仕事しかしていないって事だよ。
もうJavaは使うなよ (スコア:0)
Java脳が作るフレームワークはろくなもんじゃない
Re:もうJavaは使うなよ (スコア:1)
なんでも言語のせいにしたがるのって無能を告白しているようなもの。恥ずかしから止めようよ。
それに「◯◯脳」なんて、ハウツー本売らんかなで捏造された何の根拠もないバズワードでしょ。
# 文句が有るなら完璧なフレームワークを自分で作ってみなよ
Re: (スコア:0)
Java全部とは言わない、せめてStrutsみたいなヤバい仕様のフレームワークは公的機関で使用するには安全性不適格にするとか、これからのためにもガイドラインが必要だと思うぞ。
Re:もうJava利用停止!! (スコア:1)
PHP「お、そうだな」