パスワードを忘れた? アカウント作成
13302873 story
情報漏洩

Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち 38

ストーリー by hylom
これがお役所仕事か 部門より
あるAnonymous Coward曰く、

国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした(プレスリリース時事通信ITpro)。

Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。

漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており、アンケートも4月6日以前の分はサーバーから取り除かれていたということで、被害が限定されたのだけは救いである。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年06月07日 16時02分 (#3223631)
    財務省「1流省庁たる我々は、自動的にデータが消えるという、最強のシステムを構築しているというのに」
  • これじゃやっぱ落とすしか選択の余地ないだろ。

  • by Anonymous Coward on 2017年06月07日 16時05分 (#3223633)

    3月に発注しようとしたけど経理のほうから「本年度中に支払いまで終了しない案件は受け付けられません」とか言われて修正できませんでした、というオチではないかと...
    割りきってサーバ止めちゃったほうがマシだったんじゃないですかね。

    • by Anonymous Coward

      サーバ止めないなんて、データを軽く見すぎじゃん!って思ったけど

      ふと思ったんだ
      運営委託会社にサーバ停止を依頼する予算もおりなかったんじゃないのかって

    • by Anonymous Coward

      そういう経理やその上司をクビにして、浮いた金で対策・・・出来るほどの金にはならんか。
      とっとと予備費でも奪いとって対策すればいいのに、トップがあまりにも無能すぐる・・・

    • by Anonymous Coward

      巫女SEがいれば良かったんだな。

    • by Anonymous Coward

      そこそこのWAF入れて、そいつをメンテすれば0dayはともかく今回のようなケースは防げたと思う。

  • by Anonymous Coward on 2017年06月07日 16時33分 (#3223648)

    早急に対応する必要がある瑕疵に対して開発元が別途費用での対応を要求したのだろうか?

    Apache Strutsで開発することを決めたのが国交省なのか開発元なのかでも違うと思うけど、
    通常、仕様を変えたり機能を追加するのではない限り、バグを修正する分には開発元の
    負担で対応すべきだったんじゃないか。

    そもそも、Jakartaの脆弱性が致命的で、認知した当日にでも対応する必要があるくらい
    緊急性が高い問題なのに、その修正をのんびりと次年度の予算で契約するのを要求して
    待たせてて被害が出たとしたら悪徳じゃないか。
    Apache Strutsでの開発をしていたなら、その危険性は十分わかっていたはず。

    • Re:開発元の責任は? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2017年06月07日 18時17分 (#3223723)

      残念ながら、起きるか分からない状況に対して、事前に費用を含んで契約する事は、国民が許さないでしょう。
      散々、裏金だの贈収賄だの叩きましたからね。

      一般企業同士だったら、コンプライアンス無視して、契約後回しで、作業前倒しってのも可能だろうけどね。
      国民の為ならば、省庁や業者がお互いに便宜を図っても良いって事にすればいいんじゃないかな。

      親コメント
      • by Anonymous Coward

        それは保守費用でしょ。
        賄賂大好き政党のネット工作はくだらないな。

        • by Anonymous Coward

          全くその通りですね
          獣医師連盟から賄賂をもらっている民進党を許してはなりません

        • by Anonymous Coward

          脆弱性が出ることを前提にして開発費用を押さえるのは国民が許さないだろ

    • by Anonymous Coward on 2017年06月07日 17時20分 (#3223681)

      いやいや、未知の脆弱性にまで対応しろってどんだけのこと言ってるか自覚ないんですか。

      親コメント
      • by Anonymous Coward on 2017年06月08日 10時42分 (#3224124)
        いやいや、開発時に未知だろうが、何だろうが既知となったものには対応が必要でしょ。
        なんらかのFW使うなら FW の不具合にも責任持つのが当たり前。
        商用の FW は、FWの開発元がサポートしてくれる。(そのために金を払う)
        オープンソースのものを使うなら誰かがやるか、待てないなら自分たちでやるってのは当たり前。

        何寝惚けたこといってんの?
        オープンソースの物を使えば責任なくなるわけじゃないよ?
        親コメント
        • by Anonymous Coward

          そうかもしれないけど、システム開発元の瑕疵対応には含まれないのが一般的すね。
          無料でやったら利益供与の罪に問われそうだし、構成管理的な問題も出てきそうです。

          以前「設計書の更新が凍結されているため、設計書変更を伴うような不具合修正はできない」って事があったの思い出した。
          この設計書は、アーキテクチャ設計やミドルウェア構成も含む。

          • by Anonymous Coward
            一般的に入らないのなら、なんで MS も Oracle、RedHatなんかもそういう契約やライセンス条件がデフォなんでしょうね。
            開発に CentOS とか使っておきながら、デプロイ先では CentOS でも使えばいいのいに、RedHat Enterprise とか、つかうのはなんででしょうね?

            OS やフレームワークを顧客が調達して、その上のアプリケーションを提供した場合は対象になりませんが、システムとして OSや FW込みで提供した場合には PL 法上でも製造物責任を問われます。
            責任のなところにいて、意識したことがないのかもしれませんが、日本(以外でもそうだけど)フレームワークや OS の不具合の責任が納入ベンダにないなんて主張は通用しません。
            • by Anonymous Coward

              機能を保ちつつ、不具合を解消しつつ、コストも発生させないというのは無理。どれか二つまで。
              つまり責任を取って無料でシステムを停止させるか、了承を得て不具合を知りながら稼働させるか、費用をかけて改修するか。

    • by Anonymous Coward

      瑕疵担保期間1年とかだろうからねぇ。過ぎちゃったんじゃないの?
      今度法律変わるみたいだけど。

      • by Anonymous Coward on 2017年06月07日 18時45分 (#3223736)

        Strutsの不具合が、開発元の瑕疵になるんですかね。
        Windowsの不具合を「瑕疵担保期間だから直せ」って迫られるようなもんでは。

        親コメント
        • by Anonymous Coward
          そゆときのためにWindowsのサポートに入るんだろ
          何のためにバカ高い費用払ってると思ってんだよ
        • by Anonymous Coward
          普通になりますよね。
          サポート範囲外にするとか、特別な契約でもしてれば別ですけど。

          Windows の不具合の場合でも同じ。
          サポート期間内なら Windows の不具合は MS が直すでしょうけど、MS が直さない/直すまでの仮でアドホックな対応もします。
        • by Anonymous Coward

          OSの不具合もシステムを導入したベンダの責任になるのはあたりまえ。

        • by Anonymous Coward

          このツリー配下で「ふつう瑕疵になる」というコメントがあって、なんてブラックな契約なんだという感想。
          (自分の周りでは、まずそんな契約は無いので。もちろん、そういう事を言うユーザーは多いけれど)

          • by Anonymous Coward
            「ふつう瑕疵になる」って、法律の話だからな。
            契約で特別免除させることは出来るかもしれんが、下手すると契約に書いてても、裁判では、そんな条件は無効と言われる可能性すらあるレベルの当たり前の話
    • by Anonymous Coward

      さっさと止めろよとは思うけど、

      バグの修正で何も変わらないと思っているなら間違い。

      > Apache Strutsでの開発をしていたなら、その危険性は十分わかっていたはず。

      これは結果論。

  • by Anonymous Coward on 2017年06月07日 19時05分 (#3223754)

    予備費使って改修すればよかったんだよ
    牛耳ってるのが財務省だから拒否されたなら財務省に責任転嫁できたのに・・・

    それにしても運営委託会社っていうのはこういうの改修することは仕事に入ってないの?

    • Re:予算待ち (スコア:3, 興味深い)

      by Anonymous Coward on 2017年06月07日 20時14分 (#3223820)

      >予備費使って改修すればよかったんだよ

      本当の官庁系の予算・決算は知らないのですが、国立系研究機関にいた経験で。

      官系の予備費、って「年度初め(前年度末)の当初予算ではわからなかったが
      年度内に必要だとわかったもの」に使える(大抵は費目の付け替えでねん出)
      程度で、それも年度末1・2か月間は〆の計算をするのでそれ以前に納品・検収が
      済んでないと困るものです。

      「何に使うか決まってないけど、とりあえずバッファとしてプールしておくお金」
      なんて便利な、急なサーバーメンテナンスに割り振れるような「予備費」なものはありません。
      国民感情的に許されないでしょ?「税金で徴収しておきながら何に使うかわからないだと?」とか。

      #「いいこと思いついた!これ論文にする!」
      #なんてことが12月や1月にあって、論文書いても投稿料や英文校閲費用の関係で
      #4月の新年度まで寝かしたこととかざらです。
      ##というか、それが原因でモチベーションが下がって2月3月はやる気がでない

      親コメント
    • by Anonymous Coward

      契約内容に入ってりゃやるけど、入れてなかったんだろ。
      契約に無いのに対応したらそれこそ問題。

  • by Anonymous Coward on 2017年06月08日 1時43分 (#3223975)

    フリーソフトを使うと責任の所在が不明確になるので、かえって高くつく、という実例。

    • by Anonymous Coward

      むしろ責任の所在を明確にしない役所向きの仕組みです!

  • by Anonymous Coward on 2017年06月08日 2時35分 (#3223984)

    それだけ価値のない仕事しかしていないって事だよ。

  • by Anonymous Coward on 2017年06月08日 5時41分 (#3224016)

    Java脳が作るフレームワークはろくなもんじゃない

    • by Anonymous Coward on 2017年06月08日 17時08分 (#3224372)

      なんでも言語のせいにしたがるのって無能を告白しているようなもの。恥ずかしから止めようよ。
      それに「◯◯脳」なんて、ハウツー本売らんかなで捏造された何の根拠もないバズワードでしょ。

      # 文句が有るなら完璧なフレームワークを自分で作ってみなよ

      親コメント
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...