高専が導入しているOffice 365、個人情報を含むファイルが全ユーザーから閲覧できる状態になっていた? 42
ストーリー by hylom
原因は分かるがどうしてこうなった 部門より
原因は分かるがどうしてこうなった 部門より
あるAnonymous Coward 曰く、
全国の高等専門学校(高専)ではMicrosoftのクラウドサービス「Office 365」が導入されているのだが、これによって利用できるファイル共有サービスで、アップロードされていた全国の高専の各種ファイルや学生の情報がシステムにアクセスできる全ユーザーからアクセスできる情報になっていたことが判明した(Togetterまとめ、ITmedia)。
アクセス権限の設定が適切に行われていなかったのが原因と思われる。この問題を見つけた高専生がSNS(Twitter)にこのことを投稿したことで発覚し、システムが一時停止する事態になったという。
昔から高専はこんなもんだよ (スコア:2, 興味深い)
高専は学内に専任のインフラ管理者とかいないからね
詳しい先生が兼任しているだけ
初期パスワードのまま使っていることもあったし
Re: (スコア:0)
いつもの事だね。
the.ACount
Re: (スコア:0)
今回の件は高専機構の問題だし
今回のインフラ構築から担当が教員から技術職員に代わった高専が多いのでは
最近の教員は裏方仕事などしないでしょ、研究に忙しい
意図通り設定されていたのでは? (スコア:1)
だれも元情報読んでないようだが、
大きな学校内で全生徒の氏名アドレスなどがサジェストされるよう設定して運用していたら、
「ほかのクラスの子の氏名まるわかりじゃないか!設定ミスだ!」
って外のSNSで叫んだ生徒が居て、話題になったと。
元々の設定思想や運用面でどうかという点はあるが、
セキュリティ的に意図せず誤って設定してしまった系の事案とは全く違うような。
Re: (スコア:0)
>他のクラスというより全国の高専の人が丸見えだった。
>例えば、斉藤って入れれば全国の高専生(と教員)の斉藤さんがうじゃうじゃ。
それはもともとそういう意図でやっていたのでは?
まあ、その考え方が妥当かどうかは置いておいて。
高専機構的には、関係者は全て身内だと。
だから
>例えば、斉藤って入れれば全国の高専生(と教員)の斉藤さんがうじゃうじゃ。
なんかも「当然、判らなきゃ困るだろ?」とかもう、クラスの連絡簿と同じイメージで。
これは漏洩ではなく (スコア:0)
意図せずに公開しちゃったって奴だよなあ。
Re: (スコア:0)
>共有されていたデータは機構内で共有することを目的にした授業教材、学生会の資料、全国の高専に所属する個人の名前などで
ということで、そもそも意図して共有されていたものだな。
名簿共有するのってどうよ?というのはまた別問題だが。
Re:これは漏洩ではなく (スコア:1)
導入請け負ったコンサルが共有について十分に設定しなかったか説明しなかったか。
ちゃんとしたけど担当者側が誰も理解できなかったか、実は理解した上で「うっかりやっちゃった」のか。
Re: (スコア:0)
ファイルの共有や公開範囲なんて概念が理解できないようなレベルの社員はいくらでもいます。つらいです。
Re:これは漏洩ではなく (スコア:1)
今日、グループパーミッションについて中々わかってくれない管理職に電話で30分以上説明させられていました。
斜め後ろに座ってる同僚さんが。
Re: (スコア:0)
パーミッション程度のシンプルさで混乱してるんですからな。
さらに細かい設定出来るACLなんか、脳が認識不可能なんでしょうw
どちらもただの論理演算と言って良いんだけどね。
Re: (スコア:0)
学校や学科単位の管理者を置いて公開範囲を設定させないといけないのに、連絡も検討もなく機構が保有する全関係者の名簿しかないから最低限アカウント作成だけして放置したんじゃないの。
「手抜きをネットにばらした学生は不正行為として処分する」なんて怪文書が出回る辺り、あるべきヒエラルキーが無いことが分かる。
Re: (スコア:0)
グループ企業がOffice365導入して、資料や連絡先の共有をしてるのと同じだと思ってたので、何を騒いでいるのかしばらくわからなかったよ、、
そうか、意図した設定じゃなかったのね(デフォルトは)
今頃責任の押し付け合いとかしてるんだろうなあ。
pokuri
Re: (スコア:0)
意図した設定云々以前に、公開区分についての仕様自体が存在しなかったって奴では無いかな。
若しくは共有案件以外には使用しないって前提のものとか。
別にOffice365でもローカル保存は出来るよね。
だから「共有すべきでない物はローカルに」って運用だったのかも。
その場合、教育ってのがスッパリと抜けて居た可能性が。
Re: (スコア:0)
Office 365のファイル共有ってSharePoint Online、つまり中のWindows Serverを直接構成できないだけのSharePoint Serverでしょ?
権限管理なんかあるに決まってるじゃん。管理しきれなくて全員に全体公開の権限を与えていたんでしょうよ。sudoersに全員の名前が書いてある状態なわけでしょ。
それでやれクラウドが悪い、ソフトが悪い、ユーザーが悪いと手当たり次第に責任転嫁されてもね。管理体制が薄弱ぎるのが悪い。
Re: (スコア:0)
事前に教員から問題だと指摘が出ていたので、意図した設定でしょう。
#問題だと認識できなかったが正しいような気がする。
Re: (スコア:0)
アカウント管理もまずくて、卒業生(一般の方)にも見えたんですよね。
やっぱ漏洩?
開かれた社会 (スコア:0)
秘密などあってはいけないのです
Re:開かれた社会 (スコア:1)
積極的に情報公開することで偽の情報と思い込ませるとかなんとか…
そんなインテリジェンスがあった気がする。
Re: (スコア:0)
致命的な内部情報を暴露した人の風俗通いを大新聞紙に記事にさせて印象操作で皆が信じないようにさせた作戦と同じか。
でもそのインテリジェンスは失敗してたみたいだが。
Re: (スコア:0)
少し前に読んだヨーロッパのSF(名前忘れた)では、
情報機関が収集し乱用していたネット情報を、
パンピーにも公開してしまうという内容だった。
Re: (スコア:0)
それってなんていうWikileaks?
Re: (スコア:0)
世界中の人たちが全ての情報を共有するようになれば、情報漏えいの問題などなくなる。
素晴らしい世界じゃないか。
Re: (スコア:0)
すばらしい…夢のようだ…新しい世界が来る…ユートピアが…
クラウドの弱点? (スコア:0)
これもパブリッククラウドの弱点なんでしょうね。
ちょっとした設定ミスで情報漏洩してしまう。
今までだったら、ちゃんとした管理者がいなくても最悪の事態にはなってなかったのに
今後は・・最初にちゃんと管理者が設定する必要があると
そしてちょっと詳しい人が勝手に操作して・・情報漏洩しちゃうとww
どっかの大学で、勝手にサーバー立てて情報漏洩したのを思い出しちゃったwww
Re:クラウドの弱点? (スコア:2)
クラウドのせいだとしたら、全国のすべての国立高専の職員と学生を一度に一つのドメインに入れられる余裕があることが悪い、というくらいじゃないでしょうか。
51校232学科、在学生数52,814人 [mext.go.jp]というと、JR東日本とかパナソニックくらいの規模ですね。兼業の管理者を任命して済む規模じゃないです。
Re:クラウドの弱点? (スコア:1)
今まで、って言うけど、私が大学生だったころ、メディアセンターのワークステーションの他人のアカウントの中身はlsとcatで見えてましたよ。
もちろん、個人的な内容をわざわざ保存したりはしなかったけど、レポートを端末からメールで送れっていう、ある種どうしようもないやつでは最初に書いた奴のを全員が真似する、っていう漫画的なオチに。
Re: (スコア:0)
umaskで減らすことはできても増やすことはできないんだから
Re:クラウドの弱点? (スコア:1)
>そら普通はホームディレクトリは0755やろ
あまり人に見られたくないファイルだけ 700 のディレクトリに放り込んじゃいますね。
Re: (スコア:0)
自身:読めないけど、書き込み可能、実行可能
グループ:実行不可で、読み書き可能
他:書き込み不可で、読み取り可能、実行不可
うーん、やっぱり使えないか
Re: (スコア:0)
togetterを読むと各高専の設定ミスではなく仕様のミスのように思えるけどね。
#情報不足でよくわからんけど
Re: (スコア:0)
どこをどう読めば仕様のミスと思えた?
仕様は問題ない。
問題なのはその仕様をちゃんと理解せずに使っていたユーザーですな。
Re: (スコア:0)
ちゃんと理解しないユーザも脆弱性の一つですが、
ユーザの理解し辛い仕様も脆弱性の一つでして。
Re: (スコア:0)
多分sharepoint?
"[すべてのユーザー]"をWindows共有のall users感覚で設定したのかな?
ネットワークの場所を考えて無い感じ。
Re: (スコア:0)
パブリッククラウドの弱点ではなくて、「クラウドならALL OK」って思ってる
(身分的に)偉い人たちが多いことによる問題です。
クラウドだから安全だろう、良いだろう、という根拠がクラウドな人たち。
そういう人たちにろくな教育も施さずに使わせるとこういうことをするわけ。
一応は説明会のようなものはやったらしいけど、そういうクラウドな意識を
もったままだと事故のもと。
設定ミスではなく、意図して公開されていたもの (スコア:0)
その方針自体がどうなのよって話はともかく。
Re: (スコア:0)
見事なリテラシの問題にしか見えない。
結局は「公開するべきもの」と「公開すべきでないもの」の区別をしていなかったってだけだよね?
Re: (スコア:0)
紙の情報の話だけど
何でもかんでも機密扱いしてたもんだから
機密情報の扱いが凄いテキトーだったりとか。
普通の民間企業での実話です。
原因 (スコア:0)
高専機構についてたれこみ文で触れられていないのは何故?
#3243875とか高専が悪いと誤解してるっぽいし
Re: (スコア:0)
> 高専機構
なんかBLAMEみたいでちょっとかっこいい...
Re: (スコア:0)
独立行政法人立高等専門学校機構が正式名称
全国の国立高専をまとめて独法化した上部組織、本部は東京高専の敷地内
今まで個々の高専でやっていた事業を機構でまとめようとしているけど
うまくいってないのかね