パスワードを忘れた? アカウント作成
13336962 story
情報漏洩

高専が導入しているOffice 365、個人情報を含むファイルが全ユーザーから閲覧できる状態になっていた? 42

ストーリー by hylom
原因は分かるがどうしてこうなった 部門より
あるAnonymous Coward 曰く、

全国の高等専門学校(高専)ではMicrosoftのクラウドサービス「Office 365」が導入されているのだが、これによって利用できるファイル共有サービスで、アップロードされていた全国の高専の各種ファイルや学生の情報がシステムにアクセスできる全ユーザーからアクセスできる情報になっていたことが判明した(TogetterまとめITmedia)。

アクセス権限の設定が適切に行われていなかったのが原因と思われる。この問題を見つけた高専生がSNS(Twitter)にこのことを投稿したことで発覚し、システムが一時停止する事態になったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年07月13日 14時03分 (#3243875)

    高専は学内に専任のインフラ管理者とかいないからね
    詳しい先生が兼任しているだけ
    初期パスワードのまま使っていることもあったし

    • いつもの事だね。

      --
      the.ACount
    • by Anonymous Coward

      今回の件は高専機構の問題だし
      今回のインフラ構築から担当が教員から技術職員に代わった高専が多いのでは
      最近の教員は裏方仕事などしないでしょ、研究に忙しい

  • by Anonymous Coward on 2017年07月13日 18時06分 (#3244070)

    だれも元情報読んでないようだが、
    大きな学校内で全生徒の氏名アドレスなどがサジェストされるよう設定して運用していたら、
    「ほかのクラスの子の氏名まるわかりじゃないか!設定ミスだ!」
    って外のSNSで叫んだ生徒が居て、話題になったと。

    元々の設定思想や運用面でどうかという点はあるが、
    セキュリティ的に意図せず誤って設定してしまった系の事案とは全く違うような。

  • by Anonymous Coward on 2017年07月13日 13時46分 (#3243864)

    意図せずに公開しちゃったって奴だよなあ。

    • by Anonymous Coward

      >共有されていたデータは機構内で共有することを目的にした授業教材、学生会の資料、全国の高専に所属する個人の名前などで

      ということで、そもそも意図して共有されていたものだな。
      名簿共有するのってどうよ?というのはまた別問題だが。

      • 導入請け負ったコンサルが共有について十分に設定しなかったか説明しなかったか。
        ちゃんとしたけど担当者側が誰も理解できなかったか、実は理解した上で「うっかりやっちゃった」のか。

        親コメント
        • by Anonymous Coward

          ファイルの共有や公開範囲なんて概念が理解できないようなレベルの社員はいくらでもいます。つらいです。

          • 今日、グループパーミッションについて中々わかってくれない管理職に電話で30分以上説明させられていました。
            斜め後ろに座ってる同僚さんが。

            親コメント
            • by Anonymous Coward

              パーミッション程度のシンプルさで混乱してるんですからな。
              さらに細かい設定出来るACLなんか、脳が認識不可能なんでしょうw

              どちらもただの論理演算と言って良いんだけどね。

        • by Anonymous Coward

          学校や学科単位の管理者を置いて公開範囲を設定させないといけないのに、連絡も検討もなく機構が保有する全関係者の名簿しかないから最低限アカウント作成だけして放置したんじゃないの。
          「手抜きをネットにばらした学生は不正行為として処分する」なんて怪文書が出回る辺り、あるべきヒエラルキーが無いことが分かる。

    • グループ企業がOffice365導入して、資料や連絡先の共有をしてるのと同じだと思ってたので、何を騒いでいるのかしばらくわからなかったよ、、

      そうか、意図した設定じゃなかったのね(デフォルトは)

      今頃責任の押し付け合いとかしてるんだろうなあ。

      --
      pokuri
      • by Anonymous Coward

        意図した設定云々以前に、公開区分についての仕様自体が存在しなかったって奴では無いかな。

        若しくは共有案件以外には使用しないって前提のものとか。
        別にOffice365でもローカル保存は出来るよね。
        だから「共有すべきでない物はローカルに」って運用だったのかも。
        その場合、教育ってのがスッパリと抜けて居た可能性が。

        • by Anonymous Coward

          Office 365のファイル共有ってSharePoint Online、つまり中のWindows Serverを直接構成できないだけのSharePoint Serverでしょ?
          権限管理なんかあるに決まってるじゃん。管理しきれなくて全員に全体公開の権限を与えていたんでしょうよ。sudoersに全員の名前が書いてある状態なわけでしょ。
          それでやれクラウドが悪い、ソフトが悪い、ユーザーが悪いと手当たり次第に責任転嫁されてもね。管理体制が薄弱ぎるのが悪い。

      • by Anonymous Coward

        事前に教員から問題だと指摘が出ていたので、意図した設定でしょう。

        #問題だと認識できなかったが正しいような気がする。

    • by Anonymous Coward

      アカウント管理もまずくて、卒業生(一般の方)にも見えたんですよね。

      やっぱ漏洩?

  • by Anonymous Coward on 2017年07月13日 13時52分 (#3243869)

    秘密などあってはいけないのです

    • 積極的に情報公開することで偽の情報と思い込ませるとかなんとか…
      そんなインテリジェンスがあった気がする。

      親コメント
      • by Anonymous Coward

        致命的な内部情報を暴露した人の風俗通いを大新聞紙に記事にさせて印象操作で皆が信じないようにさせた作戦と同じか。
        でもそのインテリジェンスは失敗してたみたいだが。

    • by Anonymous Coward

      少し前に読んだヨーロッパのSF(名前忘れた)では、
      情報機関が収集し乱用していたネット情報を、
      パンピーにも公開してしまうという内容だった。

      • by Anonymous Coward

        それってなんていうWikileaks?

    • by Anonymous Coward

      世界中の人たちが全ての情報を共有するようになれば、情報漏えいの問題などなくなる。
      素晴らしい世界じゃないか。

      • by Anonymous Coward

        すばらしい…夢のようだ…新しい世界が来る…ユートピアが…

  • by Anonymous Coward on 2017年07月13日 14時15分 (#3243883)

    これもパブリッククラウドの弱点なんでしょうね。
    ちょっとした設定ミスで情報漏洩してしまう。

    今までだったら、ちゃんとした管理者がいなくても最悪の事態にはなってなかったのに
    今後は・・最初にちゃんと管理者が設定する必要があると
    そしてちょっと詳しい人が勝手に操作して・・情報漏洩しちゃうとww
    どっかの大学で、勝手にサーバー立てて情報漏洩したのを思い出しちゃったwww

    • by 90 (35300) on 2017年07月13日 15時47分 (#3243956) 日記

      クラウドのせいだとしたら、全国のすべての国立高専の職員と学生を一度に一つのドメインに入れられる余裕があることが悪い、というくらいじゃないでしょうか。
      51校232学科、在学生数52,814人 [mext.go.jp]というと、JR東日本とかパナソニックくらいの規模ですね。兼業の管理者を任命して済む規模じゃないです。

      親コメント
    • by Anonymous Coward on 2017年07月13日 14時25分 (#3243889)

      今まで、って言うけど、私が大学生だったころ、メディアセンターのワークステーションの他人のアカウントの中身はlsとcatで見えてましたよ。

      もちろん、個人的な内容をわざわざ保存したりはしなかったけど、レポートを端末からメールで送れっていう、ある種どうしようもないやつでは最初に書いた奴のを全員が真似する、っていう漫画的なオチに。

      親コメント
      • by Anonymous Coward
        そら普通はホームディレクトリは0755やろ
        umaskで減らすことはできても増やすことはできないんだから
        • by nemui4 (20313) on 2017年07月13日 15時14分 (#3243920) 日記

          >そら普通はホームディレクトリは0755やろ

          あまり人に見られたくないファイルだけ 700 のディレクトリに放り込んじゃいますね。

          親コメント
        • by Anonymous Coward
          パーミッション 365 だと、
          自身:読めないけど、書き込み可能、実行可能
          グループ:実行不可で、読み書き可能
          他:書き込み不可で、読み取り可能、実行不可
          うーん、やっぱり使えないか
    • by Anonymous Coward

      togetterを読むと各高専の設定ミスではなく仕様のミスのように思えるけどね。

      #情報不足でよくわからんけど

      • by Anonymous Coward

        どこをどう読めば仕様のミスと思えた?

        仕様は問題ない。
        問題なのはその仕様をちゃんと理解せずに使っていたユーザーですな。

        • by Anonymous Coward

          ちゃんと理解しないユーザも脆弱性の一つですが、
          ユーザの理解し辛い仕様も脆弱性の一つでして。

      • by Anonymous Coward

        多分sharepoint?
        "[すべてのユーザー]"をWindows共有のall users感覚で設定したのかな?

        ネットワークの場所を考えて無い感じ。

    • by Anonymous Coward

      パブリッククラウドの弱点ではなくて、「クラウドならALL OK」って思ってる
      (身分的に)偉い人たちが多いことによる問題です。

      クラウドだから安全だろう、良いだろう、という根拠がクラウドな人たち。
      そういう人たちにろくな教育も施さずに使わせるとこういうことをするわけ。

      一応は説明会のようなものはやったらしいけど、そういうクラウドな意識を
      もったままだと事故のもと。

  • by Anonymous Coward on 2017年07月13日 14時32分 (#3243892)

    その方針自体がどうなのよって話はともかく。

    • by Anonymous Coward

      見事なリテラシの問題にしか見えない。
      結局は「公開するべきもの」と「公開すべきでないもの」の区別をしていなかったってだけだよね?

      • by Anonymous Coward

        紙の情報の話だけど
        何でもかんでも機密扱いしてたもんだから
        機密情報の扱いが凄いテキトーだったりとか。

        普通の民間企業での実話です。

  • by Anonymous Coward on 2017年07月13日 15時18分 (#3243927)

    高専機構についてたれこみ文で触れられていないのは何故?

    #3243875とか高専が悪いと誤解してるっぽいし

    • by Anonymous Coward

      > 高専機構
       
      なんかBLAMEみたいでちょっとかっこいい...

      • by Anonymous Coward

        独立行政法人立高等専門学校機構が正式名称
        全国の国立高専をまとめて独法化した上部組織、本部は東京高専の敷地内
        今まで個々の高専でやっていた事業を機構でまとめようとしているけど
        うまくいってないのかね

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...