1日限定で管理権限を与えられた職員、パスワード一覧などをコピーしてその後1年に渡って不正アクセスを繰り返す 63
ストーリー by hylom
なぜ全職員のパスワード一覧なんていうものが存在したのか 部門より
なぜ全職員のパスワード一覧なんていうものが存在したのか 部門より
岩手県八幡平市の職員が、1日限定で管理者権限を与えられた際に閲覧制限のある共有フォルダや「全職員の業務用パソコンのパスワード一覧」を自分のPC内に保存し、その後約1年間それらの情報を使って本来アクセスできない情報にアクセスしていたという(八幡平市の発表PDF、Security NEXT、岩手日報)。
今年2月に不自然なアクセス履歴から問題が発覚。これを受けて一部の職員がパスワードの変更を強いられるなどで公務の運営に支障が生じたとして、この職員には給料の10分の1の額の減給1ヶ月という懲戒処分が行われた。
甘すぎる (スコア:4, すばらしい洞察)
権限を持ってはいけないイの一番だろ、不正コピーとその悪用って。
まあ、パスワードが平文可視ファイルって時点で終わっているといえばそれまでだが。
Re: (スコア:0)
たぶんExcelファイル...
Re: (スコア:0)
Excelって役所は好きですからねぇ
Re: (スコア:0)
「権限を持ってはいけないイ」とは職務規程に書いてなかったんじゃね。
文字通りお役所仕事だし。想定外と言えば、何やっても許される世界だし。
#「1日限定で管理者権限を与えられた」際に処理しているから、
#やっぱ不正アクセス防止法にはあたらないのかな。
「1日限定で管理者権限を与えられた」って (スコア:2)
全職員の業務用パソコンのパスワード一覧 (スコア:1)
とにかくこの一覧の存在に衝撃を受けました。
全国の市役所にそんなものがある・・・のか。
もしかしてセキュリティのガイドラインか教育的なものも無いのかな。
そしてこれで済んでしまうのにも驚いた。
>この職員には給料の10分の1の額の減給1ヶ月という懲戒処分が行われた。
別世界というか異世界を垣間見た気分。
Re:全職員の業務用パソコンのパスワード一覧 (スコア:2)
なんか微妙ですね
法的に問題が無いとかの中で頑張って懲戒しました的限界なのかね
「コピーしちゃダメだと書いてなかったからダメじゃない」的な
Re:全職員の業務用パソコンのパスワード一覧 (スコア:2)
>「コピーしちゃダメだと書いてなかったからダメじゃない」的な
禁断の某的な全職員のパスワード一覧なんて存在したらイケない気がしてしまう・・・
誰のための存在なんだろう。
Re:全職員の業務用パソコンのパスワード一覧 (スコア:2)
* そんな一覧が本当に必要だったのか
* こんな信用のおけない奴に一日管理者権限を与えた判断に問題はなかったのか
この辺もよく考えてほしいですね
Re:全職員の業務用パソコンのパスワード一覧 (スコア:1)
そうそう
>* こんな信用のおけない奴に一日管理者権限を与えた判断に問題はなかったのか
許可を与えてしまった人にもお小言以上のナニかは飛んでそう。
上の誰かから与えてやれって言われてやっただけだとしても。
Re: (スコア:0)
懲戒の理由が
> 一部の職員がパスワードの変更を強いられるなどで公務の運営に支障が生じた
ですから、「法的に問題が無いとかの中で頑張って懲戒しました的限界」
だったのでしょうね。
Re:全職員の業務用パソコンのパスワード一覧 (スコア:2)
職員が突然いなくなったときのためじゃないか。
そういうときでも作業用PCにアクセスできるように。
PC全体の管理者とかいないところもふつうにあるのでは。
PCの全管理を個人各々に委ねているような状況ならあり得る。
Re:全職員の業務用パソコンのパスワード一覧 (スコア:1)
ローカルに全体業務に必要なものを置いてるとかならそれはありますね。
昔は、リムーバブルメディアに入れて共通保管とかしてた。
Re: (スコア:0)
正当な手続きで管理者権限を渡したなら、悪意のある管理者の存在が問題で、パスワード一覧の有無は問題では無いと思うんですよね
管理者権限を持ってる以上、保管されているパスワードリストに頼らなくても山のように方法があるわけで
Re: (スコア:0)
「全職員のパスワード一覧」なんて漏れたら終わりじゃん。
こっそりコピーするやつなんて、こっそりどっかに隠してるだろうし、それが漏れても不思議じゃない。
Re: (スコア:0)
管理者権限で悪意のある操作を許した時点で最悪の事態ですよ。
その後に一般ユーザーのパスワードリストの持ち出されても、それはバックドアの設置と同等のウイニングランでしょう。
もし本件の問題と対策をパスワードリストに求めるとまた同じことが起きますよ、と思うのです。
Re: (スコア:0)
だが待って欲しい。古いシステムなら/etc/passwdの可能性が……
Re:全職員の業務用パソコンのパスワード一覧 (スコア:1)
そして、hash化してなかったり…
Re: (スコア:0)
偉い人達のパソコンのローカルの管理者のパスワードとか
NASやアプライアンスのパスワードとか
皆さんどう管理して引き継ぎしてますの?
パスワード管理ソフト?
でも、今回の問題はそういう問題じゃないよね?
Re:全職員の業務用パソコンのパスワード一覧 (スコア:1)
エライさんには付箋紙人気ありそう
ヌルい (スコア:0)
要するに泥棒とか盗撮と同レベルなので、懲戒免職でもよいと思うのですが。
というか刑事事件にできないんですかね。
Re:ヌルい (スコア:2)
不正アクセス防止法はリモートで他人のパスワードを使ったらアウトだけど、その要件に当てはまりそうにないな。
しかし、パスワード一覧で/etc/shadowをクラックした訳じゃないよね?
Re: (スコア:0)
正当な権原を得てパスワードを入手したんだから、何も問題はないだろ?法律的には。
Re: (スコア:0)
よくアメリカのドラマでテロ対策で情報集めてるけどアクセス権限がなくて・・・違法だけどやっちまえ、みたいなのあるけど、バレたらかなり重い罪なはずの行動。
今回のこれも同じケースだと思うけど、罰がこれほど甘いのは情報の機密性が低かったせい?
官邸とか自衛隊、外務省なんかで同様のことが起きたら、いったいどういう罰になるんだろう。
日本はかなり甘そうなイメージ。
Re: (スコア:0)
あかんやろ。1日限りだったんだから。
正当な権限で得た/不正な手段で得たに関わらず、アクセスする資格がないんだから不正アクセスですよ?
Re: (スコア:0)
管理者権限は1日限りだったけど、そこのファイルに保存されてたパスワードの利用許可期限(?)は、無期限だろ。
1日以上たっても「正当に入手したパスワード」であることに違いはないから、不正アクセスにはならないでしょ?
「管理者権限のパスワード」ではなくて、「管理者権限で正当に入ったディレクトリに保存してあったファイルに記載されていたパスワード」なんだから。
Re:ヌルい (スコア:2)
>1日以上たっても「正当に入手したパスワード」であることに違いはないから、
>不正アクセスにはならないでしょ?
正当に入手したわけではないでしょ?
>「管理者権限で正当に入ったディレクトリに保存してあったファイルに
>記載されていたパスワード」なんだから。
そのアカウントとパスワードを使う権限があるかないかです。
パソコンに付箋紙でIDとパスワードを貼ってあるものを見る権利があっても使ったら犯罪です。
Re: (スコア:0)
ファイルサーバの管理者は全てのファイルを見る権限はあるけど権利はないんやで?興味本位で見たらそれはもう不正。
Re: (スコア:0)
パスワードのリストなんか作るような連中に
それは盗っちゃいけないものだなんて意識があったら
そっちのほうが驚き。
Re: (スコア:0)
うちもあるで。
しかもメンバーの全員パスワードが共通という部署も。
おまえら綺麗事ばかり並べてないで、もう少し下々のセキュリティ事情を知ったほうがいいんじゃないの?
Re:ヌルい (スコア:1)
>しかもメンバーの全員パスワードが共通という部署も。
「ひらけごま」的なもんすかね。
10年以上前、某公務員事務所にお邪魔したら、共通端末の前に「○○課長のIDとパスワード」という紙が貼ってあったのを思い出した。
それで管理情報の閲覧と更新をするようなことが書かれた紙も。
#そういう仕組で世の中回ってるってことで。
Re: (スコア:0)
過去上場企業決算ランキング TOP100に名前が乗っていた企業ですら、全社ドメインのDomain AdministratorパスワードがP@ssw0rdだったりするくらい適当なもんだよ。
Re: (スコア:0)
パスワード配給制? (スコア:0)
初期パスワードが天から降ってきて、職員は一切変更せず使い続けるシステムってことかな…やわなパスワードをつけられるよりましってこと?
Re: (スコア:0)
「天から降ってくる」必要はなく、「使用者が最初に適当に決める」んでしょう。
#その後変更しない(してはいけない?)のは一緒
Re: (スコア:0)
全職員のパスワードを何にしたのかいちいち調べるの面倒じゃない?記入間違いとかもあるし。システム側でアカウント作成と同時にパスワードも決定。変更するシステムはなしってことにすれば、全職員のアカウントとパスワードの表があっても不思議じゃないと思うけどな。
Re: (スコア:0)
まあ、確かに。
でも、「使用者が最初に適当に決める」パターンでも一旦作ってしまえば、
退職者・転出者の削除と新人にPCを与えるときの最初の説明で
パスワードを決めてもらって表に加えるだけだから運用は難しくないと思う。
#途中でサボった管理者がいて抜けてたりするともうボロボロだけど(汗)
Re: (スコア:0)
そうではなくて、ヒトにリンクしないアカウントで運用されているのだと思います。
例えば、各課に予め100くらいアカウントを発行 (例えばsoumuka00-soumuka99) しておいて、人事異動の際には「soumuka03の人が異動で転出したので、新しく転入してきた人のアカウントはsoumuka03ね」とか「soumuka34まで使っているので、新しく転入してきた人のアカウントはsoumuka35ね」いう具合。
即時、懲戒免職するべき (スコア:0)
故意にやったことだし、軽い処分で済む意味が分からない。
Re:即時、懲戒免職するべき (スコア:2)
Re:即時、懲戒免職するべき (スコア:1)
人を育てる発想でいかないと
Re:即時、懲戒免職するべき (スコア:1)
Re: (スコア:0)
そもそもこれ刑事告発対象じゃないんですかね...
Re: (スコア:0)
盗み見たデータがキモだと見た。
市役所上層部のPCとかには大抵はあるに違いない(偏見)、業務時間内にアレなホームページで集めた各種データが入った秘密のフォルダを見ちゃったとかそういう。
秘密を守るという交換条件で、厳しい処分どころか、ダミーの軽い処分の後、ほとぼりが冷めてから仕事は無いけど給料が高いポジションへと異例の大出世を見せたりするんだきっと。
Re: (スコア:0)
まず間違いなくそうでしょうな
通常なら懲戒解雇だろ
市民として納得の行かない処罰
市民としてはこの幹部の業務中のいかがわしいネット閲覧不正使用も追求して
税金泥棒としても逮捕もしてもらいたい
Re: (スコア:0)
公務員なので解雇ではなく免職です。
Re: (スコア:0)
この処分からはお前らのデータを俺らが保存してやってるんだぞ!みたいなのが透けて見えちゃうわ
公務の運営に支障 (スコア:0)
「パスワードの変更を強いられる」は公務の運営に支障なんですかね。暗号化されてアクセスできなくなるとかだと支障だとは思うが。
Re: (スコア:0)
Re: (スコア:0)
禁止じゃない。定期的な変更は、ほとんどの環境でデメリットの方が多いから非推奨。
漏えい事故などの場合は変更が必要。