パスワードを忘れた? アカウント作成
13574832 story
セキュリティ

1日限定で管理権限を与えられた職員、パスワード一覧などをコピーしてその後1年に渡って不正アクセスを繰り返す 63

ストーリー by hylom
なぜ全職員のパスワード一覧なんていうものが存在したのか 部門より

岩手県八幡平市の職員が、1日限定で管理者権限を与えられた際に閲覧制限のある共有フォルダや「全職員の業務用パソコンのパスワード一覧」を自分のPC内に保存し、その後約1年間それらの情報を使って本来アクセスできない情報にアクセスしていたという(八幡平市の発表PDFSecurity NEXT岩手日報)。

今年2月に不自然なアクセス履歴から問題が発覚。これを受けて一部の職員がパスワードの変更を強いられるなどで公務の運営に支障が生じたとして、この職員には給料の10分の1の額の減給1ヶ月という懲戒処分が行われた。

  • 甘すぎる (スコア:4, すばらしい洞察)

    by loose duce (47070) on 2018年04月13日 13時20分 (#3392807)

    権限を持ってはいけないイの一番だろ、不正コピーとその悪用って。
    まあ、パスワードが平文可視ファイルって時点で終わっているといえばそれまでだが。

    ここに返信
    • by Anonymous Coward

      たぶんExcelファイル...

      • by Anonymous Coward

        Excelって役所は好きですからねぇ

    • by Anonymous Coward

      「権限を持ってはいけないイ」とは職務規程に書いてなかったんじゃね。
      文字通りお役所仕事だし。想定外と言えば、何やっても許される世界だし。

      #「1日限定で管理者権限を与えられた」際に処理しているから、
      #やっぱ不正アクセス防止法にはあたらないのかな。

  • アイドルの1日警察署長みたいなモノ?(笑)
    ここに返信
  • とにかくこの一覧の存在に衝撃を受けました。
    全国の市役所にそんなものがある・・・のか。

    もしかしてセキュリティのガイドラインか教育的なものも無いのかな。
    そしてこれで済んでしまうのにも驚いた。

    >この職員には給料の10分の1の額の減給1ヶ月という懲戒処分が行われた。

    別世界というか異世界を垣間見た気分。

    ここに返信
  • by Anonymous Coward on 2018年04月13日 13時30分 (#3392815)

    要するに泥棒とか盗撮と同レベルなので、懲戒免職でもよいと思うのですが。
    というか刑事事件にできないんですかね。

    ここに返信
    • by manmos (29892) on 2018年04月13日 13時39分 (#3392822) 日記

      不正アクセス防止法はリモートで他人のパスワードを使ったらアウトだけど、その要件に当てはまりそうにないな。

      しかし、パスワード一覧で/etc/shadowをクラックした訳じゃないよね?

    • by Anonymous Coward

      正当な権原を得てパスワードを入手したんだから、何も問題はないだろ?法律的には。

      • by Anonymous Coward

        よくアメリカのドラマでテロ対策で情報集めてるけどアクセス権限がなくて・・・違法だけどやっちまえ、みたいなのあるけど、バレたらかなり重い罪なはずの行動。
        今回のこれも同じケースだと思うけど、罰がこれほど甘いのは情報の機密性が低かったせい?
        官邸とか自衛隊、外務省なんかで同様のことが起きたら、いったいどういう罰になるんだろう。
        日本はかなり甘そうなイメージ。

      • by Anonymous Coward

        あかんやろ。1日限りだったんだから。
        正当な権限で得た/不正な手段で得たに関わらず、アクセスする資格がないんだから不正アクセスですよ?

        • by Anonymous Coward

          管理者権限は1日限りだったけど、そこのファイルに保存されてたパスワードの利用許可期限(?)は、無期限だろ。
          1日以上たっても「正当に入手したパスワード」であることに違いはないから、不正アクセスにはならないでしょ?

          「管理者権限のパスワード」ではなくて、「管理者権限で正当に入ったディレクトリに保存してあったファイルに記載されていたパスワード」なんだから。

          • by ymasa (31598) on 2018年04月13日 20時17分 (#3393101) 日記

            >1日以上たっても「正当に入手したパスワード」であることに違いはないから、
            >不正アクセスにはならないでしょ?

            正当に入手したわけではないでしょ?

            >「管理者権限で正当に入ったディレクトリに保存してあったファイルに
            >記載されていたパスワード」なんだから。

            そのアカウントとパスワードを使う権限があるかないかです。

            パソコンに付箋紙でIDとパスワードを貼ってあるものを見る権利があっても使ったら犯罪です。

          • by Anonymous Coward

            ファイルサーバの管理者は全てのファイルを見る権限はあるけど権利はないんやで?興味本位で見たらそれはもう不正。

    • by Anonymous Coward

      パスワードのリストなんか作るような連中に
      それは盗っちゃいけないものだなんて意識があったら
      そっちのほうが驚き。

      • by Anonymous Coward

        うちもあるで。
        しかもメンバーの全員パスワードが共通という部署も。
        おまえら綺麗事ばかり並べてないで、もう少し下々のセキュリティ事情を知ったほうがいいんじゃないの?

        • by nemui4 (20313) on 2018年04月13日 15時05分 (#3392897) 日記

          >しかもメンバーの全員パスワードが共通という部署も。

          「ひらけごま」的なもんすかね。

          10年以上前、某公務員事務所にお邪魔したら、共通端末の前に「○○課長のIDとパスワード」という紙が貼ってあったのを思い出した。
          それで管理情報の閲覧と更新をするようなことが書かれた紙も。

          #そういう仕組で世の中回ってるってことで。

          • by Anonymous Coward

            過去上場企業決算ランキング TOP100に名前が乗っていた企業ですら、全社ドメインのDomain AdministratorパスワードがP@ssw0rdだったりするくらい適当なもんだよ。

    • by Anonymous Coward
      「全職員のパスワード一覧」を作った職員を懲戒免職にすればいいと思います
  • by Anonymous Coward on 2018年04月13日 13時39分 (#3392823)

    初期パスワードが天から降ってきて、職員は一切変更せず使い続けるシステムってことかな…やわなパスワードをつけられるよりましってこと?

    ここに返信
    • by Anonymous Coward

      「天から降ってくる」必要はなく、「使用者が最初に適当に決める」んでしょう。
      #その後変更しない(してはいけない?)のは一緒

      • by Anonymous Coward

        全職員のパスワードを何にしたのかいちいち調べるの面倒じゃない?記入間違いとかもあるし。システム側でアカウント作成と同時にパスワードも決定。変更するシステムはなしってことにすれば、全職員のアカウントとパスワードの表があっても不思議じゃないと思うけどな。

        • by Anonymous Coward

          まあ、確かに。

          でも、「使用者が最初に適当に決める」パターンでも一旦作ってしまえば、
          退職者・転出者の削除と新人にPCを与えるときの最初の説明で
          パスワードを決めてもらって表に加えるだけだから運用は難しくないと思う。
          #途中でサボった管理者がいて抜けてたりするともうボロボロだけど(汗)

    • by Anonymous Coward

      そうではなくて、ヒトにリンクしないアカウントで運用されているのだと思います。

      例えば、各課に予め100くらいアカウントを発行 (例えばsoumuka00-soumuka99) しておいて、人事異動の際には「soumuka03の人が異動で転出したので、新しく転入してきた人のアカウントはsoumuka03ね」とか「soumuka34まで使っているので、新しく転入してきた人のアカウントはsoumuka35ね」いう具合。

  • by Anonymous Coward on 2018年04月13日 13時50分 (#3392832)

    故意にやったことだし、軽い処分で済む意味が分からない。

    ここに返信
    • by asap (6830) on 2018年04月14日 12時46分 (#3393382)
      実害が少ないとこの程度じゃないのかな。 裁判になると、勝てないでしょ。 まあ、現実には強力なコネがあったりするかもですが。
    • by Anonymous Coward

      そもそもこれ刑事告発対象じゃないんですかね...

    • by Anonymous Coward

      盗み見たデータがキモだと見た。

      市役所上層部のPCとかには大抵はあるに違いない(偏見)、業務時間内にアレなホームページで集めた各種データが入った秘密のフォルダを見ちゃったとかそういう。
      秘密を守るという交換条件で、厳しい処分どころか、ダミーの軽い処分の後、ほとぼりが冷めてから仕事は無いけど給料が高いポジションへと異例の大出世を見せたりするんだきっと。

      • by Anonymous Coward

        まず間違いなくそうでしょうな
        通常なら懲戒解雇だろ
        市民として納得の行かない処罰

        市民としてはこの幹部の業務中のいかがわしいネット閲覧不正使用も追求して
        税金泥棒としても逮捕もしてもらいたい

        • by Anonymous Coward

          公務員なので解雇ではなく免職です。

        • by Anonymous Coward

          この処分からはお前らのデータを俺らが保存してやってるんだぞ!みたいなのが透けて見えちゃうわ

  • by Anonymous Coward on 2018年04月13日 16時52分 (#3392970)

    「パスワードの変更を強いられる」は公務の運営に支障なんですかね。暗号化されてアクセスできなくなるとかだと支障だとは思うが。

    ここに返信
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...