大阪大学の不正アクセス事件、その後 42
ストーリー by reo
絵に描いた餅 部門より
絵に描いた餅 部門より
昨年末に 8 万件余の個人情報漏洩インシデントを発生させた大阪大学だが (2017 年 12 月 14 日のスラド記事参照)、その顛末と後始末 (の一部?) と大阪大学が目指すインシデント対応チーム (Computer Security Incident Response Team: CSIRT) の在り方に関する記事が掲載されている (ITmedia 記事前編, 後編) 。
記事によると「CSIRT は疎まれてしまっては機能しない」「信頼関係重要」「構成員の利益を損ねるようなゴリ押しをしない」「一人 CSIRT よくない」「情報リテラシーが高い人に合わせるな」といった文言が並ぶが、理想論に過ぎず脳内にお花畑が咲いているのではないか、迅速な対応が困難なのではという感がある。
スラドをお読みの諸氏におかれましては今まさに CSIRT として働いている・働かされている方もおられるだろうし、インシデント対応に駆り出された経験がある方も少なくないと思う。やらかした組織の後始末としてこの対応はどう感じられるだろうか。
理想的なCSIRTとは (スコア:5, すばらしい洞察)
記事を読んだ限り、至極真っ当に思えた。
それよりも「脳内にお花畑が咲いているのではないか」と言いっぷりが低脳なのではという感を得た。
理想ではあるかもしれないが、理想論にすぎないわけではない。
CSIRTをその理想に限りなく近くしていくことが重要なのだと考えるよ。
理想論に過ぎず、現実は一人CSIRTが一般的で~と逆に考えてみると、そのCSIRTが迅速な対応ができるかっていえばそうとも限らないし、迅速な対応ができたとしてもそれが正しい選択かどうかは微妙だ。
そっちの理想論として一人CSIRTで正しい対応を迅速に行える人材が日本にどれほどいようか。
Re:理想的なCSIRTとは (スコア:2)
同意
ってか大学のセンセ理想かたらなくどーすんのよ
「この理想通りに回ってるから私は楽なもんですよ」
とか言ってるならお花畑かもしれないが…
編集者の疲れが心配になるわ
Re:理想的なCSIRTとは (スコア:2, 参考になる)
>> それよりも「脳内にお花畑が咲いているのではないか」と言いっぷりが低脳なのではという感を得た。
> 同意
いや、このストーリーたれこんだ reo 氏が、ITmedia でインタビュー受けているご本人なので、お花畑ってのは自虐ギャグなんですよ。
(わかりにくい)
Re:理想的なCSIRTとは (スコア:2)
おーおー
それは失礼しました
難易度高いな~
Re:理想的なCSIRTとは (スコア:1)
Re: (スコア:0)
面倒くさいオナニーショウですな。
Re: (スコア:0)
一つ上のコメント見て編集者の名前が珍しくheadless氏でも誤字炎上屋でもなくreo氏だってのに驚いてたら、
まさかのインタビュー対象者本人が自分で編集して掲載してたんかい!
自虐ギャグだとは全く気づかなかった……
今AC専門でモデ権ないけど参考になるモデ入れたい気分でいっぱいです。
Re:理想的なCSIRTとは (スコア:2, 興味深い)
読んで思ったのは、「あれ?これTenable.ioって脆弱性スキャナーのステマ記事なんじゃない?どっかにスポンサー広告って入ってない?」ってことでした。人に聞くまで知られていないレベルになってしまったとは、Nessusの知名度もいまや大したことないのかも。
Re: (スコア:0)
しかし自分の発した考えが正しいのかどうか不安になる気持ちもわからなくもない。
Re: (スコア:0)
「絵に描いた餅」っていうのも目の前にあるカビはえた餅(現物)を指差して言っているようなものだからねぇ。
自己紹介、乙です。 (スコア:1)
そんなことより、技術的原因がどういうものだったのか知りたいのですが、あまり情報がないですね。
Re:自己紹介、乙です。 (スコア:1)
それはやっぱりなかなか公開できるものではないですよね。情報処理学会の研究会 [nii.ac.jp]でも、予稿では公開情報しか掲載されていないけど、当日の口頭発表ではオフレコなお話があったとかなかったとか。
Hiroki (REO) Kashiwazaki
Re:自己紹介、乙です。 (スコア:2, 興味深い)
技術的に謎な点
・教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか? 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・パスワードだけがキャプチャーで取られるのか。
・「管理者IDとパスワードを使って同システムにログインし、利用者情報を不正に持ち出した」とあるのは、どのシステムなのか。Office 365なのか。管理者ログインで利用者情報が窃取されたのは、どんな機能によるものだったのか。
・窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。
・不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。
Re: (スコア:0)
そもそも、不正ログイン被害のアカウント数が本当に59だったのか。どうやって調べたんだろう。本人のアクセスもあるだろうから、区別して調べないといけないよね。
Re: (スコア:0)
匿名の臆病者の立場で、よく存じあげもしないのに分かったようなことを口をするご無礼をお許し頂ければ恐縮です。
> 教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを
> 解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか
> 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・
> パスワードだけがキャプチャーで取られるのか。
これは大学が発表した 資料 [osaka-u.ac.jp]の
> 教育用計算機システムに不正ログインされ、システム内部に不正プログラ
確認しようのないデマですが (スコア:0)
噂レベルで持ち上がったのとしては、スニッファが仕掛けられてパスワードが窃取されたとか、管理ツールの中にパスワードがベタ書きされていて窃取されたとかいうのを聞きました。
どこまで本当かわからんですがなー
少しは編集しようよ (スコア:0)
個人攻撃そのまま載せるなよ
Re:少しは編集しようよ (スコア:5, すばらしい洞察)
ご本人の自己批判ですから…
Re:少しは編集しようよ (スコア:3, 参考になる)
他のコメントでも誤解されている方がいるようなので、念のため。
リンク先の記事に出てくるちょっとイカツいお兄さんが reo たんなんだよ。
Re:少しは編集しようよ (スコア:2)
かなり久しぶりにreo編集による記事だと思ったら、なんとご自身の話題なのですね。
Re: (スコア:0)
スラドに限った話じゃないけど、上から目線で自信満々な言い方というだけで高評価を得やすい。
わかっている人ほど、そういう言い方は避けるものだけど。
Re:少しは編集しようよ (スコア:1)
じゃあ貴方はわかってないってことですかね。
情報リテラシーが高い人に合わせるな は無いですね (スコア:0)
リテラシーが低い人に外部公開サーバーを作らせるなんて自殺行為ですね
腐っても大学なんだから最低レベルのリテラシーは上げましょうよ
それが出来ない人には使わせない
コンプライアンスと同じですね
その時々の基準で守らなければいけない事は譲ってはいけないと思いますよ
Re:情報リテラシーが高い人に合わせるな は無いですね (スコア:2)
研究室レベルだと公開時には、リテラシーがある学生や助教が立てるものの、
その人たちが巣立ってしまうと、完全にロストテクノロジーに。
ログインパスワードを忘れるのは序の口で、サーバの場所すら分からない事態に。
その研究室で継承すべき知識の優先順位からいうと、サーバに関する知識はかなり
下位のものなんでしょうね。
Re: (スコア:0)
すべての公開サーバーについて、この事件よりもはるか昔から専門業者業者からのチェックを受けています。
管理者がいなくなったとか、ログインパスワードがわからないとか、そんなサーバーはすぐにIPアドレス剥奪されて、終わりです。
Re: (スコア:0)
俺が巣立っていった研究室のサーバは学内のウィルスの感染源になってました><
よく全学のセキュリティ担当から○○(研究室のサブドメイン)からアタックが頻繁に来るからなんとかしてください
って苦情が来てるって言われたわw
大学のトップページも中華に乗っ取られてたりもしたし
大変申し訳無いです(他人事)
Re: (スコア:0)
うちは研究室のサブドメインで不審なパケット通信来たら警告出る前に通信遮断されたけどな
研究室のゲートウェイサーバのログから問題の端末を探し出したら、
留学生が使ってるインスタントメッセージソフトがP2Pを使っていたのが原因だった
Re:情報リテラシーが高い人に合わせるな は無いですね (スコア:1)
CSIRTって何なのか、何の役目があるのかご存知でしょうか?
組織において、全ての人がリテラシが高いとお思いでしょうか?
情報リテラシの高い人に合わせてセキュリティなどが守れるとお考えでしょうか?
わかりやすい例示をしましょう。
情報リテラシが高い人はウィルスメールなんて一発で見抜くし、標的型攻撃メールにも慎重に的確に対応できるでしょうから、アンチウィルスやフィルタなんか必要ないですね。
ですから情報リテラシの高い人に合わせて、セキュリティ製品は一切買わないでおきましょう。
この組織の情報リテラシが低い人は、サイバー攻撃に耐えられますか?
その人がサイバー攻撃にやられたとき、組織自身は守れますか?
そう言う話なんです。
Re:情報リテラシーが高い人に合わせるな は無いですね (スコア:1)
多分、元コメさんのコメント上は、
この組織の情報リテラシが低い人は、サイバー攻撃に耐えられますか?
に対しては
それが出来ない人には使わせない
が解なのだろうと思います。
私自身はそれが現実的だとは思いませんが。
なので、まあ、
情報リテラシの低い人を排除するとして、それで業務(本件の場合は大学だから研究)の遂行を維持できますか?
という話ではないかと。
どこか一点を完璧にしても他にしわ寄せが行って、結果、より根本的な目的(業務、研究の遂行)の達成が困難になるのであれば、それは解決策とは言えませんわな、と思う次第です。
Re: (スコア:0)
それ本件と関係あるの? > 「外部公開サーバー」
Re: (スコア:0)
フールプルーフってご存知ない?
まず「インシデント」という言葉を使って緊急性を和らげるのをやめましょう (スコア:0)
「大事故」に置き換えたらどう?
「インシデント」って言葉を使った時点で、大半の人たちは「また意味不明な英語だよ、難しそうだからお前に任せるわ」って投げやりになると思う。
Re: (スコア:0)
リンク記事見る限り実際に漏洩してるみたいだけど、にもかかわらず
「8 万件余の個人情報漏洩インシデントを発生させた」
とか書いてる人がセキュリティの対策してるんだったら、それ自体が重大インシデントだよなあ・・・
Re:まず「インシデント」という言葉を使って緊急性を和らげるのをやめましょう (スコア:1)
この場合、「インシデント(出来事)」ではなく「アクシデント(事件)」と呼ぶべきではなかろうか。「〇〇の乱」と「変」みたいに。
...と思ってたけど、医療分野等では分けてるけど情報セキュリティ分野では分けてないらしい
医療: インシデントの意味とアクシデントとの違い [resilient-medical.com]
Wikipedia:インシデント [wikipedia.org]
CSIRT ガイド [jpcert.or.jp](pdf)
Re: (スコア:0)
失敗をした人は一番といわないまでも失敗した原因を分析しやすい位置にいる人だと思うのですけど、その人に予算と権限を与えて対策させるのは間違っているのでしょうか
花畑は咲くのか? (スコア:0)
完全にオフトピで恐縮ですが。
脳内にお花畑が咲いている
こう言う表現使う人たまにいますけど、お花畑って「咲く」のですかね?
「頭痛が痛い」、に通ずるものを感じます。
(或いは敢えてそういう表現を用いている?)
# ちなみに私は、「脳みそ沸いてんじゃねーの?」を使う人です。
Re: (スコア:0)
確かに、正しく(?)は「頭の中がお花畑の人」とかそんな感じのような気もするが
なんかほかの表現と混ざったのかなぁとは思うがよくわからん
Re: (スコア:0)
「電信柱に花が咲く」じゃね?(多分違う)
Re: (スコア:0)
脳みそ涌いてるも、頭(脳みそ)に蛆が涌いてるの蛆が省略されてるが
まあ、重度の熱中症で頭がやられることはあるから頭が沸いても間違いとも言えない
厳しい態度も必要なのでは (スコア:0)
企業でセキュリティ以外の仕事をしていますが、傍から見て CSIRT の方は大変そうだなと思います。
そもそも脆弱性がある認識が欠如している方が多いので、スキャナーで可視化したのは良いと思います。その上で、脆弱性を放置している方には、共同研究者などの信用を失うリスクを引き受ける覚悟があるのか、少し厳しく聞いても良いのではと思います。
産総研のほうも最近資料が公開されましたが、あちらは研究者の不満の声も聞こえてきたくらい、厳しい態度で臨んだ雰囲気を感じます。どういう対応が良いのか私にもわかりませんが、産総研のほうが資料の読みごたえはありました。
Re: (スコア:0)
夏休みの幕開けかぁ~