パスワードを忘れた? アカウント作成
13652008 story
セキュリティ

大阪大学の不正アクセス事件、その後 42

ストーリー by reo
絵に描いた餅 部門より

昨年末に 8 万件余の個人情報漏洩インシデントを発生させた大阪大学だが (2017 年 12 月 14 日のスラド記事参照)、その顛末と後始末 (の一部?) と大阪大学が目指すインシデント対応チーム (Computer Security Incident Response Team: CSIRT) の在り方に関する記事が掲載されている (ITmedia 記事前編, 後編) 。

記事によると「CSIRT は疎まれてしまっては機能しない」「信頼関係重要」「構成員の利益を損ねるようなゴリ押しをしない」「一人 CSIRT よくない」「情報リテラシーが高い人に合わせるな」といった文言が並ぶが、理想論に過ぎず脳内にお花畑が咲いているのではないか、迅速な対応が困難なのではという感がある。

スラドをお読みの諸氏におかれましては今まさに CSIRT として働いている・働かされている方もおられるだろうし、インシデント対応に駆り出された経験がある方も少なくないと思う。やらかした組織の後始末としてこの対応はどう感じられるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 理想的なCSIRTとは (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2018年07月20日 10時07分 (#3446037)

    理想論に過ぎず脳内にお花畑が咲いているのではないか、迅速な対応が困難なのではという感がある。

    記事を読んだ限り、至極真っ当に思えた。
    それよりも「脳内にお花畑が咲いているのではないか」と言いっぷりが低脳なのではという感を得た。

    理想ではあるかもしれないが、理想論にすぎないわけではない。
    CSIRTをその理想に限りなく近くしていくことが重要なのだと考えるよ。

    理想論に過ぎず、現実は一人CSIRTが一般的で~と逆に考えてみると、そのCSIRTが迅速な対応ができるかっていえばそうとも限らないし、迅速な対応ができたとしてもそれが正しい選択かどうかは微妙だ。
    そっちの理想論として一人CSIRTで正しい対応を迅速に行える人材が日本にどれほどいようか。

    • by nnnhhh (47970) on 2018年07月20日 11時16分 (#3446077) 日記

      同意

      ってか大学のセンセ理想かたらなくどーすんのよ
      「この理想通りに回ってるから私は楽なもんですよ」
      とか言ってるならお花畑かもしれないが…

      編集者の疲れが心配になるわ

      親コメント
      • by Anonymous Coward on 2018年07月20日 16時06分 (#3446277)

        >> それよりも「脳内にお花畑が咲いているのではないか」と言いっぷりが低脳なのではという感を得た。
        > 同意

        いや、このストーリーたれこんだ reo 氏が、ITmedia でインタビュー受けているご本人なので、お花畑ってのは自虐ギャグなんですよ。
        (わかりにくい)

        親コメント
        • by nnnhhh (47970) on 2018年07月20日 18時00分 (#3446371) 日記

          おーおー
          それは失礼しました
          難易度高いな~

          親コメント
        • by headless (41064) on 2018年07月22日 23時17分 (#3447278)
          記憶の中のreoくんはフッサフサだったんだけど、脳内で発毛したんだろうか。
          親コメント
        • by Anonymous Coward

          面倒くさいオナニーショウですな。

        • by Anonymous Coward

          一つ上のコメント見て編集者の名前が珍しくheadless氏でも誤字炎上屋でもなくreo氏だってのに驚いてたら、
          まさかのインタビュー対象者本人が自分で編集して掲載してたんかい!

          自虐ギャグだとは全く気づかなかった……
          今AC専門でモデ権ないけど参考になるモデ入れたい気分でいっぱいです。

    • by Anonymous Coward on 2018年07月20日 13時12分 (#3446148)

      読んで思ったのは、「あれ?これTenable.ioって脆弱性スキャナーのステマ記事なんじゃない?どっかにスポンサー広告って入ってない?」ってことでした。人に聞くまで知られていないレベルになってしまったとは、Nessusの知名度もいまや大したことないのかも。

      親コメント
    • by Anonymous Coward

      しかし自分の発した考えが正しいのかどうか不安になる気持ちもわからなくもない。

    • by Anonymous Coward

      「絵に描いた餅」っていうのも目の前にあるカビはえた餅(現物)を指差して言っているようなものだからねぇ。

  • by Anonymous Coward on 2018年07月20日 9時32分 (#3446021)

    そんなことより、技術的原因がどういうものだったのか知りたいのですが、あまり情報がないですね。

    • by reo (4042) on 2018年07月20日 9時56分 (#3446031) 日記

      それはやっぱりなかなか公開できるものではないですよね。情報処理学会の研究会 [nii.ac.jp]でも、予稿では公開情報しか掲載されていないけど、当日の口頭発表ではオフレコなお話があったとかなかったとか。

      --
      Hiroki (REO) Kashiwazaki
      親コメント
      • by Anonymous Coward on 2018年07月20日 10時54分 (#3446062)

        技術的に謎な点
        ・教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか? 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・パスワードだけがキャプチャーで取られるのか。
        ・「管理者IDとパスワードを使って同システムにログインし、利用者情報を不正に持ち出した」とあるのは、どのシステムなのか。Office 365なのか。管理者ログインで利用者情報が窃取されたのは、どんな機能によるものだったのか。
        ・窃取された「利用者情報」には、パスワード、あるいはハッシュ化されたパスワードが含まれていたのか否か。
        ・不正ログインされた一般ユーザは59人だったとのことだが、なぜ全員ではなくこの数にとどまったのか。管理者ログインで摂取されたのがハッシュ化されたパスワードで、オフライン攻撃で復元された数が59人だったということなのか。

        親コメント
        • by Anonymous Coward

          そもそも、不正ログイン被害のアカウント数が本当に59だったのか。どうやって調べたんだろう。本人のアクセスもあるだろうから、区別して調べないといけないよね。

        • by Anonymous Coward

          匿名の臆病者の立場で、よく存じあげもしないのに分かったようなことを口をするご無礼をお許し頂ければ恐縮です。

          > 教育用計算機システムに仕掛けられたという「送受信されるデータをキャプチャーしてパスワードを
          > 解析するタイプの不正プログラム」で窃取されたのは、管理者のID・パスワードだけだったのか
          > 一般ユーザのID・パスワードはそれで取られていないのか。そうだとすると、なぜ管理者のID・
          > パスワードだけがキャプチャーで取られるのか。

          これは大学が発表した 資料 [osaka-u.ac.jp]の

          > 教育用計算機システムに不正ログインされ、システム内部に不正プログラ

        • 噂レベルで持ち上がったのとしては、スニッファが仕掛けられてパスワードが窃取されたとか、管理ツールの中にパスワードがベタ書きされていて窃取されたとかいうのを聞きました。

          どこまで本当かわからんですがなー

  • by Anonymous Coward on 2018年07月20日 9時48分 (#3446029)

    個人攻撃そのまま載せるなよ

  • by Anonymous Coward on 2018年07月20日 10時22分 (#3446049)

    リテラシーが低い人に外部公開サーバーを作らせるなんて自殺行為ですね
    腐っても大学なんだから最低レベルのリテラシーは上げましょうよ
    それが出来ない人には使わせない

    コンプライアンスと同じですね
    その時々の基準で守らなければいけない事は譲ってはいけないと思いますよ

    • 研究室レベルだと公開時には、リテラシーがある学生や助教が立てるものの、
      その人たちが巣立ってしまうと、完全にロストテクノロジーに。

      ログインパスワードを忘れるのは序の口で、サーバの場所すら分からない事態に。
      その研究室で継承すべき知識の優先順位からいうと、サーバに関する知識はかなり
      下位のものなんでしょうね。

      親コメント
      • by Anonymous Coward

        すべての公開サーバーについて、この事件よりもはるか昔から専門業者業者からのチェックを受けています。
        管理者がいなくなったとか、ログインパスワードがわからないとか、そんなサーバーはすぐにIPアドレス剥奪されて、終わりです。

      • by Anonymous Coward

        俺が巣立っていった研究室のサーバは学内のウィルスの感染源になってました><
        よく全学のセキュリティ担当から○○(研究室のサブドメイン)からアタックが頻繁に来るからなんとかしてください
        って苦情が来てるって言われたわw
        大学のトップページも中華に乗っ取られてたりもしたし
        大変申し訳無いです(他人事)

        • by Anonymous Coward

          うちは研究室のサブドメインで不審なパケット通信来たら警告出る前に通信遮断されたけどな
          研究室のゲートウェイサーバのログから問題の端末を探し出したら、
          留学生が使ってるインスタントメッセージソフトがP2Pを使っていたのが原因だった

    • CSIRTって何なのか、何の役目があるのかご存知でしょうか?

      組織において、全ての人がリテラシが高いとお思いでしょうか?
      情報リテラシの高い人に合わせてセキュリティなどが守れるとお考えでしょうか?

      わかりやすい例示をしましょう。
      情報リテラシが高い人はウィルスメールなんて一発で見抜くし、標的型攻撃メールにも慎重に的確に対応できるでしょうから、アンチウィルスやフィルタなんか必要ないですね。
      ですから情報リテラシの高い人に合わせて、セキュリティ製品は一切買わないでおきましょう。
      この組織の情報リテラシが低い人は、サイバー攻撃に耐えられますか?
      その人がサイバー攻撃にやられたとき、組織自身は守れますか?

      そう言う話なんです。

      親コメント
      • 多分、元コメさんのコメント上は、

        この組織の情報リテラシが低い人は、サイバー攻撃に耐えられますか?

        に対しては

        それが出来ない人には使わせない

        が解なのだろうと思います。
        私自身はそれが現実的だとは思いませんが。

        なので、まあ、
        情報リテラシの低い人を排除するとして、それで業務(本件の場合は大学だから研究)の遂行を維持できますか?
        という話ではないかと。

        どこか一点を完璧にしても他にしわ寄せが行って、結果、より根本的な目的(業務、研究の遂行)の達成が困難になるのであれば、それは解決策とは言えませんわな、と思う次第です。

        親コメント
    • by Anonymous Coward

      それ本件と関係あるの? > 「外部公開サーバー」

    • by Anonymous Coward

      フールプルーフってご存知ない?

  • 「大事故」に置き換えたらどう?
    「インシデント」って言葉を使った時点で、大半の人たちは「また意味不明な英語だよ、難しそうだからお前に任せるわ」って投げやりになると思う。

    • by Anonymous Coward

      リンク記事見る限り実際に漏洩してるみたいだけど、にもかかわらず
      「8 万件余の個人情報漏洩インシデントを発生させた」
      とか書いてる人がセキュリティの対策してるんだったら、それ自体が重大インシデントだよなあ・・・

      • この場合、「インシデント(出来事)」ではなく「アクシデント(事件)」と呼ぶべきではなかろうか。「〇〇の乱」と「変」みたいに。

        ...と思ってたけど、医療分野等では分けてるけど情報セキュリティ分野では分けてないらしい

        医療: インシデントの意味とアクシデントとの違い [resilient-medical.com]

        事件(ミス)があったが事故に至らなかった場合がインシデントであり、事件(ミス)が事故に至った場合がアクシデントということです。

        Wikipedia:インシデント [wikipedia.org]

        情報セキュリティの分野では潜在的事例だけでなく、セキュリティへの侵害など実際に事故に至ってしまった事態も指す。

        CSIRT ガイド [jpcert.or.jp](pdf)

        1.1 インシデントと CSIRT

        「インシデント (incident)」とは、一般的に「重大な事故に至る可能性がある出来事」を意
        味し、「アクシデント (accident: 偶発事故)」や「ハプニング (happening: 出来事)」とは区
        別されます。また情報セキュリティにおいては、「不正アクセス」と同義に使われることも
        ありますが、厳密には「不正アクセス」は「インシデント」の 1 つに過ぎません。情報セ
        キュリティにおける「インシデント」とは、コンピュータウイルスやサービス運用妨害攻
        撃、情報漏えいなど、IT システムの正常な運用または利用を阻害する (実害のある) 事象だ
        けでなく、そのような事象に繋がる可能性のある (まだ実害のない) 弱点探索 (プローブ、
        スキャン) なども含まれます

        親コメント
      • by Anonymous Coward

        失敗をした人は一番といわないまでも失敗した原因を分析しやすい位置にいる人だと思うのですけど、その人に予算と権限を与えて対策させるのは間違っているのでしょうか

  • by Anonymous Coward on 2018年07月20日 13時21分 (#3446154)

    完全にオフトピで恐縮ですが。

    脳内にお花畑が咲いている

    こう言う表現使う人たまにいますけど、お花畑って「咲く」のですかね?
    「頭痛が痛い」、に通ずるものを感じます。
    (或いは敢えてそういう表現を用いている?)

    # ちなみに私は、「脳みそ沸いてんじゃねーの?」を使う人です。

    • by Anonymous Coward

      確かに、正しく(?)は「頭の中がお花畑の人」とかそんな感じのような気もするが
      なんかほかの表現と混ざったのかなぁとは思うがよくわからん

      • by Anonymous Coward

        「電信柱に花が咲く」じゃね?(多分違う)

    • by Anonymous Coward

      脳みそ涌いてるも、頭(脳みそ)に蛆が涌いてるの蛆が省略されてるが

      まあ、重度の熱中症で頭がやられることはあるから頭が沸いても間違いとも言えない

  • by Anonymous Coward on 2018年07月21日 17時20分 (#3446834)

    企業でセキュリティ以外の仕事をしていますが、傍から見て CSIRT の方は大変そうだなと思います。

    そもそも脆弱性がある認識が欠如している方が多いので、スキャナーで可視化したのは良いと思います。その上で、脆弱性を放置している方には、共同研究者などの信用を失うリスクを引き受ける覚悟があるのか、少し厳しく聞いても良いのではと思います。

    産総研のほうも最近資料が公開されましたが、あちらは研究者の不満の声も聞こえてきたくらい、厳しい態度で臨んだ雰囲気を感じます。どういう対応が良いのか私にもわかりませんが、産総研のほうが資料の読みごたえはありました。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...