産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 24
ストーリー by hylom
ただしSMSはダメだ 部門より
ただしSMSはダメだ 部門より
今年2月、産業技術総合研究所(産総研)に対する不正アクセスが発覚した(過去記事)。この事件に対する調査結果をまとめた報告書が、7月20日付けで公開されている。これをITmediaがまとめているのだが、これによると産総研への不正アクセスは複数の段階に分けて行われており、最初の不正アクセスは安易なパスワードを使っていたことが原因で行われたという。
最初に行われたのはメールシステムへの不正ログインで、これには安易なパスワードを設定していたアカウントが狙われ、パスワードが推測されてログインを許したそうだ。その後、このアカウントを使って職員のユーザーIDを入手し、続いてこのユーザーIDを使ってほかのシステムへのログインが試みられ、不正侵入を許すことになったそうだ。ただ、VPNに関してははワンタイムパスワードを使った2要素認証を使っていたために侵入されることはなかったという。そのため、ITmediaの記事では2要素認証がセキュリティ強化に重要だとしている。
この報告書の面白いところ (スコア:2, 興味深い)
1, 要約と本文の原因が違う印象を持ってしまうな
2, クラッカー側の労働環境がめっちゃホワイト、残業ないっぽい(当然か?)
>月曜から金曜の 16 時半頃から深夜 2 時頃
3, これ見切り発車やん
>主要な業務システムは 2018 年 3 月 28 日までに、インターネット接続は同年 4 月 1 日までに再開した。
4, 外部委託業者がすごいザル、速攻入られとるで
>ログイン用のパスワードが安易なものであったこと
5, こういうのルール策定前に考える事じゃない?すげーわ
>委託先の選定においては、最低落札価格方式の競争入札を行っているため、委託先の情報セキュリティ対策や能力等を十分に評価できるものになっていなかった。