パスワードを忘れた? アカウント作成
13667984 story
セキュリティ

産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 24

ストーリー by hylom
ただしSMSはダメだ 部門より

今年2月、産業技術総合研究所(産総研)に対する不正アクセスが発覚した(過去記事)。この事件に対する調査結果をまとめた報告書が、7月20日付けで公開されている。これをITmediaがまとめているのだが、これによると産総研への不正アクセスは複数の段階に分けて行われており、最初の不正アクセスは安易なパスワードを使っていたことが原因で行われたという。

最初に行われたのはメールシステムへの不正ログインで、これには安易なパスワードを設定していたアカウントが狙われ、パスワードが推測されてログインを許したそうだ。その後、このアカウントを使って職員のユーザーIDを入手し、続いてこのユーザーIDを使ってほかのシステムへのログインが試みられ、不正侵入を許すことになったそうだ。ただ、VPNに関してははワンタイムパスワードを使った2要素認証を使っていたために侵入されることはなかったという。そのため、ITmediaの記事では2要素認証がセキュリティ強化に重要だとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年08月03日 21時39分 (#3455024)

    1, 要約と本文の原因が違う印象を持ってしまうな

    2, クラッカー側の労働環境がめっちゃホワイト、残業ないっぽい(当然か?)
    >月曜から金曜の 16 時半頃から深夜 2 時頃

    3, これ見切り発車やん
    >主要な業務システムは 2018 年 3 月 28 日までに、インターネット接続は同年 4 月 1 日までに再開した。

    4, 外部委託業者がすごいザル、速攻入られとるで
    >ログイン用のパスワードが安易なものであったこと

    5, こういうのルール策定前に考える事じゃない?すげーわ
    >委託先の選定においては、最低落札価格方式の競争入札を行っているため、委託先の情報セキュリティ対策や能力等を十分に評価できるものになっていなかった。

  • by Anonymous Coward on 2018年08月03日 19時29分 (#3454934)

    https://www.aist.go.jp/aist_j/news/announce/au20180720.html [aist.go.jp]

    このことから、パスワードの定期変更を強制しても、こうした弱いパスワードを設定する一部の職員(全体の1%程度に当たる)は、定期的に弱いパスワードに変更し続けていたものと推定される。

    ワロタ

    • by Anonymous Coward
      鯖管だが、セキュリティが厳しい企業に限って「ワンタイムパスワード生成用のアプリは 導入できないルールなので無効化してくれ」と言ってくるな。
  • by smoking salmon (31679) on 2018年08月03日 18時26分 (#3454873)

    18時25分なのに、28分の記事を読んでいる。

  • by Anonymous Coward on 2018年08月03日 18時59分 (#3454902)

    めんどくささとのコストの差を示してくれ

  • by Anonymous Coward on 2018年08月03日 19時03分 (#3454906)

    ・安易なパスワードを設定
    ・パスワードの使いまわし
    というのが悪すぎるだけだね

    #ランダムな文字列を自動生成してそれをパスワードとして強要するだけでほとんどの侵入は防げる

    • by Anonymous Coward on 2018年08月03日 19時16分 (#3454924)
      > パスワードの強度チェッカーを導入したが、キーボード配列をなぞっただけのようなパスワードを排除するようなものではなかった。
      パスワードチェッカーと称する詐欺ソフトに引っかかっただけじゃねぇの
      親コメント
    • by Anonymous Coward on 2018年08月03日 20時27分 (#3454982)

      2要素認証がというよりも
      ・安易なパスワードを設定
      ・パスワードの使いまわし
      というのが悪すぎるだけだね

      ・安易なパスワードを設定
      ・パスワードの使いまわし
      の排除が徹底できないから2要素認証を、という話じゃないかな。

      親コメント
      • by Anonymous Coward

        ユーザー任せにしたらそりゃ徹底できるわけないよな。管理者って本当に頭悪いのしかいないw

    • by Anonymous Coward

      ただし、パスワードを記載したメモ書きをPCに貼っつけて運用する人たちが続出する可能性がある・・・
      俺の場合は仕方ないから、プライベートスマホにパスワードメモってるわ
      一応、何のパスワードかわからないように付属の情報は書かないようにしてるがね

      • by Anonymous Coward

        パスワードを記載したメモ書きをPCに貼っつけて

        普通の入退室管理をしているオフィスなら、これをある程度黙殺してパスワード複雑化&使い回し禁止を守る方がかなり安全だと思う。
        見えないリスクよりも見えるリスクの方がマシってことも。

      • by Anonymous Coward

        同僚のディスいプレイのベゼル部のあちこちに、にびっしりとパスワードが書き込まれている。
        過去のものを消さないので数十のパスワードが書かれていて、現行がどれかは本人しかわからない。

    • by Anonymous Coward

      なぜか売店で付箋が売れる

  • by Anonymous Coward on 2018年08月03日 20時10分 (#3454974)

    つい先日redditが突破されたばっかりだけど
    http://www.itmedia.co.jp/enterprise/articles/1808/02/news056.html [itmedia.co.jp]

    • Re:2要素認証 (スコア:3, 興味深い)

      by Anonymous Coward on 2018年08月03日 20時26分 (#3454981)

      今回の事例の場合はワンタイムパスワード生成にはトークンを使用しています。
      radditの場合は認証とワンタイムパスワードの発行にSMSを使用しています。
      突破されたのはSMS側で、ワンタイムパスワード自体の有効性は疑問視されていません。

      親コメント
      • by Anonymous Coward on 2018年08月04日 3時16分 (#3455112)

        それだったら結論は「2要素認証はやはり効果的」ではなく「ワンタイムパスワードはやはり効果的」であるべきだよねえ。

        親コメント
    • by Anonymous Coward

      すぐ下のストーリーも読んであげてください

    • by Anonymous Coward

      日本以外だとSMSは脆弱だからねえ

  • by Anonymous Coward on 2018年08月04日 0時21分 (#3455080)

    2要素認証ってあれだよね、制御卓の両端に鍵穴があって、せーの、で同時に回さないとダメなやつ

    # 最近の映画では見かけないなそういや

    • by Anonymous Coward

      工場にもありますよ。2つのボタンを同時に押すと動くプレス機とか

    • by Anonymous Coward

      あれは「スーパーマン3」で攻略法が大々的に世界中に公開されたので、以降使われなくなりました。

  • by Anonymous Coward on 2018年08月04日 3時50分 (#3455116)

    不正なアクセスにより、
    ① 未公表の研究情報 120 件
    ② 共同研究契約等に関する情報 約 200 件
    ③ 個人情報を含む文書 約 4700 件
    ④ 全職員の氏名・所属
    ⑤ 143 アカウント分の電子メール及び添付文書

    とありますが、どのような内容だったんでしょうね。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...