産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 24
ストーリー by hylom
ただしSMSはダメだ 部門より
ただしSMSはダメだ 部門より
今年2月、産業技術総合研究所(産総研)に対する不正アクセスが発覚した(過去記事)。この事件に対する調査結果をまとめた報告書が、7月20日付けで公開されている。これをITmediaがまとめているのだが、これによると産総研への不正アクセスは複数の段階に分けて行われており、最初の不正アクセスは安易なパスワードを使っていたことが原因で行われたという。
最初に行われたのはメールシステムへの不正ログインで、これには安易なパスワードを設定していたアカウントが狙われ、パスワードが推測されてログインを許したそうだ。その後、このアカウントを使って職員のユーザーIDを入手し、続いてこのユーザーIDを使ってほかのシステムへのログインが試みられ、不正侵入を許すことになったそうだ。ただ、VPNに関してははワンタイムパスワードを使った2要素認証を使っていたために侵入されることはなかったという。そのため、ITmediaの記事では2要素認証がセキュリティ強化に重要だとしている。
この報告書の面白いところ (スコア:2, 興味深い)
1, 要約と本文の原因が違う印象を持ってしまうな
2, クラッカー側の労働環境がめっちゃホワイト、残業ないっぽい(当然か?)
>月曜から金曜の 16 時半頃から深夜 2 時頃
3, これ見切り発車やん
>主要な業務システムは 2018 年 3 月 28 日までに、インターネット接続は同年 4 月 1 日までに再開した。
4, 外部委託業者がすごいザル、速攻入られとるで
>ログイン用のパスワードが安易なものであったこと
5, こういうのルール策定前に考える事じゃない?すげーわ
>委託先の選定においては、最低落札価格方式の競争入札を行っているため、委託先の情報セキュリティ対策や能力等を十分に評価できるものになっていなかった。
パスワードの定期的変更 (スコア:1)
https://www.aist.go.jp/aist_j/news/announce/au20180720.html [aist.go.jp]
ワロタ
Re: (スコア:0)
未来の記事だ (スコア:0)
18時25分なのに、28分の記事を読んでいる。
Re:未来の記事だ (スコア:1)
IDだと公開日ちょっとまえのものもよめる
ただしコメントするのも設定されている時間の前だとIDでしかできないってしくみ
Re: (スコア:0)
おお、そうだったんですね。ありがとうございます。
そら、そうやろ (スコア:0)
めんどくささとのコストの差を示してくれ
2要素認証がというよりも (スコア:0)
・安易なパスワードを設定
・パスワードの使いまわし
というのが悪すぎるだけだね
#ランダムな文字列を自動生成してそれをパスワードとして強要するだけでほとんどの侵入は防げる
Re:2要素認証がというよりも (スコア:1)
パスワードチェッカーと称する詐欺ソフトに引っかかっただけじゃねぇの
Re:2要素認証がというよりも (スコア:1)
2要素認証がというよりも
・安易なパスワードを設定
・パスワードの使いまわし
というのが悪すぎるだけだね
・安易なパスワードを設定
・パスワードの使いまわし
の排除が徹底できないから2要素認証を、という話じゃないかな。
Re: (スコア:0)
ユーザー任せにしたらそりゃ徹底できるわけないよな。管理者って本当に頭悪いのしかいないw
Re: (スコア:0)
ただし、パスワードを記載したメモ書きをPCに貼っつけて運用する人たちが続出する可能性がある・・・
俺の場合は仕方ないから、プライベートスマホにパスワードメモってるわ
一応、何のパスワードかわからないように付属の情報は書かないようにしてるがね
Re: (スコア:0)
パスワードを記載したメモ書きをPCに貼っつけて
普通の入退室管理をしているオフィスなら、これをある程度黙殺してパスワード複雑化&使い回し禁止を守る方がかなり安全だと思う。
見えないリスクよりも見えるリスクの方がマシってことも。
Re: (スコア:0)
同僚のディスいプレイのベゼル部のあちこちに、にびっしりとパスワードが書き込まれている。
過去のものを消さないので数十のパスワードが書かれていて、現行がどれかは本人しかわからない。
Re: (スコア:0)
なぜか売店で付箋が売れる
2要素認証 (スコア:0)
つい先日redditが突破されたばっかりだけど
http://www.itmedia.co.jp/enterprise/articles/1808/02/news056.html [itmedia.co.jp]
Re:2要素認証 (スコア:3, 興味深い)
今回の事例の場合はワンタイムパスワード生成にはトークンを使用しています。
radditの場合は認証とワンタイムパスワードの発行にSMSを使用しています。
突破されたのはSMS側で、ワンタイムパスワード自体の有効性は疑問視されていません。
Re:2要素認証 (スコア:1)
それだったら結論は「2要素認証はやはり効果的」ではなく「ワンタイムパスワードはやはり効果的」であるべきだよねえ。
Re: (スコア:0)
すぐ下のストーリーも読んであげてください
Re: (スコア:0)
日本以外だとSMSは脆弱だからねえ
映画で見たやつ (スコア:0)
2要素認証ってあれだよね、制御卓の両端に鍵穴があって、せーの、で同時に回さないとダメなやつ
# 最近の映画では見かけないなそういや
Re: (スコア:0)
工場にもありますよ。2つのボタンを同時に押すと動くプレス機とか
Re: (スコア:0)
あれは「スーパーマン3」で攻略法が大々的に世界中に公開されたので、以降使われなくなりました。
ところで (スコア:0)
不正なアクセスにより、
① 未公表の研究情報 120 件
② 共同研究契約等に関する情報 約 200 件
③ 個人情報を含む文書 約 4700 件
④ 全職員の氏名・所属
⑤ 143 アカウント分の電子メール及び添付文書
とありますが、どのような内容だったんでしょうね。