前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 69
ストーリー by hylom
強気だな 部門より
強気だな 部門より
2018年3月に群馬県前橋市教育委員会のサーバーに不正アクセスが行われ、児童生徒など約4万7000人の個人情報が流出する事件があった(過去記事)。これを受けて前橋市教委はサーバーの設計や構築、保守管理の委託先であるNTT東日本に対し損害賠償を請求する方針だったが(過去記事)、NTT東側は責任を認めず、支払いを拒否しているそうだ。そのため、前橋市教委は約1億7700万円の損害賠償支払いを求めてNTT東を提訴する方針だという(上毛新聞、ITmedia)。
第三者による調査委員会の調査では、問題のサーバーについて外部からのアクセス制限やセキュリティアップデートを適切に行っていなかったと指摘されていた。しかし、NTT東側は前橋市教委による請求に対し、「当社が責任を負うものではなく、市の請求は理由がない」として応じていなかった。
報告書が読める (スコア:1)
ITmediaの記事から報告書がリンクしてあるが、この内容通りの話なら、
どこにでもありそうとはいえ、随分ひどい話だわ…。
Re:報告書が読める (スコア:4, 参考になる)
読んだけど肝心の不正アクセスされた公開サーバの運用(バージョンアップ・パッチ適用等)はNTT東日本に委託していなかった上で放置された。
(3) セキュリティの重要性認識不足
教育資料公開サーバの管理は,市教委の中前橋市総合教育プラザという組織であり,データセンター移管業務の中では,同サーバの移管はサーバだけをデータセンターに物理的に移設するだけで,委託事業者による運用などはないという認識で進められた。しかし,この認識は同サーバの管理者 に十分周知されていなかったことから,管理者に同サーバにつきバージョンアップが必要という認識はなく,結果的に移設後は,追加,変更や確認は行われなかった。このような状況のまま同サーバが放置された結果,同サーバは脆弱性の問題を多く抱えたままで運用され,その脆弱性が利用されてバックドアが作られた。
また,MENET内の端末やファイル共有サーバには,本件での原因に限らず,以前から複数のウイルスが存在し,ウイルス対策ソフトで検知されたものもあった 。異常に気が付いた利用者からの連絡によってMENETヘルプデスクで対処されたこともあるが,検知されたことをシステム的にMENET関係者 に通知し,組織的に対処することは行われていなかった。
本事案の 攻撃者が持ち込んだ不正ツールが,ウイルス対策ソフトで検知された痕跡もあり,もし これに適切に対処できていれば,個人情報の流出の可能性は低かった。
これらは日常のセキュリティ意識の低さを露呈するものである。
DMZのFWの設定が甘かったのは問題だけど、NTT東日本だけを責めるのはおかしいな。
Re: (スコア:0)
「ウチを責めるのはおかしい」と主張しているのは
NTT東日本だけなのではないでしょうか。
Re: (スコア:0)
市教委「んんー?なんのことかなフフフ…」
そもそも論 (スコア:0)
リンク先の過去記事
> 教委側は損害額を約1億6500万円と算定している。
> これは「この問題の対応費用」約1億円に加えて、
> ネットワークの再構築費など約5000万円、
> それに諸経費を加えたものだという。
それ以前にまず、
> 児童生徒など約4万7000人の個人情報が流出
に対する補償をするのが筋なんじゃないか。
#一人500円で2350万円? 対応費用の内?
同じ過去記事に
> お、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、
> 流出したという証拠となるものは現在のところないようだ。
とあるな。
Re: (スコア:0)
そういうこともひっくるめて、NTT東が「うちに責任はない」と言ってるってことでは。
Re:そもそも論 (スコア:3)
これだけの記事だとわからないため単なる推定ですが,内部ネットワークやその機器はNTT東の管理でなくて,
NTT東管理の公開サーバーやファイアウォールがだめでも,内部ネットワークのマシンがきちんとしていれば,
流出することはなかったということでしょうか。
だから公開サーバの直接的な損失以外の補償は必要ないと。
Re: (スコア:0)
前橋市は問題のサーバーの保守管理はNTT東が請け負っていたという。
NTT東は責任範囲外という。
矛盾してるよな。
こういう場合は大抵契約無視でごねてるものだけど、さあどっちでせう。
Re:そもそも論 (スコア:3)
報告書が
https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]
にありますが,これでもわからないです。
踏み台になったことは確かみたいですが,流失したデータを保存したサーバはどこが管理していたかです。
あと
市の情報政策課は,情報セキュリティの監査の中で,人的セキュリテ
ィ(USB,パスワードなど)に関する監査については市教委を含めて実
施していた。しかし,技術的セキュリティに関する監査は,行政ネット
ワークについては順次実施していたが,MENET については実施してい
なかった。また,市教委は,自身が行う MENET についての自己点検を
実施していなかった。
とも書いてあります。
Re:そもそも論 (スコア:1)
かな。ただ東京地裁H23(ワ)32060号などを考え合わせると NTT東側の脇の甘さが目につくように思われますけど。
Re: (スコア:0)
報告書ではバックドアが仕込まれた『教育資料公開サーバの管理は,市教委の中の前橋市総合教育プラザ』と書かれています。
データを保存したサーバは内部のファイルサーバで、ドメインコントローラに管理者アカウントで接続した、とあるので、公開サーバに仕込んだツールでIDとPWを抜いたんですかね?
DMZから内部に接続できる設定のFWを納品したNTTも致命的ではあるけど、意思伝達漏れで公開サーバを管理者不在にして放置した前橋市総合教育プラザもなんらかの過失は問われるべきかと。
Re: (スコア:0)
ドメインのメンバーのPC、サーバーは自閉が出来ない
(ドメインサーバーの予期しないタイミングのアクセスに
全て答えないと、ドメインネットワークでなくなる。)
のでは?
Re: (スコア:0)
RODCがいればそのメンバ自体がネットワーク境界を超える必要はないね。
Re: (スコア:0)
RODCは、DC自身のセキュリティーを高める
(ROなので、施錠されていない所に置いてもOK)為のみで、
やはり自閉出来る訳では無く、ROで無いDCとの通信は
必要で、そのポートを利用してDomain Adminsがリモートで
各PC、サーバーにサインイン出来るのでは?
Re: (スコア:0)
「流失したデータ」ってかなり深刻な被害ですね。
Re: (スコア:0)
命題①前橋市の主張は、問題のサーバーの「保守管理」はNTT東が請け負っていた
命題②NTT東の主張は、「外部からのアクセス制限やセキュリティアップデートを適切に行っていなかった」のは責任の範囲外
NTT東の主張は、請け負った保守管理契約において
「外部からのアクセス制限やセキュリティアップデートを適切に行う」は瑕疵責任に含まれない
であり、言うほど矛盾しているかね?
Re: (スコア:0)
例えばハードウェアの故障に関する保守契約だけを結んでるなんてよくある話だよね。
それなのに特定のソフトが動かないと電話かけてくる客も良くある話。
Re: (スコア:0)
光の実効性能とか値上げ仕放題とか碌な組織じゃないですね
Re:そもそも論 (スコア:1)
今、気が付きました?
Re: (スコア:0)
元々金で片付く問題じゃないからなあ…
補償の意識は必要なんだが、営利企業が利用者にごめんなさい料包むのはまだしも、自治体が市民に金を撒くのは不毛な印象があるな。
Re:そもそも論 (スコア:1)
> 自治体が市民に金を撒くのは不毛な印象があるな。
不毛だけどやるしかないかと。
不満な市民は他所にふるさと納税だ!(さらなる不毛
Re:そもそも論 (スコア:1)
と書けそうだったので調べたが
上毛下毛北毛西毛東毛中毛両毛まではあっても不毛はなかった・・・残念
Re: (スコア:0)
賠償とバラ撒きの区別もつかんのか?
Re: (スコア:0)
賠償ねえ…子供の小遣いみたいな額で宥めようってんじゃまんまバラ撒きだよなあ。
Re: (スコア:0)
その賠償は結局、
最終的には税金という形で徴収されるか、
サービスを落とすという形で、
(被害を受けた人も含めて)市民が負担することになるからね
バラ撒きは関係ないんじゃない?
Re: (スコア:0)
もひとつそもそも論。
1億7700万円相当の被害が発生したわけだから、前橋市教育委員会のシステム課長とか、
このシステムの納品時検収責任者とか運用責任者とかは当然のことながら
減給とか降格とかされているんだろうな。まずはそっちからだよね。
Re:そもそも論 (スコア:2)
× そもそも論
○ 感情論
# 責任をとらせたい気持ちはわかるが。
Re: (スコア:0)
ベンダー責であると訴えていて、その被害は金銭ではあるものの補填される(つもり)なので担当者が減給や降格される理由も無いのでは?
本当にベンダー責であれば賠償金をとり損失を(金銭で出来る限り)補填し原因の究明と再発防止を行うのが責任の取り方でしょうし
とりあえず担当者処分としけ的な責任とったふりは結局誰にとっても良い結果を生まない事が多いです
法律的な筋論 (スコア:0)
> 児童生徒など…に対する補償をするのが筋
法律論で言いますと、何ら被害・損害が生じていないのなら、慰謝料も損害賠償も不要となります。ちなみに謝罪というのは道義上の概念で、法的対象になるのは名誉毀損ぐらいかと。
保守契約結んでたんでしょ (スコア:0)
> 「外部からのアクセス制限ができていなかった」「セキュリティアップデートが行われなかった」など、契約で定められた義務が果たされていなかったという。
NTT東ダメじゃんね。
Re: (スコア:0)
セットアップしてあとは放置でしょ。
保守なんてしていない。
Re: (スコア:0)
ハードウェア保守だけで、ソフトウェアメンテナンスまで請け負っていないとか?
Re: (スコア:0)
今後の自治体案件もあるのに明確に賠償を拒否すると言うことは、契約にきちんと責任範囲を定めてあったんじゃない?
顧客は全部タダで何とかしてくれると思い込んでるけど、そう言う契約でもないしそんな金払ってもらってないというのは良くある話。
Re:保守契約結んでたんでしょ (スコア:1)
こういうのは場数を踏んでる企業のほうが契約通りに行動していて
自治体は感情論だけ
というのが相場だから
Re:保守契約結んでたんでしょ (スコア:1)
侵入経路がNTT東日本の管轄じゃない市管理の公開ウェブサーバで、セキュリティパッチもまともにあてていなかった状態だから、市側に問題があることは明らか。NTT東日本としては、全責任を押し付けられても困るってことでしょう。
Re: (スコア:0)
保守「作業」は請け負っていたけれど、作業内容の指示は前橋市側が
出すことになっていて、その作業指示(どのセキュリティパッチを
当てるとか)が出されていなかった、とかですかねぇ?
前例にしたくないし (スコア:0)
いや、既に前例あるのかどうか知らないが。
契約時にリークしたときの項目なんてあるのかも知らないが
あったとしたらリーク前提?なんてやぶ蛇?だから
そこは曖昧にしてあるのかもしれないし
実際に契約時にこういう条項あるものなのでしょうか
教えて似たような中の人!
Re: (スコア:0)
客側の偉い人が一回決めた設定は今後指一本触れるなとか、
客側の金払いが悪いのでやりたくないとか(自治体とかお役所系統とかは特にあるある)
かぐや姫のごとく無理難題を吹っかけてくるのでペンディングとか。
セキュリティのイニシャルコストと運用コストは別枠。
NTTのおかげで食ってる人が多いから? (スコア:0)
リンク先読んでいれば言えなくなるようなNTT擁護のコメントが多いのね
Re:NTTのおかげで食ってる人が多いから? (スコア:1)
報告書読もうね
https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]
Re:NTTのおかげで食ってる人が多いから? (スコア:1)
肝心のやられたサーバーがNTT管理下にないので。
現場猫「ヨシ!」 (スコア:0)
https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]
契約内容は? (スコア:0)
契約内容や、議事録、メールのやりとり等を見ないと、
外部からはNTTに賠償責任があるのかどうか不明だな
Re: (スコア:0)
日本に限らないし、できない奴ほど仕事をやったと感じさせることが超重要な観点である事を認識してない。
Re: (スコア:0)
日本では、「日本では」という枕詞をつけて言ってやった感を出すことが重要となる
Re: (スコア:0)
きちんと仕事の成果をアピールまでしないと、単なる自己満足で仕事をやったうちには入らないよね。
ちゃんとアピールできない奴は、仕事ができない奴に等しい。
プレゼンテーションは大事。
日本における「やってる感」 (スコア:0)
> 日本に限らない
そりゃそうなんだが、とくに日本の場合、政府のトップが「(大事なのは)『やってる感』なんだから、成功とか不成功とかは関係ない」と公言して憚らず(政治学者御厨貴の質問への回答。詳しくは『政治が危ない [nikkeibook.com]』参照)、今現在も絶賛実行中 [nikkan-gendai.com]なので、「日本で顕著な現象」と言えなくもない。
Re: (スコア:0)
安倍首相がよく言う「スピード感」(「スピード」じゃなくて)ってのは、「やってる感」のようなものですよね。
民主主義国における政治家は、スピード感を持って仕事をやってる感を有権者に与えられるかどうかが、
次の選挙を勝ち抜く上で大切なことではありますが。
Re: (スコア:0)
これは最近のSNSの叩かれ方にもよるんだろうけどね
たとえば、災害が起こってすぐ「なんとか対策会議」を行ってマスコミで報道すると、
仕事やってる感が出せるので、SNSでなにも行動しないのかって叩かれるのを防ぐことができる
ところが災害が起こっても「なんとか対策会議」を開かないと、対策してるかの有無に関係なく、SNSでなにもやってないって叩かれる
コロナ問題も、対策会議を頻繁に開いてやってる感を出してるだけで中身がザルだったので、いますごい勢いで蔓延してる
Re:NTTが負けたらどうなるの? (スコア:1)