パスワードを忘れた? アカウント作成
14117894 story
NTT

前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 69

ストーリー by hylom
強気だな 部門より

2018年3月に群馬県前橋市教育委員会のサーバーに不正アクセスが行われ、児童生徒など約4万7000人の個人情報が流出する事件があった(過去記事)。これを受けて前橋市教委はサーバーの設計や構築、保守管理の委託先であるNTT東日本に対し損害賠償を請求する方針だったが(過去記事)、NTT東側は責任を認めず、支払いを拒否しているそうだ。そのため、前橋市教委は約1億7700万円の損害賠償支払いを求めてNTT東を提訴する方針だという(上毛新聞ITmedia)。

第三者による調査委員会の調査では、問題のサーバーについて外部からのアクセス制限やセキュリティアップデートを適切に行っていなかったと指摘されていた。しかし、NTT東側は前橋市教委による請求に対し、「当社が責任を負うものではなく、市の請求は理由がない」として応じていなかった。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年02月21日 23時24分 (#3766800)

    ITmediaの記事から報告書がリンクしてあるが、この内容通りの話なら、
    どこにでもありそうとはいえ、随分ひどい話だわ…。

    • by accentor (48880) on 2020年02月22日 0時08分 (#3766812)

      読んだけど肝心の不正アクセスされた公開サーバの運用(バージョンアップ・パッチ適用等)はNTT東日本に委託していなかった上で放置された。

      (3) セキュリティの重要性認識不足
      教育資料公開サーバの管理は,市教委の中前橋市総合教育プラザという組織であり,データセンター移管業務の中では,同サーバの移管はサーバだけをデータセンターに物理的に移設するだけで,委託事業者による運用などはないという認識で進められた。しかし,この認識は同サーバの管理者 に十分周知されていなかったことから,管理者に同サーバにつきバージョンアップが必要という認識はなく,結果的に移設後は,追加,変更や確認は行われなかった。このような状況のまま同サーバが放置された結果,同サーバは脆弱性の問題を多く抱えたままで運用され,その脆弱性が利用されてバックドアが作られた。
      また,MENET内の端末やファイル共有サーバには,本件での原因に限らず,以前から複数のウイルスが存在し,ウイルス対策ソフトで検知されたものもあった 。異常に気が付いた利用者からの連絡によってMENETヘルプデスクで対処されたこともあるが,検知されたことをシステム的にMENET関係者 に通知し,組織的に対処することは行われていなかった。
      本事案の 攻撃者が持ち込んだ不正ツールが,ウイルス対策ソフトで検知された痕跡もあり,もし これに適切に対処できていれば,個人情報の流出の可能性は低かった。
      これらは日常のセキュリティ意識の低さを露呈するものである。

      DMZのFWの設定が甘かったのは問題だけど、NTT東日本だけを責めるのはおかしいな。

      親コメント
      • by Anonymous Coward

        「ウチを責めるのはおかしい」と主張しているのは
        NTT東日本だけなのではないでしょうか。

        • by Anonymous Coward

          市教委「んんー?なんのことかなフフフ…」

  • by Anonymous Coward on 2020年02月21日 17時39分 (#3766603)

    リンク先の過去記事

    > 教委側は損害額を約1億6500万円と算定している。
    > これは「この問題の対応費用」約1億円に加えて、
    > ネットワークの再構築費など約5000万円、
    > それに諸経費を加えたものだという。

    それ以前にまず、

    > 児童生徒など約4万7000人の個人情報が流出

    に対する補償をするのが筋なんじゃないか。
    #一人500円で2350万円? 対応費用の内?

    同じ過去記事に

    > お、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、
    > 流出したという証拠となるものは現在のところないようだ。

    とあるな。

    • by Anonymous Coward

      そういうこともひっくるめて、NTT東が「うちに責任はない」と言ってるってことでは。

      • by vax730 (32985) on 2020年02月21日 19時10分 (#3766674)

        これだけの記事だとわからないため単なる推定ですが,内部ネットワークやその機器はNTT東の管理でなくて,
        NTT東管理の公開サーバーやファイアウォールがだめでも,内部ネットワークのマシンがきちんとしていれば,
        流出することはなかったということでしょうか。
        だから公開サーバの直接的な損失以外の補償は必要ないと。

        親コメント
        • by Anonymous Coward

          前橋市は問題のサーバーの保守管理はNTT東が請け負っていたという。
          NTT東は責任範囲外という。
          矛盾してるよな。
          こういう場合は大抵契約無視でごねてるものだけど、さあどっちでせう。

          • by vax730 (32985) on 2020年02月22日 0時10分 (#3766813)

            報告書が
            https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]
            にありますが,これでもわからないです。
            踏み台になったことは確かみたいですが,流失したデータを保存したサーバはどこが管理していたかです。
            あと
            市の情報政策課は,情報セキュリティの監査の中で,人的セキュリテ
            ィ(USB,パスワードなど)に関する監査については市教委を含めて実
            施していた。しかし,技術的セキュリティに関する監査は,行政ネット
            ワークについては順次実施していたが,MENET については実施してい
            なかった。また,市教委は,自身が行う MENET についての自己点検を
            実施していなかった。
            とも書いてあります。

            親コメント
            • 報告書 p.5 には仕様として「センター運用/システム管理業務,依頼作業の実施 障害復旧・バージョンアップ/パッチ作業以外のシステム管理業務及び管理部門からの依頼作業を行う。」と書いてあって、NTT東がそれを受けた業務契約をしている以上、この報告書ベースだと
              1. セキュリティパッチがあたっていなかったのは市教育委員会(ただし、提案書に総合的なセキュリティソリューションをNTT東が提供するとあるので、契約でもNTT東が応分の運用または支援を約束していた可能性は高いと思われる)
              2. FWは NTT東

              かな。ただ東京地裁H23(ワ)32060号などを考え合わせると NTT東側の脇の甘さが目につくように思われますけど。

              親コメント
            • by Anonymous Coward

              報告書ではバックドアが仕込まれた『教育資料公開サーバの管理は,市教委の中の前橋市総合教育プラザ』と書かれています。

              データを保存したサーバは内部のファイルサーバで、ドメインコントローラに管理者アカウントで接続した、とあるので、公開サーバに仕込んだツールでIDとPWを抜いたんですかね?

              DMZから内部に接続できる設定のFWを納品したNTTも致命的ではあるけど、意思伝達漏れで公開サーバを管理者不在にして放置した前橋市総合教育プラザもなんらかの過失は問われるべきかと。

              • by Anonymous Coward

                ドメインのメンバーのPC、サーバーは自閉が出来ない
                (ドメインサーバーの予期しないタイミングのアクセスに
                 全て答えないと、ドメインネットワークでなくなる。)
                のでは?

              • by Anonymous Coward

                RODCがいればそのメンバ自体がネットワーク境界を超える必要はないね。

              • by Anonymous Coward

                RODCは、DC自身のセキュリティーを高める
                (ROなので、施錠されていない所に置いてもOK)為のみで、

                やはり自閉出来る訳では無く、ROで無いDCとの通信は
                必要で、そのポートを利用してDomain Adminsがリモートで
                各PC、サーバーにサインイン出来るのでは?

            • by Anonymous Coward

              「流失したデータ」ってかなり深刻な被害ですね。

          • by Anonymous Coward

            命題①前橋市の主張は、問題のサーバーの「保守管理」はNTT東が請け負っていた
            命題②NTT東の主張は、「外部からのアクセス制限やセキュリティアップデートを適切に行っていなかった」のは責任の範囲外

            NTT東の主張は、請け負った保守管理契約において
            「外部からのアクセス制限やセキュリティアップデートを適切に行う」は瑕疵責任に含まれない
            であり、言うほど矛盾しているかね?

            • by Anonymous Coward

              例えばハードウェアの故障に関する保守契約だけを結んでるなんてよくある話だよね。
              それなのに特定のソフトが動かないと電話かけてくる客も良くある話。

      • by Anonymous Coward

        光の実効性能とか値上げ仕放題とか碌な組織じゃないですね

    • by Anonymous Coward

      元々金で片付く問題じゃないからなあ…
      補償の意識は必要なんだが、営利企業が利用者にごめんなさい料包むのはまだしも、自治体が市民に金を撒くのは不毛な印象があるな。

      • by Anonymous Coward on 2020年02月21日 18時14分 (#3766635)

        > 自治体が市民に金を撒くのは不毛な印象があるな。
         
        不毛だけどやるしかないかと。
        不満な市民は他所にふるさと納税だ!(さらなる不毛

        親コメント
      • by Anonymous Coward

        賠償とバラ撒きの区別もつかんのか?

        • by Anonymous Coward

          賠償ねえ…子供の小遣いみたいな額で宥めようってんじゃまんまバラ撒きだよなあ。

        • by Anonymous Coward

          その賠償は結局、
          最終的には税金という形で徴収されるか、
          サービスを落とすという形で、
          (被害を受けた人も含めて)市民が負担することになるからね

          バラ撒きは関係ないんじゃない?

    • by Anonymous Coward

      もひとつそもそも論。

      1億7700万円相当の被害が発生したわけだから、前橋市教育委員会のシステム課長とか、
      このシステムの納品時検収責任者とか運用責任者とかは当然のことながら
      減給とか降格とかされているんだろうな。まずはそっちからだよね。

      • by hjmhjm (39921) on 2020年02月22日 13時20分 (#3766975)

        × そもそも論
        ○ 感情論

        # 責任をとらせたい気持ちはわかるが。

        親コメント
      • by Anonymous Coward

        ベンダー責であると訴えていて、その被害は金銭ではあるものの補填される(つもり)なので担当者が減給や降格される理由も無いのでは?
        本当にベンダー責であれば賠償金をとり損失を(金銭で出来る限り)補填し原因の究明と再発防止を行うのが責任の取り方でしょうし
        とりあえず担当者処分としけ的な責任とったふりは結局誰にとっても良い結果を生まない事が多いです

    • by Anonymous Coward

      > 児童生徒など…に対する補償をするのが筋
      法律論で言いますと、何ら被害・損害が生じていないのなら、慰謝料も損害賠償も不要となります。ちなみに謝罪というのは道義上の概念で、法的対象になるのは名誉毀損ぐらいかと。

  • by Anonymous Coward on 2020年02月21日 18時40分 (#3766658)

    > 「外部からのアクセス制限ができていなかった」「セキュリティアップデートが行われなかった」など、契約で定められた義務が果たされていなかったという。

    NTT東ダメじゃんね。

    • by Anonymous Coward

      セットアップしてあとは放置でしょ。
      保守なんてしていない。

    • by Anonymous Coward

      ハードウェア保守だけで、ソフトウェアメンテナンスまで請け負っていないとか?

    • by Anonymous Coward

      今後の自治体案件もあるのに明確に賠償を拒否すると言うことは、契約にきちんと責任範囲を定めてあったんじゃない?

      顧客は全部タダで何とかしてくれると思い込んでるけど、そう言う契約でもないしそんな金払ってもらってないというのは良くある話。

      • by Anonymous Coward on 2020年02月22日 8時29分 (#3766895)

        こういうのは場数を踏んでる企業のほうが契約通りに行動していて
        自治体は感情論だけ
        というのが相場だから

        親コメント
      • by Anonymous Coward on 2020年02月22日 16時11分 (#3767028)

        侵入経路がNTT東日本の管轄じゃない市管理の公開ウェブサーバで、セキュリティパッチもまともにあてていなかった状態だから、市側に問題があることは明らか。NTT東日本としては、全責任を押し付けられても困るってことでしょう。

        親コメント
      • by Anonymous Coward

        保守「作業」は請け負っていたけれど、作業内容の指示は前橋市側が
        出すことになっていて、その作業指示(どのセキュリティパッチを
        当てるとか)が出されていなかった、とかですかねぇ?

  • by Anonymous Coward on 2020年02月21日 18時45分 (#3766662)

    いや、既に前例あるのかどうか知らないが。
    契約時にリークしたときの項目なんてあるのかも知らないが
    あったとしたらリーク前提?なんてやぶ蛇?だから
    そこは曖昧にしてあるのかもしれないし
    実際に契約時にこういう条項あるものなのでしょうか
    教えて似たような中の人!

    • by Anonymous Coward

      客側の偉い人が一回決めた設定は今後指一本触れるなとか、
      客側の金払いが悪いのでやりたくないとか(自治体とかお役所系統とかは特にあるある)
      かぐや姫のごとく無理難題を吹っかけてくるのでペンディングとか。

      セキュリティのイニシャルコストと運用コストは別枠。

  • by Anonymous Coward on 2020年02月22日 0時05分 (#3766810)

    リンク先読んでいれば言えなくなるようなNTT擁護のコメントが多いのね

  • by Anonymous Coward on 2020年02月22日 3時28分 (#3766860)

    委託事業者が実施した運用前のファイアウォールの総合試験記録では,「公開ネットワーク(DMZ ネットワーク)から個人情報保護ネットワークにリクエストが到達しないことを確認」したことになっていたが,実際は確認されないまま,確認結果に「合格」と記載された。

    https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]

  • by Anonymous Coward on 2020年02月22日 9時44分 (#3766920)

    契約内容や、議事録、メールのやりとり等を見ないと、
    外部からはNTTに賠償責任があるのかどうか不明だな

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...