オーストラリア政府、パプアニューギニア設置のデータセンター脆弱性でファーウェイを非難。意図的な不具合か 61
ストーリー by nagazou
ブービートラップ 部門より
ブービートラップ 部門より
大元の記事は8月11日と旧聞に類する話題であるようだが、中国政府の支援でパプアニューギニアに設置されたデータセンターに不具合があったという(piyolog、 読売新聞、Capacity、大紀元)。
この脆弱性に関しては、オーストラリアのオーストラリア戦略政策研究所(ASPI)の調査で判明したとしている。この設備はパプアニューギニアの政府文書を保管するもので、施設の整備はファーウェイが行っていたという。確認された不具合は「外部からシステムに侵入できる不備」が存在した点。
具体的には、暗号化ソフトウエアがセンターが稼働する2年前の2016年にすでに失効した古いものであったこと、コファイアウォールの設計に問題があり、リモートアクセスを検出する能力がないなどの問題があったという。また資金不足のためこのデータセンターはほとんどメンテナンスされておらず、ソフトウェアのライセンス切れやバッテリーが交換されていないなどの問題が起きているそうだ。
今回のASPIによる調査書は、データセンターにあるパプアニューギニア政府のファイルが盗まれる可能性を示唆しており、これが中国政府のスパイ活動の一端であると指摘している。
この脆弱性に関しては、オーストラリアのオーストラリア戦略政策研究所(ASPI)の調査で判明したとしている。この設備はパプアニューギニアの政府文書を保管するもので、施設の整備はファーウェイが行っていたという。確認された不具合は「外部からシステムに侵入できる不備」が存在した点。
具体的には、暗号化ソフトウエアがセンターが稼働する2年前の2016年にすでに失効した古いものであったこと、コファイアウォールの設計に問題があり、リモートアクセスを検出する能力がないなどの問題があったという。また資金不足のためこのデータセンターはほとんどメンテナンスされておらず、ソフトウェアのライセンス切れやバッテリーが交換されていないなどの問題が起きているそうだ。
今回のASPIによる調査書は、データセンターにあるパプアニューギニア政府のファイルが盗まれる可能性を示唆しており、これが中国政府のスパイ活動の一端であると指摘している。
いつもの通り (スコア:3)
実は中身がトンデモといういつもの通りの展開ですね。
インドネシアの高速鉄道といい、橋の崩落といい、同じですよね。
とり建ててファーウェイがどうこう言う話でも無いような。。。
まぁ、まじめに発注先選んでくださいな。って言う事ですね。
Re: (スコア:0)
中国がどうこうも関係ないだろう。ジレット商法にハマっただけ。
次は無償でも真面目にサポートしてくれるところを選ぼうってだけの話。
或いは予算を確保する。
Re: (スコア:0)
無償でサポートだぁ!?
塩まくぞ!
Re: (スコア:0)
PNGは平和ボケすぎるし契約前に失効してる暗号とかアホな構成とか
中国の典型だな
Re: (スコア:0)
これ見るとまさに橋架けたけど落ちた案件と同じやないかーいという気になる。
お人好しの日本が請けてたら政府が予算出すか請け負ったベンダーに圧力掛けてサポートさせそう。
Re: (スコア:0)
アメリカ人でもないのにGoogleやAmazonに個人情報置いてる連中もやたらいるのでそっちにもまじめに選んでくださいと言いたい。
危機感ゼロ。
Re: (スコア:0)
AppleとFacebookとMicrosoftも入れてやってください。
Re: (スコア:0)
日本人ならYahoo!JapanとTカードの連携を積極的に実施すべきだな。
Re: (スコア:0)
日本のODAの失敗率ってどんだけあるんだろ
Re:いつもの通り (スコア:1)
脳内ソース100%です。
Re: (スコア:0)
文書破棄したら誰かがソースゼロと言ってくれるからやめられない。
Re: (スコア:0)
ナチス兵士が負ける前の書類を燃やす映画をどこの政府もみんなやってると思ってるんだろうなぁ
Re: (スコア:0)
在米中国大使館が閉鎖する時には大量の書類を焼いた為に物凄い煙が出たとか
書類破棄専用の業者のトラックが何十台も横付けされたとか色々話題になりましたね
Re: (スコア:0)
戦争に負けるとなればどこもやるんじゃない
帝国陸海軍しかり
Re: (スコア:0)
在米中国大使館は閉鎖してないっしょ。
何が話題になってるんだろう。
Re: (スコア:0)
「在米中国大使館 閉鎖」で検索したら世界各国の色々なメディアが報道しているのに何を言っているんだ?
自分が知らなかったのなら、どうして検索すらしないんだろ
しかも調べもせずに否定って、炎上要素満載ですね
Re: (スコア:0)
元コメ書いてないから横やりになるけど、大使館と領事館の違いって知ってる?
確かに似たような仕事してる(し、一部重複もある)けど、トラックとバスくらいの違いはあるから、もう少し単語の違いに留意して物事を把握出来る様になると、知見が深まると思うよ。(劣悪なソースだとそれ自体が区別して書いてないこともありそうだけれども)
アメリカも中国も今回領事館をターゲットにしているあたり、お互いの腹を探っている感じがするね。大使館カード切るのはまだ当分先の話じゃないかな。
Re: (スコア:0)
炎上要素って。物凄い煙が出たって話題と対応してる感じやん。
Re: (スコア:0)
日本のODAは、そんなに悪くないと思うけどね。
透明性も高いし、第三者の評価も義務付けられてるし。
具体的にどこら辺がダメなんですかね。
Re: (スコア:0)
> 第三者の評価も義務付けられてるし。
よくある第三者委員会みたいなもん?
Re: (スコア:0)
ここ [mofa.go.jp]を見れば、どのような人(組織)がどのような評価をしているかわかると思いますよ。
反論のカミソリ (スコア:1)
ハンロンの剃刀 [wikipedia.org]の典型例に思えるけどね。
無能で十分説明できることに悪意を見出すな。
Re:反論のカミソリ (スコア:2)
オーストラリア戦略政策研究所なので、「金槌を持てばなんでも釘に見える」のほうが?
しかし、中国政府支援でファーウェイ管理とくれば、ただ「無能」とみなしてまうのも失礼では。w
すくなくとも、無能だからしゃあない、とはイカンやろ。
Re:反論のカミソリ (スコア:1)
悪意の存在の有無をニュートラルに判断できるほど、中国には信用がないのですよ。
痛くもない腹を探られたくなければ信用が必要。
Re: (スコア:0)
どういう契約だったのかにもよるけど、資金不足によってセキュリティの更新がなされていないのはパプアニューギニア側の落ち度かと
Re: (スコア:0)
整備費用5300万ドル(約57億円)の返済をパプアニューギニア政府が拒否する意向(読売新聞の記事より引用)
理由が見つかって何より。
Re: (スコア:0)
踏み倒すために難癖付けてる感がある
Re: (スコア:0)
左に傾いた状態が平衡だという教育に染まっている人から見れば、そうなんでしょうね
Re: (スコア:0)
中国国内で中共側の考えを持つ人は右ですよ。
左右で表現するのはわかりにくい。
Re: (スコア:0)
何をやっても判断基準を傾けるやつが悪いニュートラルに判断しろ!
悪人に都合良すぎ
Re: (スコア:0)
>資金不足のためこのデータセンターはほとんどメンテナンスされておらず
うむ。スパイ活動ではないとは言い切れないが、こんな状態ではねぇ。
Re: (スコア:0)
初期段階から金がなく、他国に比べて安価に整備が可能な中国企業ですら
十分なセキュリティ設計にまでコストをかけられなかっただけって気がするよね
そもそもそんな状態の国にそこまでやってまで盗みたい情報があるのか
Re: (スコア:0)
そもそもそんな状態の国がなんでデータセンターを作ろうと思ったのか。
甘い言葉に乗せられてカモられたね、って勘ぐられても仕方ないのでは。
# 一番美味しい思いをしたのは誰か
Re: (スコア:0)
「データセンター」とは銘打っていても、
単に19インチラックとフリーアクセスと空調を入れたオフィスビルの一角、だったりしないかな
Re: (スコア:0)
むしろオフィスビル以外なデータセンターのが珍しい気も。
電気関係とか銀行関係みたいなお金持ってるとこは
データセンター専用として設計したビルとか持ってるところも多いけど。
Nなんか自社の古いオフィスビルにラック置いて
データセンターとして貸し出してたりもするし・・・
Re:反論のカミソリ (スコア:1)
建物自体が古くても、耐震補強やら電源の強化なりしていればいいのでは?
古いビルは立地が良いことも多いので何かと便利そう。
古い建物は、現在ほどコストにシビアでないこともあり、天井高(階高)に余裕があることも多い、設備機器のダウンサイジングもあり、意外に収まり良かったりする。
データセンタではないですが、東大農学部に行ったとき、戦前の建物なのに、人が近づくと点く照明やら、薬品を浴びたときの緊急シャワなど中身はハイテクで驚いた。まあ配管はむき出しだったけど。学校なんで天井まで最低3mあるから配管スペースはたっぷりあるし。
Re:反論のカミソリ (スコア:1)
災害対策・セキュリティ対策も万全とCM打ってる一方
アクセスの悪い場所にあるボロいビルに設備突っ込んだやつもあったな
♯もう時効だしID
Re: (スコア:0)
基本的に国際入札に絡む間接的な債務保証・資金提供のような形ではなく、直接国が「支援で何かを作る」場合、メンテナンスも含めたコストと自国企業を介した技術提供の枠を決めるのは支援する側ですよ。
「幾らまでなら支援出来るか」の予算を握っているのは支援国側なので、当然の話です。
なので「コストが掛けられない」責任も中国側の見積もりの甘さなり、指定された企業(今回はファーウェイ)の無能なり悪意なりが原因とみるのが妥当です。
Re: (スコア:0)
ファーウェイの手がけたネットワークシステムが全部そのレベルというならその意見を受け入れてもいい。
当然そんな無能な会社の仕事や製品なんて信用できなくなるわけだが。そんな無能な会社を推奨している組織や個人もな。
大紀元があるとソースが怪しく見える (スコア:1)
今回は大手メディアも報じているから事実なのだろうけど、大紀元 [wikipedia.org]は法輪功系の反中国政府のバイアスが非常に強いメディアで、他のメディアが取り上げない情報がある一方、誤報やトンデモな報道も頻繁にあるので、ソースとしては使わない方がいいかと。複数ソースあれば大丈夫とは言っても、大紀元が混ざってると胡散臭い話題に見えてしまいます。
Re:大紀元があるとソースが怪しく見える (スコア:1)
まさに中共シンパの言いそうなこと
Re: (スコア:0)
それでも民明書房よりは(違
Re: (スコア:0)
朝日ってるって?
Re: (スコア:0)
どちらかと言うと産経
Re: (スコア:0)
法輪功系の反中国政府のバイアスが非常に強い
ネトウヨ御用達の産経が?反自国政府なんだから朝日だろうよ。
2018運用開始で (スコア:0)
2年で、ライセンス切れる様な資金繰り、運用保守費も計上してないとか・・・
抑々設計段階の不備もあるようだが、PNG側はコンサルとか自前で準備しなかったのだろーか。
#メーカーの言いなりで作って、ボロボロに成る場合、
#大体発注側に識者が居ないケースが結構な数あるよーな・・・
Re:2018運用開始で (スコア:1)
>#メーカーの言いなりで作って、ボロボロに成る場合、
>#大体発注側に識者が居ないケースが結構な数あるよーな・・・
発注内容の実務もこなせるような社員に、システム要件まで落としこめるスキルを持ってる人はソシャゲガチャのSSRより確率が低い
システム担当の社員やPMO、コンサルが発注内容の実務を全て理解している確率なんてSSRをコンプリートするレベル
よって
>#大体発注側に識者が居ないケースが結構な数あるよーな・・・
では無く、「発注側に業務もシステムも理解している識者が居る僥倖」とかが正しいのではなかろうか
※居たら居たで細かくて煩わしいなんて話も・・・
Re:2018運用開始で (スコア:1)
2016年にライセンス失効しているとのことですから、資金繰り以前の問題でしょう。
いくら経費ケチられたからって、やって良いことだとは思えませんが。
意図的な脆弱性の例 (スコア:0)
みんな大好き、Ciscoの場合。
CiscoスイッチにはSmart Installという機能があります。
デフォルトでは有効ですが、この機能を知らないネットワークエンジニアも少なくありません。
この機能を使うと、ネットワーク経由で認証なしに設定を読み取り、設定を書き込むことができます。
怖いことに、この機能を有効化したままインターネットに繋げているネットワークがあります。
Ciscoは意図した動きであるとしてCiscoに責任のある脆弱性とは認めていません。
つまり、Ciscoにいわせれば、この機能を知らずに無効化していないエンジニアがタコだということです。
その通りですね。
でも、脆弱性であることには変わりなく、実際に攻略されてしまったCiscoスイッチもあるでしょう。
怖いですね。
Re: (スコア:0)
デフォルトパスワードのまま運用しているIP監視カメラみたいなものか。
のぞかれ放題だけど、パスワードを変更しないユーザーが悪いってことでFA。
# 最近のコンシューマー系WiFiルーターは、SSIDとパスワードはデフォルトで機器ごとに個別設定になってますね…