パスワードを忘れた? アカウント作成
14276097 story
オーストラリア

オーストラリア政府、パプアニューギニア設置のデータセンター脆弱性でファーウェイを非難。意図的な不具合か 61

ストーリー by nagazou
ブービートラップ 部門より
大元の記事は8月11日と旧聞に類する話題であるようだが、中国政府の支援でパプアニューギニアに設置されたデータセンターに不具合があったという(piyolog、 読売新聞Capacity大紀元)。

この脆弱性に関しては、オーストラリアのオーストラリア戦略政策研究所(ASPI)の調査で判明したとしている。この設備はパプアニューギニアの政府文書を保管するもので、施設の整備はファーウェイが行っていたという。確認された不具合は「外部からシステムに侵入できる不備」が存在した点。

具体的には、暗号化ソフトウエアがセンターが稼働する2年前の2016年にすでに失効した古いものであったこと、コファイアウォールの設計に問題があり、リモートアクセスを検出する能力がないなどの問題があったという。また資金不足のためこのデータセンターはほとんどメンテナンスされておらず、ソフトウェアのライセンス切れやバッテリーが交換されていないなどの問題が起きているそうだ。

今回のASPIによる調査書は、データセンターにあるパプアニューギニア政府のファイルが盗まれる可能性を示唆しており、これが中国政府のスパイ活動の一端であると指摘している。
  • by Mitch (3430) on 2020年08月24日 16時50分 (#3875873) 日記
    初期の支援という名目の借金に目がくらんで、大した検討もせず決めたはいいが、
    実は中身がトンデモといういつもの通りの展開ですね。
    インドネシアの高速鉄道といい、橋の崩落といい、同じですよね。
    とり建ててファーウェイがどうこう言う話でも無いような。。。

    まぁ、まじめに発注先選んでくださいな。って言う事ですね。
    ここに返信
    • by Anonymous Coward

      中国がどうこうも関係ないだろう。ジレット商法にハマっただけ。
      次は無償でも真面目にサポートしてくれるところを選ぼうってだけの話。
      或いは予算を確保する。

      • by Anonymous Coward

        無償でサポートだぁ!?
        塩まくぞ!

      • by Anonymous Coward

        2年前、オーストラリア、日本、米国の反対を押し切ってPNGはファーウェイと組むことを決めた。「サイバーセキュリティに関するオーストラリアや米国の見解がどうであれ、中国とファーウェイを懸念するのは大国だけだ。われわれには敵がいないから心配する必要はない」と同国は主張していた。

        また、65ページにも及ぶ報告書では以下の事が指摘されている。

        「暗号化ソフトウエアは2016年にすでに失効しており、暗号もネットワークセキュリティの専門家によってすでに解読されたことが判明した。また、データセンター全体の設定が予期された設計と一致しなかったため、多くのセキュリティ上の脆弱性が発生している。たとえば、コアスイッチがファイアウォールの後ろにない。それはつまり、内部セキュリティ設定ではハッカーを検知できない」

        PNGは平和ボケすぎるし契約前に失効してる暗号とかアホな構成とか
        中国の典型だな

        • by Anonymous Coward

          これ見るとまさに橋架けたけど落ちた案件と同じやないかーいという気になる。
          お人好しの日本が請けてたら政府が予算出すか請け負ったベンダーに圧力掛けてサポートさせそう。

    • by Anonymous Coward

      アメリカ人でもないのにGoogleやAmazonに個人情報置いてる連中もやたらいるのでそっちにもまじめに選んでくださいと言いたい。
      危機感ゼロ。

      • by Anonymous Coward

        AppleとFacebookとMicrosoftも入れてやってください。

        • by Anonymous Coward
          うむ。
          日本人ならYahoo!JapanとTカードの連携を積極的に実施すべきだな。
  • by Anonymous Coward on 2020年08月24日 17時41分 (#3875914)

    ハンロンの剃刀 [wikipedia.org]の典型例に思えるけどね。
    無能で十分説明できることに悪意を見出すな。

    ここに返信
    • by hjmhjm (39921) on 2020年08月25日 14時08分 (#3876292)

      オーストラリア戦略政策研究所なので、「金槌を持てばなんでも釘に見える」のほうが?

      しかし、中国政府支援でファーウェイ管理とくれば、ただ「無能」とみなしてまうのも失礼では。w
      すくなくとも、無能だからしゃあない、とはイカンやろ。

    • by Anonymous Coward on 2020年08月24日 18時02分 (#3875931)

      悪意の存在の有無をニュートラルに判断できるほど、中国には信用がないのですよ。
      痛くもない腹を探られたくなければ信用が必要。

      • by Anonymous Coward

        どういう契約だったのかにもよるけど、資金不足によってセキュリティの更新がなされていないのはパプアニューギニア側の落ち度かと

        • by Anonymous Coward

          整備費用5300万ドル(約57億円)の返済をパプアニューギニア政府が拒否する意向(読売新聞の記事より引用)

          理由が見つかって何より。

          • by Anonymous Coward

            踏み倒すために難癖付けてる感がある

    • by Anonymous Coward

      >資金不足のためこのデータセンターはほとんどメンテナンスされておらず
      うむ。スパイ活動ではないとは言い切れないが、こんな状態ではねぇ。

      • by Anonymous Coward

        初期段階から金がなく、他国に比べて安価に整備が可能な中国企業ですら
        十分なセキュリティ設計にまでコストをかけられなかっただけって気がするよね

        そもそもそんな状態の国にそこまでやってまで盗みたい情報があるのか

        • by Anonymous Coward

          そもそもそんな状態の国がなんでデータセンターを作ろうと思ったのか。
          甘い言葉に乗せられてカモられたね、って勘ぐられても仕方ないのでは。

          # 一番美味しい思いをしたのは誰か

          • by Anonymous Coward

            「データセンター」とは銘打っていても、
            単に19インチラックとフリーアクセスと空調を入れたオフィスビルの一角、だったりしないかな

            • by Anonymous Coward

              むしろオフィスビル以外なデータセンターのが珍しい気も。
              電気関係とか銀行関係みたいなお金持ってるとこは
              データセンター専用として設計したビルとか持ってるところも多いけど。

              Nなんか自社の古いオフィスビルにラック置いて
              データセンターとして貸し出してたりもするし・・・

              • by tsukachan (26170) on 2020年08月25日 4時59分 (#3876072)

                建物自体が古くても、耐震補強やら電源の強化なりしていればいいのでは?
                古いビルは立地が良いことも多いので何かと便利そう。
                古い建物は、現在ほどコストにシビアでないこともあり、天井高(階高)に余裕があることも多い、設備機器のダウンサイジングもあり、意外に収まり良かったりする。

                データセンタではないですが、東大農学部に行ったとき、戦前の建物なのに、人が近づくと点く照明やら、薬品を浴びたときの緊急シャワなど中身はハイテクで驚いた。まあ配管はむき出しだったけど。学校なんで天井まで最低3mあるから配管スペースはたっぷりあるし。

              • 災害対策・セキュリティ対策も万全とCM打ってる一方
                アクセスの悪い場所にあるボロいビルに設備突っ込んだやつもあったな

                ♯もう時効だしID

        • by Anonymous Coward

          基本的に国際入札に絡む間接的な債務保証・資金提供のような形ではなく、直接国が「支援で何かを作る」場合、メンテナンスも含めたコストと自国企業を介した技術提供の枠を決めるのは支援する側ですよ。
          「幾らまでなら支援出来るか」の予算を握っているのは支援国側なので、当然の話です。

          なので「コストが掛けられない」責任も中国側の見積もりの甘さなり、指定された企業(今回はファーウェイ)の無能なり悪意なりが原因とみるのが妥当です。

    • by Anonymous Coward

      ファーウェイの手がけたネットワークシステムが全部そのレベルというならその意見を受け入れてもいい。
      当然そんな無能な会社の仕事や製品なんて信用できなくなるわけだが。そんな無能な会社を推奨している組織や個人もな。

  • by Anonymous Coward on 2020年08月24日 20時17分 (#3875989)

    今回は大手メディアも報じているから事実なのだろうけど、大紀元 [wikipedia.org]は法輪功系の反中国政府のバイアスが非常に強いメディアで、他のメディアが取り上げない情報がある一方、誤報やトンデモな報道も頻繁にあるので、ソースとしては使わない方がいいかと。複数ソースあれば大丈夫とは言っても、大紀元が混ざってると胡散臭い話題に見えてしまいます。

    ここに返信
  • by Anonymous Coward on 2020年08月24日 23時30分 (#3876043)

    2年で、ライセンス切れる様な資金繰り、運用保守費も計上してないとか・・・
    抑々設計段階の不備もあるようだが、PNG側はコンサルとか自前で準備しなかったのだろーか。

    #メーカーの言いなりで作って、ボロボロに成る場合、
    #大体発注側に識者が居ないケースが結構な数あるよーな・・・

    ここに返信
    • by Anonymous Coward on 2020年08月25日 1時16分 (#3876059)

      >#メーカーの言いなりで作って、ボロボロに成る場合、
      >#大体発注側に識者が居ないケースが結構な数あるよーな・・・
      発注内容の実務もこなせるような社員に、システム要件まで落としこめるスキルを持ってる人はソシャゲガチャのSSRより確率が低い
      システム担当の社員やPMO、コンサルが発注内容の実務を全て理解している確率なんてSSRをコンプリートするレベル

      よって
      >#大体発注側に識者が居ないケースが結構な数あるよーな・・・
      では無く、「発注側に業務もシステムも理解している識者が居る僥倖」とかが正しいのではなかろうか
      ※居たら居たで細かくて煩わしいなんて話も・・・

    • by Anonymous Coward on 2020年08月25日 7時36分 (#3876087)

      2016年にライセンス失効しているとのことですから、資金繰り以前の問題でしょう。

      いくら経費ケチられたからって、やって良いことだとは思えませんが。

  • by Anonymous Coward on 2020年08月25日 11時45分 (#3876205)

    みんな大好き、Ciscoの場合。

    CiscoスイッチにはSmart Installという機能があります。
    デフォルトでは有効ですが、この機能を知らないネットワークエンジニアも少なくありません。

    この機能を使うと、ネットワーク経由で認証なしに設定を読み取り、設定を書き込むことができます。

    怖いことに、この機能を有効化したままインターネットに繋げているネットワークがあります。

    Ciscoは意図した動きであるとしてCiscoに責任のある脆弱性とは認めていません。
    つまり、Ciscoにいわせれば、この機能を知らずに無効化していないエンジニアがタコだということです。
    その通りですね。
    でも、脆弱性であることには変わりなく、実際に攻略されてしまったCiscoスイッチもあるでしょう。
    怖いですね。

    ここに返信
    • by Anonymous Coward

      デフォルトパスワードのまま運用しているIP監視カメラみたいなものか。
      のぞかれ放題だけど、パスワードを変更しないユーザーが悪いってことでFA。

      # 最近のコンシューマー系WiFiルーターは、SSIDとパスワードはデフォルトで機器ごとに個別設定になってますね…

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...