内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 51
ストーリー by nagazou
流出 部門より
流出 部門より
内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー(FileZen)に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという(内閣府、piyolog、ITmedia)。
今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、
開発元において3月までに修正パッチの提供等所要の対応がとられました(同社から公表済み)。
ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた(ソリトンシステムズ)。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。
あるAnonymous Coward 曰く、
なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。
国産を信用するなと (スコア:1)
クラウドサービスを何社か見たけど、そこそこ大手でも家内制手工業やってるところばかりで信用に値しないと思った。
セキュリティ意識も「教育」はするし、対外向けにそれなりにやるようユーザに求めてはいるんだが。
・何年もパッチ当ててない。現状維持至上よろしく「何かやってトラブルが起きる」のが最悪と考える。
・ユーザから見えない部分ではサポート切れ製品も平気で使ってる。アップグレードした時のリスクを恐れる。
・世間が炎上するレベルのパッチは当てる。3ヶ月後くらいに。ただしサポート切れの場合は正当化する理由を探す。
・管理者パスワードは何年も変更していない。退職者も知ってるが「インターネットから入れるわけではないので」で正当化。
・その管理者パスワードも結構簡単。英単語+数字4桁がどうも王道。
業務の大半をシステマティックにして障害が起きた時の影響範囲も大きいけど素直に外資使っとけって思ったよ。
国産クラウドは大規模なインシデントは比較的少ないものの
「中の人が頑張ってるだけ」
「小規模障害は対外アナウンスしないだけ」
「いざ起きた時には素人レベルの事故をやらかす」
Re:国産を信用するなと (スコア:1)
> SecureBrowserは、OS標準ブラウザでWebアプリにアクセスしている感覚で、Webアプリの全機能をご利用いただけます。
> ブラウザエンジンはOSから提供されているものを利用しているため、様々なWebアプリを閲覧でき、利用システムに左右されない安全なWebアクセスインフラを提供します。
2021年にもなってIEコンポーネントにGUIを被せたブラウザか…