富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 86
ストーリー by nagazou
FileZenの件といい狙われているのでは 部門より
FileZenの件といい狙われているのでは 部門より
富士通は25日、同社が運営する情報共有ツール「ProjectWEB」で大規模な不正アクセスが発生したと発表した(富士通、国土交通省、外務省、内閣サイバーセキュリティセンター[PDF]、ITmedia、成田国際空港、piyolog、iPhone Mania、NHK)。
現在ProjectWEBに関しては原因究明のため運用を停止しているという。この影響で顧客である企業や官公庁の情報流出が相次いでいるという。国土交通省は26日に内外関係者約7.6万件分のメールアドレスが流出したと発表、外務省もデジタルガバメントに関連する検討資料が流出。その中には個人を特定できる情報も含まれていたとしている。被害が出ていることから、内閣サイバーセキュリティセンターも情報システムを構成する機器類の情報が漏れていたと発表した。このほかにも成田空港も運航情報管理システムに関係する情報などが不正アクセスを受けたと発表している。
現在ProjectWEBに関しては原因究明のため運用を停止しているという。この影響で顧客である企業や官公庁の情報流出が相次いでいるという。国土交通省は26日に内外関係者約7.6万件分のメールアドレスが流出したと発表、外務省もデジタルガバメントに関連する検討資料が流出。その中には個人を特定できる情報も含まれていたとしている。被害が出ていることから、内閣サイバーセキュリティセンターも情報システムを構成する機器類の情報が漏れていたと発表した。このほかにも成田空港も運航情報管理システムに関係する情報などが不正アクセスを受けたと発表している。
もう10年前の話しだけど (スコア:5, 興味深い)
ProjectWEBってIDとパスワードだけで入れると記憶してるんだけど
あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。
せめていつもと違う端末からのアクセスがあればメールで一報入れるような仕組みでもあればよかったのに。
これ使ってた自分を含めた協力会社の人たちは「危なっかしいよねー」とか言うてたけどプロパーさんたちは聞く耳持たずだし
「だったらお前改良しろよ。ただし無料でな」的な返答はあった気がするー・・・
もう10年くらい前の話しだから忘れちゃったけどさ。
Re:もう10年前の話しだけど (スコア:1)
だからパスワードの定期変更をですね
Re: (スコア:0)
複数サイトで使いまわししていなければ他所で流出しても問題ないんだよ
だからパスワードの定期変更は必要ないとされている
Re: (スコア:0)
いや、それは知ってるけど、そういう話じゃなくてね
Re:もう10年前の話しだけど (スコア:1)
自分では賢いつもりなんだよ。指摘すると機嫌悪くするからそっとしといたげて。
Re: (スコア:0)
3年前ぐらいの話だけど、パスワードは90日に一度変更が強制される、末尾の記号だけ変更してローテしてたから意味ない。
Re: (スコア:0)
いまだにそうですよ、某大手h○%×$☆♭#▲※
Re: (スコア:0)
パスワード使いまわしの問題も、パスワード変更強制の問題も、そもそもユーザーにパスワードを決めさせるということ自体が諸悪の根源なんだよな。
パスワードはランダムに自動発行しかできないようにするのが得策。
Re:もう10年前の話しだけど (スコア:1)
で、結局今回の事件って垢が漏れたの?鯖が落とされたの?
とりあえず今のパスワード変更汁!だとか、定期的にパスワード替える!なんて "指示" が来たのだが…。ホントーにそれが意味のある対処であることを示すエビデンスは何も示されていない。
Re: (スコア:0)
さもありなん。ま〜た富士通か。
Re:もう10年前の話しだけど (スコア:1)
Re: (スコア:0)
あなたが10年前に無料で改良して富士通にフィードバックしていたら今回のこのような事態は起きなかったのに。
と、今頃、この書き込みを見た富士通の人に逆恨みされているよ。ACで書いたのは賢明だね。
Re:もう10年前の話しだけど (スコア:3, おもしろおかしい)
なるほど。最近の富士通のやらかしが多いのは、このACが富士通関連会社を追放されたからなんですね。
今更戻ってこいと言われてももう遅い!
Re: (スコア:0)
> あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。
それはProjectWEBに限らず世の中のほとんどのシステムでそうなのでは?
10年前って多要素認証どころかログイン通知すら一般的でなかった時代
そら「だったらお前改良しろよ」って言われますわ
Re: (スコア:0)
> 10年前って多要素認証どころかログイン通知すら一般的でなかった時代
10年前ならパスワードの強度検査はふつうにありましたね。
2007年の記事:
https://thinkit.co.jp/cert/article/0707/18/3/2.htm [thinkit.co.jp]
Re:もう10年前の話しだけど (スコア:1)
パスワードの強度検査してもIDとパスワードが漏れたら意味ないじゃん。
去年から使い始めて (スコア:5, 興味深い)
閉鎖網からのアクセスも可能なのにそれをしない(事件後は閉鎖網のみ開放中)
・ログイン成功後、Webブラウザである操作をすると
IPアドレス制限以外のIPアドレスからProjectWebのファイル操作が可能
・上記について富士通のプロパーに報告したがまともに取り合わない
って感じで今まで情報漏えいしなかったのが不思議でしたね
また、プロパーの方針で本プロジェクトの作成データは
すべてProjectWeb上で管理することになったので
他のチームの個人情報も探しやすかったですね
今回はサーバごと狙われたみたいですが
# ずっと、はてなブックマーク [hatena.ne.jp]で公開されてるのを見るとなあと思う
## あと、この本のレビュー [amazon.co.jp]をずっとそのままにしてるのはなあ
### まだ在籍中なのでAC
Re:去年から使い始めて (スコア:1)
対外的に大問題になって初めて、それが問題であることを上層部が認識する企業体質なのでしょうね。
Re: (スコア:0)
Re: (スコア:0)
あと、伝えられた人が対応したとしても、成果にならないという可能性もあるのかも。
成果にならないどころか、業務量が増えるだけという貧乏くじといのも、ありがち。
Re: (スコア:0)
不具合があったということでマイナス評価でしょう。
見なかったことにするのはある意味当然。
Re: (スコア:0)
7payを思い出しますね。
デジタルガバガバメントに空見した (スコア:3, おもしろおかしい)
それほど違っていなかった
判明しただけマシ (スコア:0)
気付かずに垂れ流されている情報が山ほどある。
Re: (スコア:0)
気づいてないのになぜ山ほどあることを知っているのだろうか。
それを知っているのは盗んでいる犯人だけでは。
なお、気づかずに抜かれ続けていたのがコレな。
多数の民間企業もこれによって企業機密抜かれてた。
日本のサイバーセキュリティを担う内閣サイバーセキュリティセンターも被害に遭ったくらい。
Re:判明しただけマシ (スコア:3, 興味深い)
止まらぬ日本企業の文書流出 中国サイトに186社分
https://www.nikkei.com/article/DGXMZO27564530R00C18A3CR8000/ [nikkei.com]
垂れ流している当人は気付いていないけど、中国サイトで調べると出てくる、というケースのことを言っているのでは。
Re: (スコア:0)
抜かれた側が気づいてない(ことにしている)だけで
商品として陳列はされてるんだろう
Re: (スコア:0)
なぜ気づいていない人と山ほどあるのを知っている人が同じ人だと思ったんだろう?
#最近こういう人多い気がするけど何かあった?
Re: (スコア:0)
人が減って特異な人が目立つようになった
国交省や外務省などから情報流出 (スコア:0)
成る程、国土交通省(海上保安庁を麾下に有する)・外務省が、中露に甘い訳だ。
なんで官公庁がパブリッククラウドを使うの? (スコア:0)
官公庁は秘密情報のパブリッククラウドの利用を禁止、
プライベートクラウドのみ許可すればいいのに
プライベートクラウドっていっても、パブリッククラウド上に仮想的につくったプライベートクラウドじゃなく、
物理的にも論理的にもインターネットから切り離された完全プライベートクラウドね
Re:なんで官公庁がパブリッククラウドを使うの? (スコア:2, すばらしい洞察)
>物理的にも論理的にもインターネットから切り離された完全プライベートクラウドね
それはクラウドと呼ぶのだろうか。
Re:なんで官公庁がパブリッククラウドを使うの? (スコア:1)
Re: (スコア:0)
アメリカとか政府機関専用プライベートクラウドとか作ってるじゃん
アメリカの大手クラウド業者が運営してる
パブリッククラウドの技術を応用した、完全プライベートクラウドがある
Re: (スコア:0)
その割には毎年のようにアメリカ政府のクラウドから情報流失したニュースを見かけるんですが、あっちも同じだわw
Re:なんで官公庁がパブリッククラウドを使うの? (スコア:2)
> AWSが完全なプライベートクラウドのセットを販売していたような気もする。
AWS GovCloud じゃなくて、AWS Outposts のことなら、
Outposts は物理的に敷地内におけるだけで、管理はパブリッククラウドの AWS コンソールからするものだから、「完全なプライベートクラウド」というにはちょっと……
Re: (スコア:0)
自分がそれ使えって言われたら、確実に無視するな。
不便すぎる。
Re: (スコア:0)
なんで?
OpenStackとかぶち込んでおくだけじゃん。
Re: (スコア:0)
古き良きジャパニーズ鎖国時代に逆戻りしろってか
Re: (スコア:0)
てかこのままコロナで全世界鎖国しといていいよ。行き過ぎたグローバリズムはみんな懲り懲り。
Re: (スコア:0)
んな満足にメールも送れない「プライベートクラウド」に何の利用価値があるのか。
ぶっちゃけオンプレでいい。
Re:なんで官公庁がパブリッククラウドを使うの? (スコア:1)
んな満足にメールも送れない「プライベートクラウド」に何の利用価値があるのか。
社内システムにしても、まったくInternetと繋がらないシステムも珍しい…かな。
ぶっちゃけオンプレでいい。
クラウドというからには、少なくともハードウェアの運用・保守はしなくていいんだろうから、その辺りにどのくらいの価値を見出すか、ってことになるんじゃね?
クラウドの利点と言うと、拡張性が挙げられるけど、この条件の「プライベートクラウド」だと、オンプレの仮想基盤と大きく違わないかもね。
Re:なんで官公庁がパブリッククラウドを使うの? (スコア:1)
> 大きな企業や研究所で、大きめのオンプレな仮想基盤を導入し、OpenStackなどで組織内に対するクラウドサービスを提供するってのはあるはず。
それ「それは単なる仮想化でしょ、どこがクラウドだよ」と利用者から揶揄されるやつですよ……
Re:なんで官公庁がパブリッククラウドを使うの? (スコア:1)
// だってこうでも言わないと予算くれないもん的
Re:なんで官公庁がパブリッククラウドを使うの? (スコア:1)
残念ながら、クラウドコンピューティングの定義には「ハードウェアの運用・保守はしなくていい」というのは無いんだよね。
そうだね。
私としては、プライベートクラウドを、サービスとして利用することを想定してた。
そうでないなら、なんらメリットは無いね。
OpenStackなどで組織内に対するクラウドサービスを提供するってのはあるはず。
HCIをオンプレで入れるのが楽でいいじゃね? Nutanixとか。
Re: (スコア:0)
関連リンク?
総務省が18億円かけて導入したセキュリティシステム、一度も使わることなく廃止 | スラド セキュリティ [security.srad.jp]
Re: (スコア:0)
だってお前ら、プライベートクラウド使ってたら
「税金の無駄! AWS使え!」
ってうるさいじゃん
Re: (スコア:0)
いや、AWSはクソ高いだろw
Re: (スコア:0)
AWSは高いから、アメリカ西海岸の無名業者がやってるクラウド使え
(AWSよりはるかに安い)
こんなのは?
デジタルガバガバメント (スコア:0)
どんだけシステム作っても使用者の意識がゆるすぎなんでは