パスワードを忘れた? アカウント作成
15329916 story
スラッシュバック

原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 35

ストーリー by nagazou
なんという 部門より
原子力規制委員会は22日、いわゆるPPAP方式を採用したメールシステムに不具合が発生し、地方公共団体ならびに報道機関のメールアドレス計76件が漏洩したと発表した(原子力規制委員会リリースPC WatchSecurity NEXT)。

6月16日に記者懇談会の案内を地方公共団体と報道機関に送信した。このときシステムの不具合により、復号パスワードの通知を行うメールに、本来はBCCにすべきメールアドレスが表示されてしまったという。Security NEXTの記事によると、根本的な原因は不明だとしており、システムを開発した東芝ITサービスに対して原因究明を求めているそうだ。なおこのシステムでは、添付ファイルを送信すると必ず暗号化されてしまうとのこと。PPAP廃止にはシステムごと入れ替える必要があるらしい。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • まあ、一般企業でもPPAPシステムを入れてるところはまだあるよね。

    • by Anonymous Coward

      毎回乱数生成のパスワードを変えてくるところはめんどくさい。
      ちゃんとわかっている取引先は、自社名をパスワードに固定して使ってくれてる。
      necとかfujitsuとかnttとかそういう感じで。

      • by Anonymous Coward

        >ちゃんとわかっている取引先は、自社名をパスワードに固定して使ってくれてる。
        >necとかfujitsuとかnttとかそういう感じで。

        何の意味もない

    • by Anonymous Coward

      自分の取引先がの一つがPPAPシステム入れてるんですが、何故か本体は行方不明でパスワード通知メールだけが届くことがよくある。
      相手は送ったつもりになってるので、「確認いただけましたか?」「届いていないよ」のやりとりが面倒

      • by Anonymous Coward

        暗号化した添付ファイルはマルウェアチェックができないのでフィルタしてるんだな。

        • by Anonymous Coward

          初見の送信元ドメインのメールは拒否する(受信側に拒否られた場合、送信元MTAが再送する設定になっているという想定)、
          っていうフィルタリングシステムもありますしね。

    • by Anonymous Coward

      だから?何?
      どういう話にしたいの?

      • by Anonymous Coward

        他人がどういう話にしたいかを聞くより、あなたがどういう話にしたいのかを考えてその方向へ誘導する投稿をすべきでしょう。

  • by nemui4 (20313) on 2021年06月25日 14時02分 (#4057872) 日記

    6月16日に記者懇談会の案内を地方公共団体と報道機関に送信した。このときシステムの不具合により、復号パスワードの通知を行うメールに、本来はBCCにすべきメールアドレスが表示されてしまったという。

    最初に送った添付付きメールでBCCに入れていたメールアドレスが、その後のパスワード送付の時にTOかCCに入れられた。
    ってことであってます?

    毎回なら単に変数とか配列のミスタイプかなと思ってしまう。
    毎回じゃなくて一回だけそうなったのなら、なんだかよくわからない要因がありそう。

    >PPAP廃止にはシステムごと入れ替える必要があるらしい。

    単にアドイン削除するか、メールサーバー入れ直せば良いということでもないのか。

    • by Anonymous Coward

      アドレス帳コピペした時に改行でも混じっていて狂ったとか有りそう。

    • by Anonymous Coward

      独特な障害発生って事はPPAPシステムをわざわざ自作してるのかな?
      どうせなら配布用ストレージサーバ作った方が良さげな気がするけど

      • by Anonymous Coward

        独特な障害発生って事はPPAPシステムをわざわざ自作してるのかな?/p>

        そりゃ頭おかしい要望出すとこのシステムだもの
        既存にアドオン程度で済むわけがない
        PPAPなんて氷山の一角でしょ

        ありえない不整合な要求をどうにか動くように
        フルカスタムにするしかどうにもならんでしょう

    • by Anonymous Coward

      最初のメール(添付ファイルがある方)は人間が作り、パスワードを通知するメールはプログラムが作っているんだろうと思いますが、両者のTO,CC,BCCは一致させる作りだったんでしょうか?それとも、パスワード通知メールは問答無用でBCCにする作りだったんでしょうか…?
      一致させる作りだったなら、ヘッダは必要なところをコピーすればいいわけで、全部のアドレスをBCCに作り直すよりは単純な実装になりそうですが、BCCにするとなるとダミーのToを作るのか、一斉送信は諦めてToを一通一通変えるのか…なんかややこしそうですね。PPAPはやっぱり無理がありますね。

      • by Anonymous Coward

        元のメールのFROMをTOにし、TO・CC・BCCを全てBCCに入れれば良いだけ。

        • by Anonymous Coward

          ところがこれをやると、TOが自分宛じゃないからと無視あるいは弾く人がいるんですよ。

  • by Anonymous Coward on 2021年06月25日 14時24分 (#4057896)

    BCCの使い方が間違ってるのが一番の問題じゃないの?

  • by Anonymous Coward on 2021年06月25日 15時03分 (#4057929)

    エンジニア「ありえない仕様だけど致し方ない」

    営業「クライアントかつお上絡みの要望に疑問は不敬」

    発注担当「殿の仰せ疑問は不敬」

    責任者「ぴぴぴだっけ?なんかいい感じによろ」

    # もちろん責任は末端が負う

    • by Anonymous Coward on 2021年06月25日 15時53分 (#4057959)

      原子力規制委員会が変なルール作ったわけじゃなく、PPAPで商売しているのは民間でしょ?

      親コメント
      • by Anonymous Coward

        秘密の質問だとか定期的なパスワード変更とかね。
        そうやって金を稼ぐ恥知らずな奴らがいるんだよな。

        • by Anonymous Coward

          JIPDECは否定してるけど、審査員がPPAP推奨してたってことがあったりしたのかもね。

      • by Anonymous Coward

        売った奴より買った奴が悪いってフェミが言ってた。

        • by Anonymous Coward

          そっちはフェミじゃなくても言いますがな・・・

    • by Anonymous Coward

      メール送信者俺は何もしていないメールを送っただけだ

  • by Anonymous Coward on 2021年06月25日 15時28分 (#4057944)

    あれからもう5年たつのか...

  • by Anonymous Coward on 2021年06月25日 17時30分 (#4058026)
  • by Anonymous Coward on 2021年06月25日 21時22分 (#4058143)

    ファイルアップローダを挟む形式にしても、そのパスワードを同じメールアドレスに送ってしまってはPPAPと何も変わらない。
    パスワードだけ郵送やFAX、電話などで伝えるのは有効だけれども、利便性が著しく低くコストも高い。
    PGPを使うのが一番良いし使いたいのだけれども、普及率が低すぎて社外とのやりとり、特に情報技術に明るくないお客様とのやりとりが絶望的。
    どうすりゃいいのさ?

    • ファイルアップローダーを使って、もしもメールを誤送信したらファイルをdeleteすればいい。

      そもそもPPAPは「外部との情報やりとりを秘匿化したい」というソリューションでは、ないのです。
      そういう場合は脱メールして、chatworkなどを使っては。
      https://go.chatwork.com/ja/ [chatwork.com]

      親コメント
      • by Anonymous Coward

        別ACだけど、そういうファイル共有可能な別サービスを利用するのが妥当な解だと思う。

        ただこれはこれで、無償だと信頼性が微妙、有償だとアカウント作るだけで金が要る、
        ともすれば取引先の数だけ利用サービスが増えるで中々いい感じに行かない面はある。

      • by Anonymous Coward

        そんなのの導入をお願いできる相手ならPGPで行けるだろ。
        それができない相手で困るという話。

    • 少なくとも恒常的な連絡をする取引先なら、SlackやTeamsをはじめとするメッセンジャーアプリでのやり取りにするのが適当だし、
      実際若い会社はどんどんそのようにし始めてる

      一定以上の世代は「チャット」というとやらかしの印象があるようで二の足を踏んでるだけだろう。

      親コメント
    • by Anonymous Coward

      パスワードは固定で最初に1度送れば

  • by Anonymous Coward on 2021年06月25日 22時15分 (#4058166)

    >根本的な原因は不明だとしており、システムを開発した東芝ITサービスに対して原因究明を求めているそうだ。

    こ れ は ひ ど い

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...