原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 35
ストーリー by nagazou
なんという 部門より
なんという 部門より
原子力規制委員会は22日、いわゆるPPAP方式を採用したメールシステムに不具合が発生し、地方公共団体ならびに報道機関のメールアドレス計76件が漏洩したと発表した(原子力規制委員会リリース、PC Watch、Security NEXT)。
6月16日に記者懇談会の案内を地方公共団体と報道機関に送信した。このときシステムの不具合により、復号パスワードの通知を行うメールに、本来はBCCにすべきメールアドレスが表示されてしまったという。Security NEXTの記事によると、根本的な原因は不明だとしており、システムを開発した東芝ITサービスに対して原因究明を求めているそうだ。なおこのシステムでは、添付ファイルを送信すると必ず暗号化されてしまうとのこと。PPAP廃止にはシステムごと入れ替える必要があるらしい。
6月16日に記者懇談会の案内を地方公共団体と報道機関に送信した。このときシステムの不具合により、復号パスワードの通知を行うメールに、本来はBCCにすべきメールアドレスが表示されてしまったという。Security NEXTの記事によると、根本的な原因は不明だとしており、システムを開発した東芝ITサービスに対して原因究明を求めているそうだ。なおこのシステムでは、添付ファイルを送信すると必ず暗号化されてしまうとのこと。PPAP廃止にはシステムごと入れ替える必要があるらしい。
「原子力規制委員会」規制委員会 (スコア:2)
まあ、一般企業でもPPAPシステムを入れてるところはまだあるよね。
Re: (スコア:0)
毎回乱数生成のパスワードを変えてくるところはめんどくさい。
ちゃんとわかっている取引先は、自社名をパスワードに固定して使ってくれてる。
necとかfujitsuとかnttとかそういう感じで。
Re: (スコア:0)
>ちゃんとわかっている取引先は、自社名をパスワードに固定して使ってくれてる。
>necとかfujitsuとかnttとかそういう感じで。
何の意味もない
Re:「原子力規制委員会」規制委員会 (スコア:1)
意味がないことをちゃんとわかってるってことだな
Re: (スコア:0)
使うのはnec210626とかfujitsu6702とかntt0033とかだから。
少しは意味がある。少なくともPPAPよりはマシ。
Re: (スコア:0)
自分の取引先がの一つがPPAPシステム入れてるんですが、何故か本体は行方不明でパスワード通知メールだけが届くことがよくある。
相手は送ったつもりになってるので、「確認いただけましたか?」「届いていないよ」のやりとりが面倒
Re: (スコア:0)
暗号化した添付ファイルはマルウェアチェックができないのでフィルタしてるんだな。
Re: (スコア:0)
初見の送信元ドメインのメールは拒否する(受信側に拒否られた場合、送信元MTAが再送する設定になっているという想定)、
っていうフィルタリングシステムもありますしね。
Re: (スコア:0)
だから?何?
どういう話にしたいの?
Re: (スコア:0)
他人がどういう話にしたいかを聞くより、あなたがどういう話にしたいのかを考えてその方向へ誘導する投稿をすべきでしょう。
TOとBCC (スコア:1)
6月16日に記者懇談会の案内を地方公共団体と報道機関に送信した。このときシステムの不具合により、復号パスワードの通知を行うメールに、本来はBCCにすべきメールアドレスが表示されてしまったという。
最初に送った添付付きメールでBCCに入れていたメールアドレスが、その後のパスワード送付の時にTOかCCに入れられた。
ってことであってます?
毎回なら単に変数とか配列のミスタイプかなと思ってしまう。
毎回じゃなくて一回だけそうなったのなら、なんだかよくわからない要因がありそう。
>PPAP廃止にはシステムごと入れ替える必要があるらしい。
単にアドイン削除するか、メールサーバー入れ直せば良いということでもないのか。
Re: (スコア:0)
アドレス帳コピペした時に改行でも混じっていて狂ったとか有りそう。
PPAPシステム (スコア:0)
独特な障害発生って事はPPAPシステムをわざわざ自作してるのかな?
どうせなら配布用ストレージサーバ作った方が良さげな気がするけど
Re: (スコア:0)
独特な障害発生って事はPPAPシステムをわざわざ自作してるのかな?/p>
そりゃ頭おかしい要望出すとこのシステムだもの
既存にアドオン程度で済むわけがない
PPAPなんて氷山の一角でしょ
ありえない不整合な要求をどうにか動くように
フルカスタムにするしかどうにもならんでしょう
Re: (スコア:0)
最初のメール(添付ファイルがある方)は人間が作り、パスワードを通知するメールはプログラムが作っているんだろうと思いますが、両者のTO,CC,BCCは一致させる作りだったんでしょうか?それとも、パスワード通知メールは問答無用でBCCにする作りだったんでしょうか…?
一致させる作りだったなら、ヘッダは必要なところをコピーすればいいわけで、全部のアドレスをBCCに作り直すよりは単純な実装になりそうですが、BCCにするとなるとダミーのToを作るのか、一斉送信は諦めてToを一通一通変えるのか…なんかややこしそうですね。PPAPはやっぱり無理がありますね。
Re: (スコア:0)
元のメールのFROMをTOにし、TO・CC・BCCを全てBCCに入れれば良いだけ。
Re: (スコア:0)
ところがこれをやると、TOが自分宛じゃないからと無視あるいは弾く人がいるんですよ。
とりあえず (スコア:0)
BCCの使い方が間違ってるのが一番の問題じゃないの?
まぁ普通に考えれば (スコア:0)
エンジニア「ありえない仕様だけど致し方ない」
営業「クライアントかつお上絡みの要望に疑問は不敬」
発注担当「殿の仰せ疑問は不敬」
責任者「ぴぴぴだっけ?なんかいい感じによろ」
# もちろん責任は末端が負う
Re:まぁ普通に考えれば (スコア:1)
原子力規制委員会が変なルール作ったわけじゃなく、PPAPで商売しているのは民間でしょ?
Re: (スコア:0)
秘密の質問だとか定期的なパスワード変更とかね。
そうやって金を稼ぐ恥知らずな奴らがいるんだよな。
Re: (スコア:0)
JIPDECは否定してるけど、審査員がPPAP推奨してたってことがあったりしたのかもね。
Re: (スコア:0)
売った奴より買った奴が悪いってフェミが言ってた。
Re: (スコア:0)
そっちはフェミじゃなくても言いますがな・・・
Re: (スコア:0)
メール送信者俺は何もしていないメールを送っただけだ
PPAP (スコア:0)
あれからもう5年たつのか...
つまりは、ピコ太郎が悪いんですね (スコア:0)
結局PPAPを本質的に解消するにはどうすりゃいいの? (スコア:0)
ファイルアップローダを挟む形式にしても、そのパスワードを同じメールアドレスに送ってしまってはPPAPと何も変わらない。
パスワードだけ郵送やFAX、電話などで伝えるのは有効だけれども、利便性が著しく低くコストも高い。
PGPを使うのが一番良いし使いたいのだけれども、普及率が低すぎて社外とのやりとり、特に情報技術に明るくないお客様とのやりとりが絶望的。
どうすりゃいいのさ?
Re:結局PPAPを本質的に解消するにはどうすりゃいいの? (スコア:1)
ファイルアップローダーを使って、もしもメールを誤送信したらファイルをdeleteすればいい。
そもそもPPAPは「外部との情報やりとりを秘匿化したい」というソリューションでは、ないのです。
そういう場合は脱メールして、chatworkなどを使っては。
https://go.chatwork.com/ja/ [chatwork.com]
Re: (スコア:0)
別ACだけど、そういうファイル共有可能な別サービスを利用するのが妥当な解だと思う。
ただこれはこれで、無償だと信頼性が微妙、有償だとアカウント作るだけで金が要る、
ともすれば取引先の数だけ利用サービスが増えるで中々いい感じに行かない面はある。
Re: (スコア:0)
Microsoft Teamsなんかどうかな
https://www.microsoft.com/ja-jp/microsoft-teams/instant-messaging [microsoft.com]
中小だとMicorosoft365を入れていて、メールサーバーもOfficeもサブスクだったりするし。
Re: (スコア:0)
そんなのの導入をお願いできる相手ならPGPで行けるだろ。
それができない相手で困るという話。
Re:結局PPAPを本質的に解消するにはどうすりゃいいの? (スコア:1)
少なくとも恒常的な連絡をする取引先なら、SlackやTeamsをはじめとするメッセンジャーアプリでのやり取りにするのが適当だし、
実際若い会社はどんどんそのようにし始めてる
一定以上の世代は「チャット」というとやらかしの印象があるようで二の足を踏んでるだけだろう。
Re: (スコア:0)
パスワードは固定で最初に1度送れば
根本的な原因 (スコア:0)
>根本的な原因は不明だとしており、システムを開発した東芝ITサービスに対して原因究明を求めているそうだ。
こ れ は ひ ど い