富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 17
ストーリー by nagazou
持っていったデータがプロっぽい 部門より
持っていったデータがプロっぽい 部門より
富士通は11日、同社の提供している「ProjectWEB」で大規模な不正アクセスが発生した件で、社内調査を行ったところ129の中央省庁や企業などから情報が漏洩していたと発表した。この不正アクセスにより、システムを構成する機器類に関する情報、体制図、打合せメモ、作業項目一覧、進捗管理表、社内事務手続きに関するシステム関連の情報、さらに関係者の氏名・メールアドレス等の個人情報の一部が漏洩したとしている。第三者が同ツールの脆弱性を悪用し、正規利用者のIDとパスワードを取得してログインしたとのこと(富士通リリース、日経新聞)。
なんで社内調査で漏洩がわかるのか (スコア:0)
顧客情報を富士通社内に持っているということ?
Re: (スコア:1)
プロイジェクトWEBは、オンプレミスではなくクラウドベースのサービス提供だったとおもいます。
そのサービスを富士通が保守しているので必然的に顧客情報は把握されている。
Re: (スコア:0)
アクセスログを富士通の方で持ってるんじゃなかったか
Re: (スコア:0)
保守
Re: (スコア:0)
社内外で情報共有するためのシステムだから顧客情報がみっちり詰まってる。
正規利用者のIDとパスワード (スコア:0)
IDは連番で初期パスワードも定形的なものか誕生日でしたっけ。
大昔にNiftyServeがそんな感じで漏れてたね、そこから進歩してない。
Re: (スコア:0)
IDもパスワードも決めるのは管理者。
初期値がシステム的に固定であるわけじゃないよ。
Re: (スコア:0)
それって管理者がサルならセキュリティーもザルになるんじゃね?
Re: (スコア:0)
それが今回の話だろうな
Re: (スコア:0)
管理者が複雑なパスワードを設定してもサルな利用者が簡単なパスワードに変えてしまったら同じだよ。
Re: (スコア:0)
そういえば一ヶ月ごとにパスワードの変更が求められ、変更しない限りサービスが利用できず、
パスワードは過去に利用した物とは別の物を要求されるサービスがあったな
結果、複雑なパスワードを一ヶ月ごとに過去に使用したパスワードと重複しないように複数用意して使い回した
Re: (スコア:0)
俺の勤務先は30日ごとにパスワードの変更を要求し、過去に使ったパスワードを
拒絶するクソシステムを導入しやがったが、過去のパスワード参照は3つまでで、
変更期間の確認はしないというザルだったので、毎日3回パスワード変更を繰り返して
元に戻すというスクリプトを作成して事なきを得た。
Re: (スコア:0)
管理者がサルならむしろ安全なパスワードになると思うんだが。
なんらかの脆弱性って (スコア:0)
利用者がどっかにメモしたままにしていたり、何人かで共有していたり、とかじゃないでしょうか。
Re: (スコア:0)