情報公開請求でコロナ患者管理システムの認証情報が漏洩、大阪市 47
ストーリー by nagazou
やらかし 部門より
やらかし 部門より
大阪市で市民からの情報公開請求が行われた結果、「新型コロナウイルス感染者等情報把握・管理システム(HER-SYS)」の認証情報がそのまま記載されてしまい、ログインに必要なIDやパスワードなどが外部に流出していたことが判明した(Security NEXT、産経新聞)。
情報公開請求に応じて交付した資料に本来行うべきマスキングしていなかったことが原因だった。4月20日に請求者に対して資料を送付したところ、問題が指摘されて発覚。遡って調査したところ、3月24日や4月20日に行われた情報公開請求を行った6人に対しても、マスキングなしで情報公開していたことが判明したとしている。同市ではすでにパスワードを変更し、新たなIDを厚生労働省に申請しているとのこと。
情報公開請求に応じて交付した資料に本来行うべきマスキングしていなかったことが原因だった。4月20日に請求者に対して資料を送付したところ、問題が指摘されて発覚。遡って調査したところ、3月24日や4月20日に行われた情報公開請求を行った6人に対しても、マスキングなしで情報公開していたことが判明したとしている。同市ではすでにパスワードを変更し、新たなIDを厚生労働省に申請しているとのこと。
マスキングが手動 (スコア:2)
紙媒体情報の電子化がそれほど進んでないとかかねぇ。
# 先進国の中でも人件費が安い方なのに人件費を減らそうとする頭の悪さが原因なのか?
Re: (スコア:0)
> 紙媒体情報の電子化がそれほど進んでないとかかねぇ。
紙媒体情報の電子化が進むと、マスキングが自動になるんですか?
Re:マスキングが手動 (スコア:1)
紙媒体のままで自動化できるんですか?
Re: (スコア:0)
マスキング自体は電子データだろうが紙媒体だろうが自動化できるよね。
問題はどこをマスキングするかだけど、これはどう自動化するの?
Re: (スコア:0)
ここがマスキングする箇所だ!!と念じれば自動でマスキングがかかる
というのがITに疎い人の理想のイメージかと
Re: (スコア:0)
>>> 紙媒体情報の電子化がそれほど進んでないとかかねぇ。
>> 紙媒体情報の電子化が進むと、マスキングが自動になるんですか?
> 紙媒体のままで自動化できるんですか?
もう一度聞くけど、
「紙媒体情報の電子化が進むと、マスキングが自動になるんですか?」
電子化を進めたほうが良いのは異論ないのだけれど
関係のない事象を、さも関係ある事象のように記載するのはちょっとね・・・
Re: (スコア:0)
自動でできるシステムにしとくべきだけどね。
Re: (スコア:0)
頻度低いし少しでも安く開発とか言い出してマスク処理が要件に入っていなかったうえに、手作業でマスクしないといけないということがミリほども認識されてなかったとかかなあ
もしかして (スコア:0)
ハッシュじゃなくて生パスワードが漏れたということですか…?
行政に都合の悪い情報は確実に黒塗りするけど、本当にマズいものの黒塗りをしないって何なの。
Re: (スコア:0)
生のままのパスワード保持を禁止する生パスワード禁止法が必要だな
Re: (スコア:0)
ハッシュって何でしょう。IT後進国だから分かりません。
Re:もしかして (スコア:1)
crypt(DES), bcrypt, MD5, SHA-1, SHA-224, SHA-256, SHA-386, SHA-512 の八種です。
Re: (スコア:0)
ポテトとビーフのどっちだろうか。
Re: (スコア:0)
なんにしても塩を利かせた方が美味いだろうね
Re: (スコア:0)
Re: (スコア:0)
IDパス漏れたら(IDパスでログインできるシステムなら)誰でもそれ使ってログインできるけど
IDハッシュだと(クライアント側でハッシュを生成送信するシステムでなければ)システムに侵入してハッシュを突っ込まないとログインできない。ハッシュからパスを推測するのは困難。
悪用の難易度が全然違うし、そこは安全と言い換えてもいい部分だよ。
Re: (スコア:0)
これサーバ側の情報じゃなくてクライアント側が使ってるIDとパスワードが漏れたんじゃないの?
「職員はこれ使ってログインすること」とか書いてある紙をコピーしてそのまま渡しちゃったんだろう。
ここをハッシュにするのは無理だよ。
Re: (スコア:0)
同じだよ。
客に渡す紙だとしても生パスワードが記載されてるなら保存しない。
保存前提ならなら期限付きの登録用ワンタイムパスワードを記載して、客はワンタイムパスワードでログインしてからIDとパスワードの発行を受ければいい。
「生パスワードをサーバーに保存しないこと」
これの本質的な意味が分かっていないからこういう間抜けなセキュリティホールができるんだよ・・・
「書類だから生パスワード保存には該当しない」「これは仕方ない」とかもうアホじゃないかと。でもそんなのが大多数を占めてるのが今の日本の業界。溜息しか出ない。
Re: (スコア:0)
客に渡す紙だとしても生パスワードが記載されてるなら保存しない。
保存前提ならなら期限付きの登録用ワンタイムパスワードを記載して、客はワンタイムパスワードでログインしてからIDとパスワードの発行を受ければいい。
そうじゃなくて、HER-SYSは国のシステムで、大阪市はユーザ側。厚労省から付与されたIDと(おそらく自分で設定した)PWが書かれた紙を情報公開請求に対しマスキングせずに開示しちゃったということかと。
産経の記事には
大阪市では2月にハーシスの入力作業を口頭で外部の業者に発注していた問題が判
Re: (スコア:0)
黒塗り忘れたなんて些細な問題なのよ。そんな書類が存在してる時点でセキュリティ的にアウト。
Re: (スコア:0)
いやまあIT屋さんとしては「そんなもの持つな」で万事解決、終了!なんだろうけどさ(それはそれで理解はする)、行政機関が情報公開に際して非開示情報を開示したってのは「些細な問題」どころか大問題なんですよ。ID/PW以外にも開示しちゃいけない情報は実際に存在していて、それは「持つな」というわけにはいかないものもあるのでね。
Re: (スコア:0)
その想定をするには
・初回ログイン後のパスワード変更必須なシステムになって *ない*
・一定数もしくは全ての職員が共通のアカウントを使っている
のどちらかを前提に置かないと発生しないけど、そもそもその想定される運用は問題がありすぎるんでは?
Re: (スコア:0)
担当者のうちの1人が自分のアカウントで初回ログインした後に、
変更したパスワードを忘れないように書類にメモしていた、はありえるのでは?
そのアカウントの権限のレベルは分かりませんが。
Re: (スコア:0)
まったく無関係のオフトピだが、Linuxのwifi設定の解説ブログで
PSKのパスワードはわざわざ隠して「ハッシュ値」は載せてるのがあった。
言い分によればパスワードは危ないから念の為隠すんだとか。
パスワードには人に知られたくない言葉が入ってるのかな〜と
思ってたんだが、もしかして「ハッシュ値」はパスワードより安全とか
誤解してたんだろうか。
# すくなくともWPA2は「ハッシュ値」で接続できます。
Re: (スコア:0)
ユーザーが入力したものなのか、システムが生成・発効したものなのかも気になる。
前者だと個人情報が入っていたり他サービスでの使い回しのせいで、二次被害出るかも
二段階認証はどうやって突破? (スコア:0)
「同システムには2段階認証が設定されているが、第三者のアクセスに対しても認証してしまった可能性があるという。」
https://www.security-next.com/136220 [security-next.com]
HER-SYSの二段階認証はサインインのたびに電話かSMSでコードを受け取ってそれを入力するタイプっぽいけど、第三者はそれをどうやって突破したんだろう。
二段階認証担当者が効いてくる相手を確認せずに無条件でコードを教えていたとか?
それなら二段階認証の運用に問題がありそう。。
Re:二段階認証はどうやって突破? (スコア:1)
二段階認証じゃなくて二要素認証(多要素認証)っていう言い方にならないのはなんでだろうな。
# 本当に「二段階」認証の所があったりするけど。
# パスワードで認証した後に別のパスワードって何の意味が…
Re: (スコア:0)
むしろ一段階で多要素認証してるところ少ないでしょ。
SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。
#IDで一要素、パスで二要素目。この二要素認証でいいよ
Re:二段階認証はどうやって突破? (スコア:1)
> むしろ一段階で多要素認証してるところ少ないでしょ。
> SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。
「二段階認証」はアクセス情報によって追加的な認証を求める(オンラインバンキングで振込の際にOTP入力を求める)ようなやり方のことで、単に認証要素を順番に入力する、という意味じゃない。
あと、Windows Hello とかは端末の所持認証とカメラや指紋での生体認証を同時に行っているので、「一度に多要素認証」になってる。
全然例は少なくない。
> #IDで一要素、パスで二要素目。この二要素認証でいいよ
ログインIDは一般に秘密情報ではないため、認証要素とはみなされない。
Re: (スコア:0)
SMSだけの一段階認証にしてるところわりとあるような
Re: (スコア:0)
二段階認証じゃなくて二要素認証(多要素認証)っていう言い方にならないのはなんでだろうな。
「イデーとバズワードで二段階ですよね?」とか言われそう
Re: (スコア:0)
GoogleやMicrosoftのドキュメントでは、2段階認証という呼称が基本になっている。
仮説で、「多要素認証」という概念が多段階と分離される前には「2段階」が通称であり、
その後呼称の正確化の機運が高まっても、大企業の用語集の方は(多分混乱を避ける動機で)直ちに更新されず、
それらのリーダー企業に倣ったドキュメントで未だ「段階」という用語が再生産されているのでは、と思うのだが。
それを裏付けるソースがこれと言って無く、記憶でも過去どうだったとか細かい事は覚えていない。
Re: (スコア:0)
検索結果の数では多要素認証も拮抗していて、どちらかが基本とは言えないと思う。
Re: (スコア:0)
最初に広まったのはGoogleが2段階認証という言葉を用いてからだね。多要素認証はあとから出てきた言葉。
Re: (スコア:0)
>電話の場合、システムからコールバックに応答し、プッシュボタンを押すことで認証が完了するしくみ。
略
>同市保健所の電話回線に限りがあり、ひとつの回線を複数職員で共有し、電話認証にも利用していたという。
頻繁にログインが行われるシステムみたいだから、第三者がログイン試行した時に、たまたま職員がログインしようとしていたら、かかってきた先の第三者の試行に対する認証電話に対して操作を行なってしまうんでしょうね。
Re: (スコア:0)
ありがとうございます、リンク先下部の「次へ」ボタンに気づいておらず、
記事の続きを読めていませんでした。
記事を細切れにしてページを分けるのはビューを稼いで広告収入を上げるためで、
インターネットの広告モデルのダメな部分だ!(八つ当たり)。
Re: (スコア:0)
ビューを稼いでもサイト側は広告収入は増えないのに、何を言ってるの?
Re: (スコア:0)
ビューを稼いでもサイト側は広告収入は増えないのに、何を言ってるの?
広告の種類によっては、ビューだけで広告収入は増えますよ?
クリックや、成功報酬の他にもビューによる収集はあります。
Re: (スコア:0)
ページ遷移に伴って異なる次々と広告が表示されますから広告クリック数も増えますし一般的に広告収入は増えますよ
当局の責任でないID変更には5億円かかります! (スコア:0)
とかやると、責任問題が明確になりそうな気がする。
Re:当局の責任でないID変更には5億円かかります! (スコア:1)
それはそれで漏れた際に隠蔽するって方向にいきそうな気がするので、厳罰化は慎重にしないと。
餌で釣るのがニンゲンは動かしやすい。
Re: (スコア:0)
感染者情報入力を契約書も交わさずに言い値の1億弱で発注しちゃう大阪市だから、5億くらいポンっと出すんじゃね?
まて、それは孔明の罠だ (スコア:0)
そこでHER-SYSにアクセスして来たら「不正アクセス禁止法違反」で大々的に告知して楽しいことに!
Re: (スコア:0)
HELL-SYSに改名だ!
イケてないのは (スコア:0)
IDパスワードが共用ってとこかな
こういう所でマイナンバーカードの利用者証明用電子証明書を使えば良いのでは
Re: (スコア:0)
マイナンバーは役職と無関係だから筋が悪い。
それこそ、FIDOのWebAuthn対応してYubiKeyでも配ればよかったのでは。