デジタル庁は26日、同庁が運用する「GビズID」のメール中継サーバーが不正アクセスを受けたと発表した。これにより「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したとしている。迷惑メールは9月24日16時30分から17時00分までの間に送信された。個人情報の漏えいは確認されていないとしている(デジタル庁、時事ドットコム)。
変わらんよな (スコア:0)
緩いサーバが見つかるとそれを踏み台に大量のメールを送信。
かれこれ30年近くずっと見る光景。
Re: (スコア:0)
とはいっても今どきマジかよ感はある。
まさかのオープンリレー状態ってことはないとは思いたいが、
デジタル庁は当然手本となるような詳細な調査報告をやってくれるはずだ!
何処が構築したんだw
関連:
デジタル庁、脆弱性診断士を公募中
https://security.srad.jp/story/22/09/11/1515230/ [security.srad.jp]
Re: (スコア:0)
犯人を採用する、と
Re: (スコア:0)
普通に考えたら何かの作業ミスで一時的にオープンリレーになっていた、とかだけど、
デジタル庁のpdf見ても原因については何も書いてないね。
Re: (スコア:0)
>デジタル庁のpdf見ても原因については何も書いてないね。
デジタル庁が原因を把握できるのかな
Re: (スコア:0)
ふつーに脆弱なパスワードが割れてSMTP AUTH突破されただけじゃね?
昔お客のメールサーバでパスワードが割れて踏み台にされたこと何度かあるし。
Re: (スコア:0)
日本はまだマシじゃね。
国外だと、.edu(アメリカ) や .gov.ph(フィリピン政府) とか、
教育機関・政府機関すらも迷惑メール飛ばしてるよ。
Re: (スコア:0)
国外だと、.edu(アメリカ) や .gov.ph(フィリピン政府) とか、
教育機関・政府機関すらも迷惑メール飛ばしてるよ。
その辺は内部の小遣い稼ぎだったり網内に踏み台設置してたりでしょうね
日本の物理セキュリティを考えるとむしろ既にそうなっていない状況のほうが不思議ですね
Re: (スコア:0)
デジタル庁、脆弱性診断士を公募中
脆弱性診断士「脆弱性発見!上に報告したからヨシ!」
偉い人「脆弱性診断士がちゃんと仕事しているからヨシ!」
超偉い人「予期に計らうよう指示したからヨシ!」
以上
こうなったりして、、、
Re: (スコア:0)
外部の人「予期した通りになったのでヨシ!」
Re: (スコア:0)
悪い手本?
デジタル庁 (スコア:0)
まともな人材いるの?
民間のトップクラスの人材が報酬ではなく「志」で参集した体裁にはなってるが、そんな都合のいい話があるわけないだろうw
# 空気感は多重請負満載のそこいらの外注部屋と変わらんのじゃね?
Re: (スコア:0)
まともな人材いるの?
私、絶対に設定ミスをしません。したことありません [it.srad.jp]。採用してください。
Re: (スコア:0)
まともな人材いるの?
まともな人材を雇い指示できる人材が一番重要なんですがそれが居ないってことでしょうね
メールサーバー公開のイロハが踏み台対策だってのにね
Re: (スコア:0)
デジタル庁設立前のトピックでスラドの住民は管理職と技術者の役割すらわかってないコメントしてた奴もいたし
そういう無能が集まってるんでしょ。なぜ技術者に管理の仕事をやらせて無駄遣いさせるのかほんと意味不明。
Re: (スコア:0)
失敗したら叩かれることがわきってるからなぁ
出来たらやりたくないわ
他の仕事選べる人はやらないかもね
Re: (スコア:0)
失敗したら叩かれることがわきってるからなぁ
ちゃんと仕事する(予防):害が出ず効果がわからないから穀潰し評価
ちゃんと仕事する(発覚):不都合を指摘したものとして全責任を負わされる
予防できなかったことによる被害=防いだものの功績という当たり前の評価ができる文化ではないので貧乏くじ以外の何物でもないよね
Re: (スコア:0)
わざと炎上させて「火消し」で活躍した方が評価されるしなw
何度も障害繰り返すみずほとか意図的にやってんじゃねかって思う時がある。
Re: (スコア:0)
おまえら根本的にデジタル庁を勘違いしてないか?
技術に裏打ちされた政策を考えるために志願した人達がメールサーバの運用みたいなことに関わってると思うほうがどうかしとるわ。
こんなもん多重請負満載のSIerに丸投げで構築・運用してるに決まっとる。
Re: (スコア:0)
https://nsearch.jp/nyusatsu_ankens?fulltext=GビズID&fulltext_target_... [nsearch.jp]
落札したのはNでやってるのはその下請け?
Re: (スコア:0)
こんなもん多重請負満載のSIerに丸投げで構築・運用してるに決まっとる。
自分がなんの指示を出しているのかもわからずに指示を出している状態が顕在化した例なのではないかな
# ちゃんと要件定義できていれば踏み台にされるような定義にはならんかと
Re: (スコア:0)
自分がなんの指示を出しているのかもわからずに指示を出している状態が顕在化した例なのではないかな
関連リンク
サーバー停止の指示を出した責任者がその意味を理解しているとは限らない [srad.jp]
Re: (スコア:0)
メールサーバ作って!で、なんもかんもいい感じにやってくれる(はずな)のがSIerやぞ。
# 少なくともおれがSIerにいた頃は
いちいち踏み台にされない定義でよろしくとかナイナイ。
なので、建前はおまえらが言うようなことになるけど、現実的にはやらかした業者の技術不足。
Re: (スコア:0)
日本のIT業界で手を動かすのは多重請け末端のワープアなのは業界の常識なんだから、そんなことも知らずに指示したのかってのは責められる。
きちんと再委託禁止を徹底して全担当者が一定のIT資格を保有して
Re: (スコア:0)
多重請け末端のワープアに指示を出すのはデジ庁ではなくてSIerで、なら責められるべきはSIerでは。
Re: (スコア:0)
最近は多重請けの労災責任やサプライチェーンリスクの問題もあって発注者責任ってのがあるんだけどね。
公共事業だと末端の奴隷の社会保険の加入状況も含めて指示しなければならない。
Re: (スコア:0)
そんなの末端の負担が重くなるだけで、何の改善にもならないよ。
むしろ悪化する。
Re: (スコア:0)
っていうかもう義務化されてるので。
改善したのかな?大っぴらに多重請けできなくはなってるけど担当者同士で「知らなかったことにする」運用はちらほら見るが。
あと末端まで監督責任を問われる結果として身元確認できない外国人は締め出すようになった。スパイの侵入を防ぐ点からは改善ポイント。
Re: (スコア:0)
契約書に、
>パッチを適用する場合は既存システムに悪影響を与えない事を保証すること
とか書かれてるのかもね。
残念ながらデジタル庁≒大手SIerじゃないのか? (スコア:0)
デジタル庁で働いている人達って、大手SIerの人達だと思っているんだけどね。
誤解かな?
そうだとすると、こまれまで通り、グダグダなままでしょうよ。
採用した人材の所属会社名と人数は、公表するべきだと思うよ。
Re: (スコア:0)
なら、総務省あたりが主管となってやっても同じではないの? 何のためにデジタル庁が必要なのかいまいちよくわからないんですよね。
Re: (スコア:0)
まあ、新型コロナワクチン接種証明書アプリは出来が良かったと思うわ。
Re: (スコア:0)
あのQRコードは国際規格だからそれに文句言っても意味ないぞ。
Re: (スコア:0)
民間のトップクラスの人材が報酬なしで集まるわけないんだよなあ。マイクロソフトやパソナみたいに自社に優先的に仕事回してもらえたりするんでしょ。
Re: (スコア:0)
お世辞でもあまりいるとは言えない。
発足時に滝志で入ってきたもは佳いのだけど、内部の体制があまりにもお粗末だった。
3ヶ月〜半年くらいでまともな人材は民間企業へと戻っていった。
替わりに入ってきたのがデジタルマーケティング系の人々。技術には疎いくせに「DXだ」と周りで怒鳴り散らして自身は何もしない人々。
現場で一生懸命仕事をしている人の成果を掠め取りたいだけのただのゴミがマウントを取るものだから、現場は困窮してます。
デジタル庁は発足前から失敗が約束されていたので、そろそろ終焉かな。
Re: (スコア:0)
誰か教えて欲しい。「滝志」ってなに?
辞書が手許にないので、ググって見たけど、それらしき単語は見当たらない。
誤字(タイプミス、変換ミス)だとして、本当はどうしたかったの?
昨今のアップデートを見るに (スコア:0)
メールシステム系のアップデートによる被害ってわけではないよなぁ
/*
昔Apacheが強制オープンプロキシ化のバグアップデート出したのはいい思い出
挙動に違和感覚えてログ見たらGBクラスのログに育ってた
自前でモジュール外した数日後にようやくやらかしました告知が上がる体たらくは呪わしかったなぁ
各ブラックリストサービスに解除手続きと得たログからドロップ対象抽出して登録とかえらい面倒だった
*/