パスワードを忘れた? アカウント作成
15804733 story
Digital

デジタル庁が運用するメール中継サーバが不正アクセス、1万3000件の迷惑メールが送信 38

ストーリー by nagazou
不正アクセス 部門より
デジタル庁は26日、同庁が運用する「GビズID」のメール中継サーバーが不正アクセスを受けたと発表した。これにより「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したとしている。迷惑メールは9月24日16時30分から17時00分までの間に送信された。個人情報の漏えいは確認されていないとしている(デジタル庁時事ドットコム)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年09月29日 14時19分 (#4335365)

    緩いサーバが見つかるとそれを踏み台に大量のメールを送信。
    かれこれ30年近くずっと見る光景。

    • by Anonymous Coward

      とはいっても今どきマジかよ感はある。
      まさかのオープンリレー状態ってことはないとは思いたいが、
      デジタル庁は当然手本となるような詳細な調査報告をやってくれるはずだ!

      何処が構築したんだw

      関連:
      デジタル庁、脆弱性診断士を公募中
      https://security.srad.jp/story/22/09/11/1515230/ [security.srad.jp]

      • by Anonymous Coward
        > デジタル庁、脆弱性診断士を公募中

        犯人を採用する、と
      • by Anonymous Coward

        普通に考えたら何かの作業ミスで一時的にオープンリレーになっていた、とかだけど、
        デジタル庁のpdf見ても原因については何も書いてないね。

        • by Anonymous Coward

          >デジタル庁のpdf見ても原因については何も書いてないね。

          デジタル庁が原因を把握できるのかな

        • by Anonymous Coward

          ふつーに脆弱なパスワードが割れてSMTP AUTH突破されただけじゃね?
          昔お客のメールサーバでパスワードが割れて踏み台にされたこと何度かあるし。

      • by Anonymous Coward

        日本はまだマシじゃね。
        国外だと、.edu(アメリカ) や .gov.ph(フィリピン政府) とか、
        教育機関・政府機関すらも迷惑メール飛ばしてるよ。

        • by Anonymous Coward

          国外だと、.edu(アメリカ) や .gov.ph(フィリピン政府) とか、
          教育機関・政府機関すらも迷惑メール飛ばしてるよ。

          その辺は内部の小遣い稼ぎだったり網内に踏み台設置してたりでしょうね
          日本の物理セキュリティを考えるとむしろ既にそうなっていない状況のほうが不思議ですね

      • by Anonymous Coward

        デジタル庁、脆弱性診断士を公募中

        脆弱性診断士「脆弱性発見!上に報告したからヨシ!」
        偉い人「脆弱性診断士がちゃんと仕事しているからヨシ!」
        超偉い人「予期に計らうよう指示したからヨシ!」
        以上

        こうなったりして、、、

        • by Anonymous Coward

          外部の人「予期した通りになったのでヨシ!」

      • by Anonymous Coward

        悪い手本?

  • by Anonymous Coward on 2022年09月29日 14時37分 (#4335381)

    まともな人材いるの?
    民間のトップクラスの人材が報酬ではなく「志」で参集した体裁にはなってるが、そんな都合のいい話があるわけないだろうw

    # 空気感は多重請負満載のそこいらの外注部屋と変わらんのじゃね?

    • by Anonymous Coward

      まともな人材いるの?

      私、絶対に設定ミスをしません。したことありません [it.srad.jp]。採用してください。

    • by Anonymous Coward

      まともな人材いるの?

      まともな人材を雇い指示できる人材が一番重要なんですがそれが居ないってことでしょうね
      メールサーバー公開のイロハが踏み台対策だってのにね

      • by Anonymous Coward

        デジタル庁設立前のトピックでスラドの住民は管理職と技術者の役割すらわかってないコメントしてた奴もいたし
        そういう無能が集まってるんでしょ。なぜ技術者に管理の仕事をやらせて無駄遣いさせるのかほんと意味不明。

    • by Anonymous Coward

      失敗したら叩かれることがわきってるからなぁ
      出来たらやりたくないわ
      他の仕事選べる人はやらないかもね

      • by Anonymous Coward

        失敗したら叩かれることがわきってるからなぁ

        ちゃんと仕事する(予防):害が出ず効果がわからないから穀潰し評価
        ちゃんと仕事する(発覚):不都合を指摘したものとして全責任を負わされる

        予防できなかったことによる被害=防いだものの功績という当たり前の評価ができる文化ではないので貧乏くじ以外の何物でもないよね

        • by Anonymous Coward

          わざと炎上させて「火消し」で活躍した方が評価されるしなw

          何度も障害繰り返すみずほとか意図的にやってんじゃねかって思う時がある。

    • by Anonymous Coward

      おまえら根本的にデジタル庁を勘違いしてないか?
      技術に裏打ちされた政策を考えるために志願した人達がメールサーバの運用みたいなことに関わってると思うほうがどうかしとるわ。
      こんなもん多重請負満載のSIerに丸投げで構築・運用してるに決まっとる。

      • by Anonymous Coward

        https://nsearch.jp/nyusatsu_ankens?fulltext=GビズID&fulltext_target_... [nsearch.jp]
        落札したのはNでやってるのはその下請け?

      • by Anonymous Coward

        こんなもん多重請負満載のSIerに丸投げで構築・運用してるに決まっとる。

        自分がなんの指示を出しているのかもわからずに指示を出している状態が顕在化した例なのではないかな

        # ちゃんと要件定義できていれば踏み台にされるような定義にはならんかと

        • by Anonymous Coward

          自分がなんの指示を出しているのかもわからずに指示を出している状態が顕在化した例なのではないかな

          関連リンク
          サーバー停止の指示を出した責任者がその意味を理解しているとは限らない [srad.jp]

        • by Anonymous Coward

          メールサーバ作って!で、なんもかんもいい感じにやってくれる(はずな)のがSIerやぞ。
          # 少なくともおれがSIerにいた頃は
          いちいち踏み台にされない定義でよろしくとかナイナイ。

          なので、建前はおまえらが言うようなことになるけど、現実的にはやらかした業者の技術不足。

          • by Anonymous Coward

            日本のIT業界で手を動かすのは多重請け末端のワープアなのは業界の常識なんだから、そんなことも知らずに指示したのかってのは責められる。

            きちんと再委託禁止を徹底して全担当者が一定のIT資格を保有して

            • by Anonymous Coward

              多重請け末端のワープアに指示を出すのはデジ庁ではなくてSIerで、なら責められるべきはSIerでは。

              • by Anonymous Coward

                最近は多重請けの労災責任やサプライチェーンリスクの問題もあって発注者責任ってのがあるんだけどね。
                公共事業だと末端の奴隷の社会保険の加入状況も含めて指示しなければならない。

              • by Anonymous Coward

                そんなの末端の負担が重くなるだけで、何の改善にもならないよ。
                むしろ悪化する。

              • by Anonymous Coward

                っていうかもう義務化されてるので。

                改善したのかな?大っぴらに多重請けできなくはなってるけど担当者同士で「知らなかったことにする」運用はちらほら見るが。
                あと末端まで監督責任を問われる結果として身元確認できない外国人は締め出すようになった。スパイの侵入を防ぐ点からは改善ポイント。

              • by Anonymous Coward

                契約書に、
                >パッチを適用する場合は既存システムに悪影響を与えない事を保証すること
                とか書かれてるのかもね。

            • デジタル庁で働いている人達って、大手SIerの人達だと思っているんだけどね。
              誤解かな?
              そうだとすると、こまれまで通り、グダグダなままでしょうよ。
              採用した人材の所属会社名と人数は、公表するべきだと思うよ。

      • by Anonymous Coward

        なら、総務省あたりが主管となってやっても同じではないの? 何のためにデジタル庁が必要なのかいまいちよくわからないんですよね。

    • by Anonymous Coward

      まあ、新型コロナワクチン接種証明書アプリは出来が良かったと思うわ。

    • by Anonymous Coward

      民間のトップクラスの人材が報酬なしで集まるわけないんだよなあ。マイクロソフトやパソナみたいに自社に優先的に仕事回してもらえたりするんでしょ。

    • by Anonymous Coward

      お世辞でもあまりいるとは言えない。
      発足時に滝志で入ってきたもは佳いのだけど、内部の体制があまりにもお粗末だった。
      3ヶ月〜半年くらいでまともな人材は民間企業へと戻っていった。
      替わりに入ってきたのがデジタルマーケティング系の人々。技術には疎いくせに「DXだ」と周りで怒鳴り散らして自身は何もしない人々。
      現場で一生懸命仕事をしている人の成果を掠め取りたいだけのただのゴミがマウントを取るものだから、現場は困窮してます。
      デジタル庁は発足前から失敗が約束されていたので、そろそろ終焉かな。

      • by Anonymous Coward

        誰か教えて欲しい。「滝志」ってなに?

        辞書が手許にないので、ググって見たけど、それらしき単語は見当たらない。
        誤字(タイプミス、変換ミス)だとして、本当はどうしたかったの?

  • by Anonymous Coward on 2022年09月29日 16時58分 (#4335530)

    メールシステム系のアップデートによる被害ってわけではないよなぁ

    /*
    昔Apacheが強制オープンプロキシ化のバグアップデート出したのはいい思い出
    挙動に違和感覚えてログ見たらGBクラスのログに育ってた
    自前でモジュール外した数日後にようやくやらかしました告知が上がる体たらくは呪わしかったなぁ
    各ブラックリストサービスに解除手続きと得たログからドロップ対象抽出して登録とかえらい面倒だった
    */

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...