那覇市の図書館のランサムウエア被害、FWとVPN装置のセキュリティ修正プログラム未適用が一因か 30
ストーリー by nagazou
VPNは狙われやすいな 部門より
VPNは狙われやすいな 部門より
2022年10月に起きた那覇市立図書館でランサムウエアによる攻撃を受けて、貸し出しや検索ができないなどのシステム障害が発生している。琉球新報による最新の報道によると、この攻撃を受けた原因としてネットワークを保護するためのファイアウォールとVPN装置がランサムウエアの感染経路になった可能性が高いという(琉球新報、沖縄タイムス)。
いずれも2019年に運用を開始して以来、アップデートなどがおこなわれておらず、脆弱性が残ったままだったとしている。同館の館長によれば、「セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた」としている。
いずれも2019年に運用を開始して以来、アップデートなどがおこなわれておらず、脆弱性が残ったままだったとしている。同館の館長によれば、「セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた」としている。
そこに曖昧さはあるのか? (スコア:2, 興味深い)
>セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた
曖昧だと思いたいのは図書館だけではないだろうか。
契約にないことを会社がしないのは当たり前なんだから。
Re: (スコア:0)
脆弱性の対応するならこの見積、やらなくていいならこの見積って出して、安い方で発注したんでしょうね。
実際、どこもそんな感じ。
システムの導入予算は通るけど、日々の運用費はなかなか出さない。
Re:そこに曖昧さはあるのか? (スコア:1)
そんな馬鹿な。入札要件にアップデート含めた保守も含まれているのでは。
それとも要件はPCとサーバ周りだけで、ネットワーク機器は保守対象外だったんでありましょうか。
Re: (スコア:0)
最近のメーカー保守はソフトウェアアップデートはユーザー作業って条件のばかりな気がするけど。
それともうちの会社がケチなだけか?
# 障害問い合わせしても既知バグなのでアップデートしてくださいとしか返ってこない……
Re: (スコア:0)
保守は故障や修理までで、アップデートは運用というのが多いですね。
かなり危ない脆弱性があったので、早急なアップデートか、該当する機能の無効化が必要だと連絡するくらいは納入会社(保守会社)がやるべきことだったかも。
ライセンスが付いているようなUTMなので、メーカー、または保守会社からアップデートのお知らせは来ていたのではないかと思います。
運用はできてないのなら、アップデート作業を発注すべきだったでしょう。
運用を委託していたのなら、運用をやっていた会社の責任が大きい。
Re:そこに曖昧さはあるのか? (スコア:1)
重要システムなら、検証環境に検証機が置いてあって、
検証機でアップデートとシステムテストをして、
日程調整して手順を組んで本番アップデートするから、
メーカー保守ではそんなところまでやらない。
別途運用を委託した先がやる。
Re: (スコア:0)
SIerはシステム構築から運用までまるっと請け負うのでは。
システム子会社持ってるような民間ならともかく自治体案件で運用だけ別会社はあまりないと思う。
Re: (スコア:0)
まるっと一括契約ではなくて別契約にするのがふつーでは。
そして開札したら別の会社になったり
Re: (スコア:0)
>SIerはシステム構築から運用までまるっと請け負うのでは。
いいえ~。そういうことはありません。
構築と運用を請け負うSIerなんて滅多にいないと思いますよ。
> システム子会社持ってるような民間ならともかく自治体案件で運用だけ別会社はあまりないと思う。
自治体案件で運用だけ別会社ってのはよくあると思いますよ。
ちゃんと入札していれば。
でもたいていSIerは構築するだけして、あとは他に任せて次の案件の構築に向かいます。
ずっと運用してたら儲からない。
運用はSESな部署や会社がやって、そこが誘導して自社のSIerを呼び込むことはある。
Re: (スコア:0)
うん、で、なんで同じことを返信で書くの?
Re: (スコア:0)
うちは同一バージョンのマイナーバージョンアップは運用で行うけど、
メジャーバージョンアップは別途有償SE作業。
# 製品にもよるけど。FGだったら運用でやるかも。
Re: (スコア:0)
素人にとっては、IT機器も扇風機も同じ。
壊れない限りメンテは要らない。そんなもん。
Re: (スコア:0)
ハードウェアの故障に対する保守はあっても、ソフトウェアのアップデートの保守は定められていなかったのでは。
F社のUTMだと思われるけど、UTMの設定は運用会社(図書館?委託業者?)になると思うが、リース会社はハードウェアを貸すだけで、壊れた場合に修理交換するだけ。
推測だが、図書館は一度導入したら変更でも生じない限りはずっとそのままで使えるものと思っていたのでは。
そして、ファームのアップデートというものが、運用の範疇なのか、ハードウェアの不具合に準じる故障や障害に当たるものなのか曖昧であったと。
Re: (スコア:0)
UTMとかVPNサーバーはその性質から設定時に自動アップデートONにしてないのかな?
Re: (スコア:0)
自動アップデート適用時のサービス中断が許容されるか
エンバグでのトラブルが許容されるか
それらを回避するための仕組み作りが可能か
Re: (スコア:0)
こっちは素人なんだから提案ぐらいはしてくれてもいいじゃない。気が利かないなぁ。次期システムのコンペにはもう来なくていいよ。
# 責任が曖昧になっていたという発言は、対応しないといけないと認識はしてたのか?
Re: (スコア:0)
で、実際はちゃんと提案してたって落ちですね。
それ言うと、そんなに重要ならもっと強くいってくれててもいいじゃない。と。
Re: (スコア:0)
わかります。
Internet Explorerの終了時のコメントですね。
Re: (スコア:0)
実際にこういうケース多そうだけどさ。
真面目な話、セキュリティのことわかんないやつは役職者にしちゃあかんのよね。
今の時代だとWord、Excelどっちも触ったことありませんと言ってるのと同じレベル。
Re: (スコア:0)
現在ではもう義務教育レベルの話ですからねぇ、これ。
Re: (スコア:0)
Word、Excelは通じるが、Edge、Chromeとなると???なレベルならゴロゴロいる。
というか通じないのがデフォと考えたほうがいい。
Re: (スコア:0)
※お客様の指示のもと販社が実施する
販社:「指示がなかったから……」
お客様:「情報の提供が無かっただろ」
販社:「毎月ベンダーからのレポート届いてますよね?」
お客様:「そんなもん細かいところまで見ていられるか」
Re: (スコア:0)
あきらかにリース会社は関係ないよね。曖昧なのではなく、ちゃんと理解していないだけでは?
Re: (スコア:0)
リース会社は保守の債務を負ってることが多いよ。
機材はリース会社の所有なので、壊れたらリース会社のほうで対応する。
でも機材のファームウェア(ソフトウェア)アップデートがその契約に入っているか曖昧だったのでしょう。
保守会社はハードしか見ないが、ユーザーはアプライアンス製品の場合は実体がソフト主体の機能でもハードウェアだとみなす事が多い。
Windows Updateかければ安全という思い込みがあるのでは (スコア:0)
うちの会社でもIT担当が「Windows Updateをしてください」と言うけど、毎月のパッチチューズデーではなく半年に一回程度。ゼロデイ脆弱性のパッチがあっても特に急がない。
さらにPC自体のセキュリティ対策BIOSアップデートがあっても対応しない。
「ファームウェアアップデートにはセキュリティ対応も含まれる」とか「アップデートが必用なのはWindows(OS)だけではない」という認識はどれくらい一般的なんでしょうね
Re: (スコア:0)
そういう輩は一度痛い目に合うべきでしょうね。
それでも理解はしないかもですが。
Re: (スコア:0)
痛い目にあったら被害者面するだけ。
運用会社は (スコア:0)
運用会社は何の仕事してたんだろうね。
セキュリティアップデートについて記載が無い契約書なんて持ってると思えないから
「当方では対応しない」とかちゃんと書かれてる契約書の様な気がするよ
Re: (スコア:0)
運用コストが高いので最低限度のだけやれ、あとは不要だ!と範囲を減らされたんじゃないの?
減らした分は誰も対応せず放置された結果ランサムの生贄になった