パスワードを忘れた? アカウント作成
16501334 story
セキュリティ

那覇市の図書館のランサムウエア被害、FWとVPN装置のセキュリティ修正プログラム未適用が一因か 30

ストーリー by nagazou
VPNは狙われやすいな 部門より
2022年10月に起きた那覇市立図書館でランサムウエアによる攻撃を受けて、貸し出しや検索ができないなどのシステム障害が発生している。琉球新報による最新の報道によると、この攻撃を受けた原因としてネットワークを保護するためのファイアウォールとVPN装置がランサムウエアの感染経路になった可能性が高いという(琉球新報沖縄タイムス)。

いずれも2019年に運用を開始して以来、アップデートなどがおこなわれておらず、脆弱性が残ったままだったとしている。同館の館長によれば、「セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた」としている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年02月14日 14時33分 (#4410592)

    >セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた

    曖昧だと思いたいのは図書館だけではないだろうか。
    契約にないことを会社がしないのは当たり前なんだから。

    • by Anonymous Coward

      脆弱性の対応するならこの見積、やらなくていいならこの見積って出して、安い方で発注したんでしょうね。
      実際、どこもそんな感じ。
      システムの導入予算は通るけど、日々の運用費はなかなか出さない。

      • そんな馬鹿な。入札要件にアップデート含めた保守も含まれているのでは。
        それとも要件はPCとサーバ周りだけで、ネットワーク機器は保守対象外だったんでありましょうか。

        親コメント
        • by Anonymous Coward

          最近のメーカー保守はソフトウェアアップデートはユーザー作業って条件のばかりな気がするけど。
          それともうちの会社がケチなだけか?
          # 障害問い合わせしても既知バグなのでアップデートしてくださいとしか返ってこない……

        • by Anonymous Coward

          保守は故障や修理までで、アップデートは運用というのが多いですね。
          かなり危ない脆弱性があったので、早急なアップデートか、該当する機能の無効化が必要だと連絡するくらいは納入会社(保守会社)がやるべきことだったかも。
          ライセンスが付いているようなUTMなので、メーカー、または保守会社からアップデートのお知らせは来ていたのではないかと思います。

          運用はできてないのなら、アップデート作業を発注すべきだったでしょう。

          運用を委託していたのなら、運用をやっていた会社の責任が大きい。

          • 重要システムなら、検証環境に検証機が置いてあって、
            検証機でアップデートとシステムテストをして、
            日程調整して手順を組んで本番アップデートするから、
            メーカー保守ではそんなところまでやらない。

            別途運用を委託した先がやる。

            親コメント
            • by Anonymous Coward

              SIerはシステム構築から運用までまるっと請け負うのでは。
              システム子会社持ってるような民間ならともかく自治体案件で運用だけ別会社はあまりないと思う。

              • by Anonymous Coward

                まるっと一括契約ではなくて別契約にするのがふつーでは。
                そして開札したら別の会社になったり

              • by Anonymous Coward

                >SIerはシステム構築から運用までまるっと請け負うのでは。

                いいえ~。そういうことはありません。
                構築と運用を請け負うSIerなんて滅多にいないと思いますよ。

                > システム子会社持ってるような民間ならともかく自治体案件で運用だけ別会社はあまりないと思う。

                自治体案件で運用だけ別会社ってのはよくあると思いますよ。
                ちゃんと入札していれば。

                でもたいていSIerは構築するだけして、あとは他に任せて次の案件の構築に向かいます。
                ずっと運用してたら儲からない。

                運用はSESな部署や会社がやって、そこが誘導して自社のSIerを呼び込むことはある。

            • by Anonymous Coward

              うん、で、なんで同じことを返信で書くの?

          • by Anonymous Coward

            うちは同一バージョンのマイナーバージョンアップは運用で行うけど、
            メジャーバージョンアップは別途有償SE作業。
            # 製品にもよるけど。FGだったら運用でやるかも。

        • by Anonymous Coward

          素人にとっては、IT機器も扇風機も同じ。
          壊れない限りメンテは要らない。そんなもん。

    • by Anonymous Coward

      ハードウェアの故障に対する保守はあっても、ソフトウェアのアップデートの保守は定められていなかったのでは。

      F社のUTMだと思われるけど、UTMの設定は運用会社(図書館?委託業者?)になると思うが、リース会社はハードウェアを貸すだけで、壊れた場合に修理交換するだけ。
      推測だが、図書館は一度導入したら変更でも生じない限りはずっとそのままで使えるものと思っていたのでは。

      そして、ファームのアップデートというものが、運用の範疇なのか、ハードウェアの不具合に準じる故障や障害に当たるものなのか曖昧であったと。

      • by Anonymous Coward

        UTMとかVPNサーバーはその性質から設定時に自動アップデートONにしてないのかな?

        • by Anonymous Coward

          自動アップデート適用時のサービス中断が許容されるか
          エンバグでのトラブルが許容されるか
          それらを回避するための仕組み作りが可能か

    • by Anonymous Coward

      こっちは素人なんだから提案ぐらいはしてくれてもいいじゃない。気が利かないなぁ。次期システムのコンペにはもう来なくていいよ。

      # 責任が曖昧になっていたという発言は、対応しないといけないと認識はしてたのか?

      • by Anonymous Coward

        で、実際はちゃんと提案してたって落ちですね。
        それ言うと、そんなに重要ならもっと強くいってくれててもいいじゃない。と。

        • by Anonymous Coward

          わかります。
          Internet Explorerの終了時のコメントですね。

      • by Anonymous Coward

        実際にこういうケース多そうだけどさ。
        真面目な話、セキュリティのことわかんないやつは役職者にしちゃあかんのよね。
        今の時代だとWord、Excelどっちも触ったことありませんと言ってるのと同じレベル。

        • by Anonymous Coward

          現在ではもう義務教育レベルの話ですからねぇ、これ。

        • by Anonymous Coward

          Word、Excelは通じるが、Edge、Chromeとなると???なレベルならゴロゴロいる。
          というか通じないのがデフォと考えたほうがいい。

    • by Anonymous Coward

      ※お客様の指示のもと販社が実施する

      販社:「指示がなかったから……」
      お客様:「情報の提供が無かっただろ」
      販社:「毎月ベンダーからのレポート届いてますよね?」
      お客様:「そんなもん細かいところまで見ていられるか」

    • by Anonymous Coward

      あきらかにリース会社は関係ないよね。曖昧なのではなく、ちゃんと理解していないだけでは?

      • by Anonymous Coward

        リース会社は保守の債務を負ってることが多いよ。
        機材はリース会社の所有なので、壊れたらリース会社のほうで対応する。

        でも機材のファームウェア(ソフトウェア)アップデートがその契約に入っているか曖昧だったのでしょう。

        保守会社はハードしか見ないが、ユーザーはアプライアンス製品の場合は実体がソフト主体の機能でもハードウェアだとみなす事が多い。

  • by Anonymous Coward on 2023年02月14日 22時32分 (#4410953)

    うちの会社でもIT担当が「Windows Updateをしてください」と言うけど、毎月のパッチチューズデーではなく半年に一回程度。ゼロデイ脆弱性のパッチがあっても特に急がない。
    さらにPC自体のセキュリティ対策BIOSアップデートがあっても対応しない。
    「ファームウェアアップデートにはセキュリティ対応も含まれる」とか「アップデートが必用なのはWindows(OS)だけではない」という認識はどれくらい一般的なんでしょうね

    • by Anonymous Coward

      そういう輩は一度痛い目に合うべきでしょうね。
      それでも理解はしないかもですが。

      • by Anonymous Coward

        痛い目にあったら被害者面するだけ。

  • by Anonymous Coward on 2023年02月15日 8時21分 (#4411068)

    運用会社は何の仕事してたんだろうね。
    セキュリティアップデートについて記載が無い契約書なんて持ってると思えないから
    「当方では対応しない」とかちゃんと書かれてる契約書の様な気がするよ

    • by Anonymous Coward

      運用コストが高いので最低限度のだけやれ、あとは不要だ!と範囲を減らされたんじゃないの?
      減らした分は誰も対応せず放置された結果ランサムの生贄になった

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...