宇宙開発事業団の不正アクセス事件で3人逮捕 57
ストーリー by Oliver
政治の匂い 部門より
政治の匂い 部門より
pierre曰く、"以前に話題になった宇宙開発事業団に不正侵入の件で、警視庁はNEC東芝スペースシステムの元社員3人を不正アクセス禁止法違反容疑で逮捕したそうです。
すでに朝日新聞、毎日新聞等のサイトで報道されていますが、基本的には「三菱電機社員のアカウントを使って三菱電機の情報をダウンロードして上司に送ったこと」と「パスワードを類推可能な情報を上司ら86人にメールで送った」ことが問題とされているようです。
単にパスワード発行方法の脆弱性を指摘するだけならともかく、これが事実なら弁解の余地はほとんどなさそうですね。"
そしてセキュリティーはますます… (スコア:5, 参考になる)
例えば、自分のパスワードが「NEC」だったので、「MITSUBISHI」としてみたら相手側にログインできた、というような感じだったのだろう。
で、セキュリティーの脆弱性を指摘するために、各社と事業団のメンバーが入っている開発MLにその旨を投稿した。
ライバル社の機密情報入手という意図はあったかもしれないが、それでMLに投稿するだろうか?
彼らの手抜かりは、実際にログインして「侵入」してしまったこと。これは確かに法律違反。こうすれば [srad.jp]よかった。
ただ、これで逮捕ということになると、セキュリティー脆弱性の指摘はますます困難になる。
今でさえ、指摘した研究者に外部から脅しの電話が入ったり、通常業務に支障をきたす動きが学内・所内で起きたりするそうだ。
これに逮捕という道筋が加わると、ますますやりにくくなるのは必至…
Re:そしてセキュリティーはますます… (スコア:2, 参考になる)
この考えを組み入れて、法律的にも「進入された方が悪い」とかなればセキュリティー脆弱性の指摘もすこしはましになるのでしょうけどね。確かに不正進入も悪いけど、この程度で入られるなんて、君も悪いんだから諦めなさい、って。
(でもこれが過剰になって、ピッキングできた家に入るのは不法侵入じゃない!とか言い出す人が出てきたりして…)
Re:そしてセキュリティーはますます… (スコア:1)
普通、鍵をこじ開けて入ったら立派な不法侵入でしょう。
この場合は敷地を囲っていないために通行人が自分の敷地内
を道にしてしまっているような状況ではないでしょうか?
Re:そしてセキュリティーはますます… (スコア:1)
> を道にしてしまっているような状況ではないでしょうか?
そうだねぇ。
たぶん、敷地は囲ってるんだよ。
ただ、塀の高さがいかんせん低すぎる。
2メートルもある塀を乗り越えて入ったのと、
花壇の囲み程度の塀を乗り越えて入ったのと。
どっちも不法侵入には違いないだろうが、同等として扱うにはあまりにも…
# mishimaは本田透先生を熱烈に応援しています
Re:そしてセキュリティーはますます… (スコア:2, 興味深い)
自分のパスワードが「NEC」で、
「MEC」とtypoしたら、逮捕されちゃった
だったらやだな。
もちろんその後の行動が問題、それは司法に任せるとして。
Re:そしてセキュリティーはますます… (スコア:2, 参考になる)
Re:そしてセキュリティーはますます… (スコア:1, 参考になる)
厚生労働省の担当部局はどこでした?
復職はどうなるのだろう? (スコア:3, 興味深い)
この手の部門ってそれ程大きくないので戻れるかどうか気になりますね。
しかし、なぜ今さら?って感じもする。
> 実害が無いため刑事起訴はしない方針
見せしめ感を強く受けるが…
今の御時世 (スコア:1)
★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
Re:今の御時世 (スコア:1)
事件の真相は解りませんが好意的にセキュリティ脆弱製を指摘したとして考えると
セキュリティ意識の高い人だから自社のシステムのセキュリティチェックを
お願いするとか・・・
モラルが全くなくて悪意を持って情報を盗んだのなら泥棒を家に上げる様なものですけど。
ILoveYouウィルス作った人の所に求人が殺到したって話もありますし・・・
(まぁ今回は高い技術を持って壁をうち破った訳ではありませんが)
やっぱり採用しないのが無難か・・
重蔵。
Re:復職はどうなるのだろう? (スコア:0)
ライバル会社でもこの手の「犯罪」を犯してしまうと実力があっても採
Re:復職はどうなるのだろう? (スコア:0)
まあ、報道後に「元社員」になっているかもしれないが。
なんにしてもかわいそうすぎ。
Re:復職はどうなるのだろう? (スコア:0)
Re:復職はどうなるのだろう? (スコア:0)
Re:復職はどうなるのだろう? (スコア:0)
↓
宇宙開発事業団は不正アクセスを確認後方針転換
↓
NEC東芝スペースシステムを1カ月間の指名停止処分
↓
実害が発生、警視庁ハイテク犯罪対策総合センターへ告発
↓
逮捕
#触らぬ神に祟りなし
こうじゃないの? (スコア:2, 参考になる)
↓
NEC東芝スペースシステムを1カ月間の指名停止処分
↓
実害が無いとして刑事起訴はしなかったのに
↓
警視庁が独自に捜査
↓
タイーホ
Re:こうじゃないの? (スコア:0)
↓
「てめえら、不正アクセスしやがったな!」
↓
くそお、指名停止にしてやれ。
↓
あーくそ、まだ腹の
ついついやってみたくはなるだろうが。。。。 (スコア:3, 興味深い)
それをしてしまうと、その「やったこと」が一人歩きし、結果はこうなってしまう、という良い例だと思います。
プディングの味は食わねば判るまい? (スコア:1)
でも、それ、どうやって実現するんですか?
今回みたいに「類推できる」ていう状態ならば、
類推した時点で(実際に試さずに)その可能性のみを
(実地検証せずに(笑))報告すればいいのかも知れませんが、
どんな状況でもそうなるとは限らないと思います。
つまり、実地検証せずに可能性だけ語ろうと思えば一般的には、
いってみれば「あらゆる」可能性を指摘できるわけで、
そうするだけなら子供でも出来ることです。
実際に意味のある報告をしようと思ったとき、
実地を伴なわないと絵空事に過ぎない、というもののほうが多いんじゃないでしょうか?
そして絵空事の報告なんて誰にとっても手数の無駄なだけです。
でも試すわけにはいかない、といわれても、実際に自分らが
その(あぶなっかしいかもしれない)システムを使うにあたって
「信頼しろ」と言われたら、こりゃ困ってしまいます。
え?会社のシステムなんだから、セキュリティ甘くてドツボにはまっても
各自は困らないだろう、むしろ困らないようにしとけ、ということですか?
つまり、仕事のデータは「自分で」安全なところにかくまっておけ、とか?(笑)
まさかね?
それとも、そのせいで仕事が頓挫しても、キミらの責任ではないのだから心配するな、安心して「仕事を中断しろ」、とでも?(笑)
これもまさかね?
かように、まともに仕事をする志の有る人が、取るべき妥当な振舞いが、存在しなくなっちゃう恐れがあるような気がするんですが、どうなんでしょうか?
つまり、クラッカーだけじゃなくハッカーまでスポイルされちゃう!!
よだん:
「まともな」パスワードシステムの作りかたって、
必要な技術の部分要素についてはパターン化されてますよね、「きちんと学んだ人たちの間では(笑)」。
こういうものって、最低限のきちんとしたものを「知って」いるかどうかが、
結構鍵だったりするんで、その段階に満たない人やシステムが
パスワシステムを語る(ましてや破られたと騒ぐ)って、ちゃんちゃらおかしいのですが…
Re:プディングの味は食わねば判るまい? (スコア:1)
>その(あぶなっかしいかもしれない)システムを使うにあたって
>「信頼しろ」と言われたら、こりゃ困ってしまいます。
だったら、きちんと手続きを踏んで、許可を取って実地検証すればいい話じゃない。
動機はどうあれ、今回の事件は犯罪なんだから。
>かように、まともに仕事をする志の有る人が、取るべき妥当な振舞いが、
>存在しなくなっちゃう恐れがあるような気がするんですが、どうなんでしょうか?
作業が中断して困る、というのであれば、相手側とそういう折衝をするべき。
顧客との交渉も仕事のうちでしょ。
それが「妥当な振る舞い」であって、違法を承知で実地検証するのは言語道断と思えり。
理想を言えば.... (スコア:2, 興味深い)
理想を言えば、独立的なセキュリティ監査セクションを置いて、個々の社員(場合によっては顧客や取引先などの外部の人も)はそこに事例を報告、検証や対策の指示は監査セクションで行う....という風にできれば良いんでしょう。と言うか、それ位しないとセキュリティ上の危険はなかなか減らないように思うぞ。
Re:理想を言えば.... (スコア:1)
社員かどうかというよりも、タイムスケールの問題じゃないかな。
つまり、そんな「悠長な」ことをしてられない切迫(?)した状態っていうか。
いいかえれば、相手の「対応」がノロければ、いつまでたっても解決せず、
こっちは座して(死を)待たざるを得なくなるわけで、
そういう意味ではセキュリティ穴の発見者による迅速な公開の是非
の問題あたりと、やはり似ているのでは?
#そんな職場はとっとと辞めろ、というのもまた選択の一つではあるのは判りますがね。
Re:理想を言えば.... (スコア:1)
???
>辞められる人がうらやましい
ええ。俺もそう思いますよ。
だからこそ、理想通りやめることができない人、がいるのと同様に、
理想通り該当法を破らずにいることができない人(立場)、もいるんじゃないの?
という話を、したつもりなのですが。
#労働時間の「不当な」延長と同じ問題かもだね。
食べていいよ、と言われればね (スコア:0)
極端な言い方をすれば「えーと、この包丁で人が殺せると思うんですけど、一回殺してみたいんで、やってみました。で、やってみたけど、ほんとに殺せちゃった。包丁って、ほんとに怖いんですね」ということと言ってることは同じですね。この人は。
> うするだけなら子供でも出来ることです。
そのレベルでいいと思いますよ。常識的に。あとは先方の責任者がどうするか、というだけのこと。あとはどうしようと、どうなろうと、被害が全世界に及ぼうとも、そこから先は先方の責任ですから、こちらでとやかく言うことじゃない。
Re:食べていいよ、と言われればね (スコア:1)
で、貴方がおっしゃるように「鍵を破るのが全て犯罪者」(意訳)ならば、鍵を破られ侵入される事を放置する事が正しくなると言うジレンマが発生するのではないでしょうか?
世の中、全てが通りいっぺんでは片付かない問題が多くありますが、この手の脆弱性を 指摘するためのホワイトハッキング行為は(鍵屋によるピッキングの実験や錠前破り がそうであるように)節度を弁えるならば認められないと却って社会的な運営が滞 ってしまうのではないでしょうか
その意味でも、このような前例を作ったと言う意味で、司直も企業も愚かな行為を したのではないでしょうか。
Re:食べていいよ、と言われればね (スコア:0)
違うと思うぞ。包丁は見た目だけで危険というのはわかるが、セキュリティの問題は隠れているからね。隠れている問題については、あらゆる可能性をまくしたてる(Xinetdの設定がおかしい「可能性」がある、と根拠無しに言うとか)か、検証する(
Re:食べていいよ、と言われればね (スコア:0)
このような思い込みを仮定すること自体が、また別の種類の思い込みですね。
むしろ、ネット(ってなに)上
Re:食べていいよ、と言われればね (スコア:1)
え?そうなんですか?
そんなものは、とっくに結論が出てるんじゃないですか?
だからこそ逮捕がなされたわけで。
我々は、結論が決まってることをウダウダ言っていたんですか?
逆に言えば俺はそっちには関心は有りませんね。
実際俺がそれをやっちゃうかどうかというのとは独立の問題ですから、
「わざわざ阿呆な法律作っちゃったねえ」という指摘(?)のほうが
まだしも意味が有りそうだ。
え?阿呆だ(or not)という結論もまたとっくに出てるって?
こりゃ失礼しましたー(笑)
>ということができるほどネットに入れ込んでないし
ネット限定問題だと気楽に構えられる人も羨ましいなあ。
古来言うでしょ。廂を貸せば玩具を取られるって。(なんか違うぞ)
Re:ついついやってみたくはなるだろうが。。。。 (スコア:1, 興味深い)
繋がってしまったのかもしれないのですが、やはりこの場合でも
繋がったのがばれると不正侵入で逮捕されてしまうのでしょうか。
Re:ついついやってみたくはなるだろうが。。。。 (スコア:3, すばらしい洞察)
WEPとか使ってない限りは通常の操作でアクセスポイントに 接続できるわけだし、ESSID自体はアクセスポイントが電波を通じて大声で周りに教えているようなものだから、不正アクセス行為の禁止等に関する法律 [ipa.go.jp]で規定されている識別符号 [ipa.go.jp]のうち、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」に合致しないと思います。
そして無線LANのアクセスポイントを「特定電子計算機」と考えると不正アクセス行為 [ipa.go.jp]のうち、一号の「他人の識別符号を入力して...」はESSIDが法で定める「識別符号」として不適切だから関係ないでしょうね。二号と三号もあまり関係なさそう。
WEP暗号化しないと・・・ (スコア:1)
Windows XPの場合だとチェックボックスをオンにするだけで、
「そこへ侵入しようと意識することなく」繋いでしまいます。
# 場合によっては、いつの間に!?な状態になるかも。
## 逆に、別の方へ繋いでしまって大慌てというのも注意。
WEP暗号化によるスループット低下とか、管理が面倒とかあるんだろうけど・・・
某有名企業とかが、WEP暗号化もせず無線LANを使ってるけど、大丈夫なのかねぇ・・・
# DMZみたいに、専用のゾーンに分けてるなら良いんだろうけど。
私設RASサーバーならぬ、私設無線APも要注意になったのかな・・・
では。
以上、なんとなく、無線LANで気になっていることでした。
結局… (スコア:1)
今回のように類推して分かってしまった場合に、その内部のデータを持ち出して「アクセスできますよ」と言いふらしたところに問題がある気がします。
その報告が事実のみでしかも、そのサーバーの管理者または上司のみであったら、また対応は違ったんじゃないかな。
それか、うまいこと匿名にして報告とか。
好奇心が猫を殺すといいますが (スコア:1)
「あっちのパスワード、すごいずさんな管理みたいだよ」
「そこから侵入されて、こちらまで被害を被るのはやだな」
「じゃあ上に報告しなきゃ」
「事実かどうか分からんのに、報告なんてできるかよ」
「じゃあやってみようぜ」
「…入れたよ」
「でも、FTP経由じゃアップロードしかできないとか、重要データは読めない、とか」
「それでパスワードの管理が甘いのかも」
「…読めちゃったよ」
「どうしよう?」
「…とりあえず、報告しよう」
この状態で相手の会社に報告したら訴えられるから黙ってよう、
と思ってもおかしくないな。
ま、これはあまりに善意に解釈しすぎだが。
# mishimaは本田透先生を熱烈に応援しています
本当に自分だったらどうしたか? (スコア:1)
実際、私もいろいろなこの種の問題を偶然に発見しているけれど、以前は然るべき部署に報告していたこともあった。でも、今は周りのシチュエーションを考えてしないようにしていることが多いですね。自分と家族を犠牲にしてまで、「正しいこと」をするのは立派ですけれど、とても自分にはできない。これは本音。
あと、「こりゃどう考えてもひどい!」という場合は匿名による投稿も考えないではないですが、その場合もやはり慎重になります。
Re:好奇心が猫を殺すといいますが (スコア:0)
この事件では、ユーザが自分でパスワードを変更できないシステムだったんじゃ
なかったかしら。
Re:好奇心が猫を殺すといいますが (スコア:1)
そうなの?
それならその時点で侵入するまでもなく、
サーバ側管理者のセキュリティ意識のありようがわかるし、警告できるだろ。
「善意」は有りえなさそうだな…
# mishimaは本田透先生を熱烈に応援しています
Re:好奇心が猫を殺すといいますが (スコア:0)
利用者が変更する仕組みは開発中だそうです。
年越して久しいですし「開発失敗」したのかもしれません。
Re:好奇心が猫を殺すといいますが (スコア:0)
Re:好奇心が猫を殺すといいますが (スコア:0)
「台帳」があって、パスワードがわからなくなったらそれを見る、みたいな :-D
パスワードどころか(オフトピ) (スコア:0)
小生の上長だ。
部下に聞くな。知らんわい、そんなもん!
この人はパスワードをPCのディスプレイに貼っている。
それだけでなく、Win2000のAdministratorにパスワードをかけてない
Re:パスワードどころか(オフトピ) (スコア:1)
# TAKEばかりだからデスマーチ進行が横行してるのか?
で、機密保持上問題があると苦言を呈したら、端末ではないのだから間違いではない。との単純明解な有難いお言葉
そのマシン、LANに繋がってるし、繋がっていなくても他人が安易にパスワードを知るのは機密上問題では…共有ファイルサーバ使っているんだし、個々のマシンのパスワードを公開するのは悪用のもとではないかと思うのですが…。
警視庁の意図は? (スコア:1)
指名停止にすると、もう1社に頼むしかなくなる罠。
しかも指名停止1カ月というと、その間に衛星の発注があったかどうか…
つまり今回の処分はNEC東芝に大きなダメージはない温情判決みたいなものだったはず。
なのになぜ今ごろ逮捕されたのか…?
Re:警視庁の意図は? (スコア:1)
今回逮捕されたホワイトハッカーたちは、甘々だった防衛宇宙企業のセキュリティアップのための人柱にされた可能性が高そうですね。
Re:警視庁の意図は? (スコア:0)
脆弱性の指摘じゃありません (スコア:1)
知らなかったそうです。
警察がやるべき事 (スコア:0)
公表して欲しい。
Re:警察がやるべき事 (スコア:3, 興味深い)
毎日の記事の最後にある、
ってのは具体的にどんなことしてるのか教えてほしいですね。
#実は「パスワード管理台帳」なるものが存在してIDとパスワードが
#全部書いてあるんだけど、今まではその辺に置いてあったのを
#今度は鍵つきの棚にしまうことにしましたって感じだったら笑うな。
単に「パスワードは類推しにくいものでお願いします」って
通達を出す程度なんですかね?
#「セキュリティー強化」って書くとなんだか
#以前の状態が全然問題無かったように見えるなぁ。
#たまたますごい人が居てやぶられただけなんだけど、
#今回はそのすごい人にも破られないようにしました
#ってニュアンスに読める。
Kiyotan
Re:警察がやるべき事 (スコア:1)
(つまり、ここではなく、あーいう発言をする人にこそ聞いてほしい話ですので(笑))
あえて書きますが、
>パスワードの管理徹底などセキュリティー強化
それを「逆効果」と呼びます(笑)。
ほんと、「管理」しては却って駄目なものもある、ということを
いいかげん学んで欲しいものです。特にセキュリティ方面では。
#台帳の存在が論外なのは言うまでもなし。
つまりパスワードという概念のなんたるかを理解してないことを意味するわけでして。
#そういや、パスワとは関係ないけど、舶来のシステムと日本企業とって、「個人」というものの完結性をどう捉えるか?が全然違うため、話が噛みあわなくて結構参りました。
#日本だと、個人をはっきり区別するシステムって、比較的受け入れられない印象を受けたです。
そんなことも出来てないくせに、実際にパスワ破ってしまった人様を
血祭りにあげるってのは、ちと人道的におかしいと思いますね。
パスワのなんたるかを理解してない奴の手になるシステムの「パスワ」なんて
これを破ったからといって「パスワ」破りに当ると考えるほうが
技術的に変なんでねーの?
こないだの偽CDの話と似てる(というか更にタチ悪い)が、
「これは(準)CDです」「これはパスワです」と、技術的裏付けが無いものを
勝手にパスワだと呼んでいるだけ、っていうかさー。
「パスワ」はやめて欲しい (スコア:0)
いくら、文意からパスワードの事だと分るからといっても
正直こんな省略はやめて欲しい。
たとえ警察であったとしても (スコア:1)
---- sinbo