職場への不満から(?)自分以外の管理者パスワードを無効にしたエンジニア、逮捕される 73
ストーリー by hylom
海外でもですか 部門より
海外でもですか 部門より
あるAnonymous Coward 曰く、
米サンフランシスコ市の技術部門に勤めるエンジニアTerry Childs氏が、コンピュータシステムを改ざんし、自分以外のアドミンパスワードを全て無効にした疑いで逮捕された(San Francisco Chronicle、本家記事)。
動機については本人の口からは明らかにされていないが、氏の仕事のパフォーマンスが悪いことを理由に解雇が検討されたことがあり、職場に対する不満があったのではないかと推測されている。また、氏は自身の人事的進退についての動きをシステム上で不正にトレースしていた疑いも持たれている。また、Child氏または共謀する(もしくは依頼された)第三者によりメールや給与情報等の重要データが削除される可能性を恐れ、自宅や車の捜査を行ったが、今のところそのような証拠は見つかっていない。
Child氏がパスワードを教えることを拒んでいるため、現在管理者はアクセス権限が殆どないそうだが、システム自体は問題なく稼動しているという。
日本でも、契約更新を拒否された派遣管理者が管理者パスワードを悪用する事件があったばかり。こんなことをしてしまっては転職もままならないと思うのだが、こうも続けて報じられると、このような事件は日常茶飯事なのではないかと心配してしまう。
デモ (スコア:5, おもしろおかしい)
うちのシステムは、管理者が居なくてもきちんと動きますよという壮大なデモ。
rootに必要なもの (スコア:5, おもしろおかしい)
「rootに必要なもの。高い倫理観と安い給料」
ってのがあった。
納品したのに入金されない話し (スコア:4, 興味深い)
レンタルサーバーや電話回線は、支払いができなかったら運用が止まってしまうのですが、上記のような場合は支払いの延滞の場合は、クライアントのシステムに勝手にログインしてサーバーを止めてしまっても良いものなのでしょうか。
解雇されたり契約が継続されなかったりしても、やはりシステムに勝手にログインして業務を妨げることは違法ですよね。
契約書に明記しておけば良いのかな。「途中で解雇したり契約が継続されない場合は、私が作ったプログラムの権利は消滅します」なんて。
やはり、契約に関することは弁護士に相談したほうが良いでしょうね。
Re:納品したのに入金されない話し (スコア:4, 興味深い)
検収条件は同じだけれども技術部門と経理部門の両方で検収を行って、技術部門は検収を上げるんだけれども経理部門は難癖をつけて検収を上げまいとする。
検収をまぬかれて納入されたシステムは売上を上げるけれども、システムの所有は検収を上げて支払いをするまでは自分のところの会社の資産じゃないから売上を上げた月からシステムの値段+管理費分が丸々儲かる。
こういう話を聞くたびに胃がキリキリするんだ。
下請法にもろ引っかかってる [jftc.go.jp]と思うので公取にタレこめるはずなんだが、会社は次の売上のためだかなんだか知らないけどやらないんだよな・・。
Re:納品したのに入金されない話し (スコア:4, 興味深い)
支払い拒否されるのを見越して組み込んだらしいです……
notice : I ignore an anonymous contribution.
Re:納品したのに入金されない話し (スコア:2, 興味深い)
という話をみたことがあるような
Re:納品したのに入金されない話し (スコア:3, おもしろおかしい)
銀行口座を凍結されてるのに、どうやって金を振り込めたのか、考えると、夜も眠れません。
Re:納品したのに入金されない話し (スコア:1)
どこで見たんだっけなぁ…
Re: (スコア:0)
Re: (スコア:0)
# 当然、国外持ち出しとかあるだろうなぁ
Re:納品したのに入金されない話し (スコア:1)
ログイン権限が無い状態で相手のサーバー止めたいなら、裁判所に仮処分の申請するしかないのでは?
Re:納品したのに入金されない話し (スコア:3, 興味深い)
某物流系とか某金融系のシステムの運用やっているけど、勝手にログインは多いんだよな。
ログみると、計画/周知されたアクセス外ログインが多くて困っている。
権限なしならそもそもログインできないのだが、権限所有者の傲岸不遜さには困っちゃう。
最近、それを突っ込んだら、ログの改竄やってくれたのがいて、問題になっちゃったんだな。
金魚鉢(ガラス&ドアで区切られた管理者のみ入ってオケ)にいる運用屋としては、何をか言わんや..なんだけどね。
Re:納品したのに入金されない話し (スコア:1)
シェアウェアと同じ方式にすればいいんじゃない? (スコア:0)
振り込み確認後、パスワードを教えるということで。
最初の契約時に、そういう運用の仕方を仕様として明記して、受け入れてもらうことですな。
Re: (スコア:0)
Re: (スコア:0)
アルファテスト、ベータテストを、「製品版」「サービスパック1」として市場に流す企業がいるように、
それなりに聞こえがいい呼び方をすればいいだけです。
Re: (スコア:0)
そもそも、支払い不履行と判断された時に、
関わるシステム・サービスの提供を断りなく停止することを、
契約時に取り交わしておけばいいだけだと思うのですが・・・。
Re:シェアウェアと同じ方式にすればいいんじゃない? (スコア:2, すばらしい洞察)
アプリケーションを含むサーバ一式を納品してたら、先方がごねて支払いを
渋っても、使用を停止させる術がないですよね。
システムを停止させる為にログインすることはできないし、かといって
法的手段に訴えて支払わせるまでには、こっちのキャッシュフローが厳しい。
→なので、支払いがないと実運用できない仕組みを入れておく。
ということじゃないのかな?
Re:シェアウェアと同じ方式にすればいいんじゃない? (スコア:1)
旅館のテレビ……
今はさすがに10円100円入れるようなものではないのかなぁ。
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Re: (スコア:0)
Re: (スコア:0)
むしろ日本ぐらいじゃないの?信頼とかぬるま湯なこと言ってるの
金は払わない方が勝ちなの
Re:納品したのに入金されない話し (スコア:3, すばらしい洞察)
信頼なしに契約はなく、契約したなら信頼に応えねばなりません。
信用をなくせば立ちゆかなくなるのはどこの国でも同じでは?
この言葉は一面の真理ではありますが、それだけで世の中渡っていけるほど甘くもないと思いますが。
Re: (スコア:0)
Re:納品したのに入金されない話し (スコア:1)
「きちんと要求仕様通りのものをつくったのに評価されず、品質を根拠とした値引き交渉を持ち出された」という風にも解釈できるので、この辺はご本人に聞かないとほんとのところはわかりませんけれど。
Re:納品したのに入金されない話し (スコア:1, すばらしい洞察)
まあ、日本人は大多数の人が信用を重んじるのでそれを踏みにじる人は村八分にされるだけですが、
それに逆切れされてもねぇ…。
文化の違いって言えばそれまでですが、郷に入れば郷に従えですよ。
# 「どこの国もそうだよ」っていう言葉はある特定の国々の人達の口からしか聴いたことが無いな。
# 「わが国はそうだ」って言う国がほとんどじゃない?
余罪があれば (スコア:3, おもしろおかしい)
何人もの殺人を犯したとしても、パスワードが分かるまでは死刑執行が
できないということでしょうか。
パスワードを教えられない理由 (スコア:3, おもしろおかしい)
相当アレなパスワードが設定されてるですよね。わかります。
Re:パスワードを教えられない理由 (スコア:1)
似たような話で (スコア:2, 興味深い)
PCごと全部フォーマットしたまま逃げたってのはあったなぁ。
#1モジュールを一人が担当してたせいで1,2年そこのモジュールのリリース
#が遅れたんだよなぁ。ちょっと特殊なプログラムだから分業というわけにも
#いかないし。
まったく (スコア:2, おもしろおかしい)
Re:まったく (スコア:1)
引継ぎに失敗しただけだったりして (スコア:2, 興味深い)
退職時に、身辺整理中になんか重要そうなファイル消しちゃったぽいけど、
このあと送迎会だから、まいっか、、、って結構ありそう。
実際、あなたも退職した○さんのやってた仕事に関係する重要なファイルが
どうしても見つからない。。。って経験ありませんか?
# さっき仕事の煽りメールが来たのでIDで
## 回答したメールの返信で最後が、(wになってて煽りかと思った。
## Reで最後の(was以降が消えただけだったが。
甘いな (スコア:2, 参考になる)
自分も含め、全管理者のアカウントを無効にするべきでした。 嫌がらせは徹底しないと。
# 重要なのが『通常の業務には影響が出ないこと』
# 業務が動いている限り、OS再インストールなどの思い切った手は使えませんから、事態がずるずる長引きます。
notice : I ignore an anonymous contribution.
Re:甘いな (スコア:1)
自分のパスワードは有効である、というのもまだ裏が取れていないわけで。
実は自分のパスワードも無効、ゆえに自白も不可能。
全アカウントが死んでるとは雇用元企業は知るよしもなく当事者に自白をさせようとする。
「たとえ我が身がどれほどの拷問を受けようとも~」
・・・・・・みたいな、素直に全アカウント無効と言うよりもさらなる嫌がらせかと。
自分以外って (スコア:1, おもしろおかしい)
#Childs氏>タレコミ
きみはシステムエンジニア (スコア:1, 興味深い)
たとえば将来は、コンピュータと人的資源をひっくるめてシステム管理できてこその管理職、となるのではないでしょうか。つまり上の人間はエンジニアでもあり、情報システムと、その下の窓口嬢などインターフェース役の人間を使うというわけです。どちらも、ちゃんと考える力があれば、できるはずの仕事で。
今は過渡期でしょうから、エンジニアはもっと実力行使していけばどうですか。今でこそクソ呼ばわりされているチャイルズさんですが、あとから歴史を振り返れば、「下っ端だった、哀れな昔のエンジニア」に見えるかも。
Re:きみはシステムエンジニア (スコア:1)
その場合、システム管理者の責任ある職と定めて待遇が良くするならば、
同時にその職に就く人間性や身辺の調査が厳密に行われる様になる。
そうして今より狭き門となった時代から歴史を振り返れば「いい加減だった、哀れな昔のエンジニア」であり、
クソ扱いの地位は揺るがないかと。
=-=-= The Inelegance(無粋な人) =-=-=
Re:きみはシステムエンジニア (スコア:1)
> 同時にその職に就く人間性や身辺の調査が厳密に行われる様になる。
責任ある高待遇の職業(例:高級公務員)には、人間性や身辺に疑念の余地がないのですね。
管理者パスワードを無効って (スコア:1)
#だとしたら、自分のアカウントだけパスワードを残しておく意味がわからない。
羊の皮を被った山羊
これ思い出した (スコア:0)
GNU su で wheel グループをサポートしないわけ(Richard Stallman) [linux.or.jp]
運用手順の欠如が問題 (スコア:0)
エンジニア以前に人間としてのモラルが欠けているとも言えるが、
まあ馬鹿はどこにでも居るというだけの話だろう。
もっとも、この手の人事をする前にシステム全体の管理者は
こういうアドミンの権限を解除しておくのが手順なので、
そういったことを怠ったのは会社の運営上のミスだとは言えよう。
少なくとも人事はその位まで気を配らないといけないよ。
#昔居た、とある会社ではきちんと事前の対処はやってたぞ。
Re:運用手順の欠如が問題 (スコア:3, 参考になる)
つい先日、前任者の残した手書きメモに従ってrootのパスワードを入力してもエラーになってログインできなくてこまりました。I のように見えた文字が実は 1 だったという。。。
つーか、管理者パスワードを強制的に解除する手段はたいていあるわけだし(トラステッドOSだとどうだか知らないですが)。それより、ラックやコンピュータの筐体の鍵も隠されてしまうと困るけど。
Re:運用手順の欠如が問題 (スコア:2, 興味深い)
ってな話なんでしょ?
C2セキュリティなんて真面目にやるからリカバリできないわけでさ。C2セキュリティなんて
リスクでしかないよ。
Re: (スコア:0)
Admin権限が必要な作業は先輩がやって、おれはマニュアル修正とか雑用メインで1,2週間で何事もなく作業は終わった。
しかし、数年に1回しか使わないシステムで先輩、客先管理者等主要メンバーがいなくなり誰もAdminパスワードがわからない。
おれにも電話来たんだけど覚えてない所か、事件起こせる危険なパスワードだしそもそも必要もないので聞いたことがない。
犯人がいれば犯人のせいだろうけど、どうやって幕引きしたんだろう。。。
自宅から不正アクセス (スコア:0)
リモートログインできない社内端末だけ、サーバーに管理者権限でリモートログイン可能という設定にしておけばいいのに。
社に侵入するか、社内端末を踏み台にしなきゃいけない分、不正アクセスが難しくなる。
UNIXなどで一般ユーザーでリモートログインしてから、suでrootになるのを拒否できるのかは知らないが。
#自宅から管理できたほうが楽?安全犠牲にして楽とっちゃダメだな。
Re:自宅から不正アクセス (スコア:1)
現地の素人が電話で聞きながら管理ツール操作するより、なんぼか安全。
はぁ↓ (スコア:0)
というか完全に防ぐ方法はないのかな?
労働契約の非更新が決まった管理者が会社にこなくなるまでの期間での事件は。
事前に予告しないと即日解雇ってわけにもいかないし。
決めたその日に上司が呼び出してる間に、別の人が権限を停止か縮小する?
それじゃ仕事にならないだろうし...
Re:はぁ↓ (スコア:1)
ただ経営者は普通「1ヶ月も無駄飯を食わせる訳にはいかない」と思うでしょうが。
Re:はぁ↓ (スコア:3, 興味深い)
どこの国の話をしています?
日本の話ならば、解雇するには30日(1ヶ月ではない)の解雇予告期間が必要、あるいはいわゆる「解雇予告手当」を支払う事で予告期間を短縮する事が出来る、は労働基準法20条の規定ですね。
このストーリーの舞台である米国では、解雇予告の制度はありません。正当な理由がある場合、即刻解雇は原則的には可能です(実はそんな簡単ではない、後述)。
> ただ経営者は普通「1ヶ月も無駄飯を食わせる訳にはいかない」と思うでしょうが。
日本の場合、特段の理由(会社が潰れたとか)が無い限り、解雇予告もせず解雇予告手当も支払わずに即刻解雇するのは違法行為で、その処罰が懲役となる場合もあります(労働基準法119条)。無駄飯云々は経営者にとってリスクを伴う考え方ですね。
米国の場合は即刻解雇が可能とはいえ、現実問題として単独や少数の被雇用者を即刻解雇はまず出来ません(刑務所行きや法廷闘争を覚悟するなら別、大量解雇も話は別)。解雇自体は理由の如何を問わずとなっていますが、それを制限する規定(主に各種連邦法)が存在するので、実質的には被雇用者の仕事上の能力を事由とする以外は解雇は難しいのです。
仕事上の能力を事由とする場合でも、事前にその事を指摘する事や、被雇用者の能力を高めるためのトレーニングを施す等の会社側の努力が必要で、それを抜きに即刻解雇を行うとまず裁判沙汰になります。よって無駄飯云々の考え方は、米国では日本以上に危険が高い(と言うか、会社や経営者が即死しかねない)考え方ですね。
さて、このストーリーに関しては「氏の仕事のパフォーマンスが悪いことを理由に解雇が検討されたことがあり」とあるので、事前の指摘はあったのでしょうね。つまり、Child氏はいつ解雇されてもおかしくない状況にあったと思われます。にも係わらずサンフランシスコ市は起こりうる事態への対処を怠った様に見えます。通常ならば、解雇が考慮された段階で別部署への異動を考えるべきですし、そのまま雇用するならトレーニングを施す事を、解雇するつもりなら円満退職に向けての話し合いを行うべきでは無かったかと考えます。
Re:パフォーマンス (スコア:1)
随分とアバウトに書いてしまいましたので、ちと補足を。
#1385598の「トレーニング」は「トレーニング等」と読み替えてください。カウンセリングその他のものを含みます。
米国で問答無用で解雇出来る事由は、違法行為の類ですね。それでも安全を見越すなら、逮捕の時点ではなく、起訴や有罪評決が出た時点、あるいは有罪が確定した時点となるでしょう。ヘタに早々に解雇だと、例えば無罪評決が出た場合等にトラブルになりますから。
他の理由--括ってしまえば勤務不良となりますが--では会社側の何らかのアクションが必要となるでしょう。勤務不良には業務を遂行する能力に欠けるや、遅刻や欠勤、周囲との折り合いが悪い、不服従等の勤務態度が不良であるなどが含まれるでしょう。
パフォーマンスと言うと日本語的には効率が関係しそうで、業務を遂行する能力に欠けるだけと取られそうですが、実際には勤務態度の不良が含まれると思います。折り合いや不服従は、裁判の臭いが激しくする、要注意の事由ですね。会社側の一層の努力が求められる事由でしょう。