元派遣社員が新生銀行内部ネットワークに不正アクセスで逮捕 75
ストーリー by nabeshin
腹いせにやられたこと、やったこと 部門より
腹いせにやられたこと、やったこと 部門より
あるAnonymous Coward 曰く、
朝日新聞の記事によると、インド国籍の元派遣社員が新生銀行の内部ネットワークに不正アクセスし大量のファイルを削除して業務を妨害したとして、不正アクセス禁止法違反と電子計算機損壊業務妨害の疑いで逮捕されたとのこと。
容疑者は昨年10月まで約3年間、派遣社員として新生銀行のシステム管理を統括していたため、6種類の管理者用IDとパスワードを全て知っていたが、「再雇用を求めたが断られ、腹が立った」ため、2月18日~3月11日にかけて自宅のパソコンから67回不正アクセスし、2589件のファイルを削除したそうだ。このため、内部システムは延べ約15時間完全停止、約五千人の行員らへの連絡用ページが30日以上利用不能になった。更に容疑者は不正アクセスが内部で問題になっていないかを探るため役員のメールも盗み見ていたそうだ。しかし「顧客への経済的な損害は一切ない」(新生銀行)とのこと。
システム管理者の異動や退職に伴ってパスワード変更は常識、しかも銀行で行われていなかったのは正直驚きなのですが、皆さんはどう思われますでしょうか。問題への対応にコストはかかったわけで、それらは「顧客への経済的な損害」じゃないんですかね?
ちゃうちゃう (スコア:5, 参考になる)
しかしmsnの記事だと「契約社員→自己都合(自分のレベルを上げたい)で退社→人員整理で解雇
→古巣に再雇用を願い出たが却下され自暴自棄」となっている。
新生銀行は抜けた穴は既に埋めているだろうから、断られてもしょうがないでしょう。
http://sankei.jp.msn.com/affairs/crime/080716/crm0807161151017-n1.htm [msn.com]
朝日新聞の情報操作なのか、スラドでも「これだから契約社員は・・・」になっているが
そんな話じゃない。
Re:ちゃうちゃう (スコア:1, 興味深い)
いや、穴埋まってないから事件が起きたんでしょ。
それよりも (スコア:5, すばらしい洞察)
管理者権限でログインできるサーバが全公開になってるという自体がまずおかしい。
普通会社関係のIPだけ通すようにルータなりなんなりで制限してあるだろう。
うちもIDCに置いてるサーバには会社から外部に出るグローバルIPは数個で固定なので
そのIP以外遮断するようにしてある。
いくらIDとかを知っていても、社内からアクセスしない限りまずアクセス制限で弾かれる。
まさかシステム管理者だったからそのIP制限も管轄していて、自宅のIPを許可にしていたとか?
IDもパスも変更しないザル管理ならその辺もそいつが退職してもそのままだろうしなー
Re:それよりも (スコア:1)
これで新生銀行へのハッキングチャレンジが増えそうな…
銀行のシステムなのに、「派遣が自宅から」なんてあり得ないと思うんですが
なかなか男前な仕様ですね。
一人暮らし<シェアハウス
統括者 (スコア:4, すばらしい洞察)
Re:統括者 (スコア:2, 興味深い)
システム「管理」なんて誰でも出来る仕事に社員のリソースを充てないのは
スマートな考え方だと思うけどね。
銀行は「信用を管理する」のが仕事 (スコア:2, すばらしい洞察)
銀行の本業は「信用システム」の管理です。
もちろん「お金」を商品として扱う場合には、銀行が金貸しになりますが。
> システム「管理」なんて誰でも出来る仕事
そこに有るデータが飛んだら、大騒ぎになるのはなぜだか理解できますか?
それが扱っているのが銀行の基盤になっている「信用」だという事を忘れてませんか?
「データ==電子的な信用」であるなら、そのデータを守るのは「本業」だと思いますけど。
地元採用の銀行員が横領をする様な時代だから、あまり説得力は無いですが。
Re:統括者 (スコア:1)
……すげー世の中になったものだなぁ。
Re:統括者 (スコア:2, すばらしい洞察)
むしろ、頑張れば頑張るほど障害が起きない=管理者はいらないと思われてリストラ対象に近づく。
Re: (スコア:0)
拡大解釈すれば、世の中のどんな仕事だってちょっと勉強すれば誰でもできる仕事ばかり!
参考に誰でもできるSEの話
恋におちたら [wikipedia.org]
Re:統括者 (スコア:3, 参考になる)
もちろんそうです.だから米国では同じ銀行で働いている人でも,金勘定しかしない人と,投資などのリスクを伴う大きな仕事をする人は明確に区別されています.bankerと呼ばれる高給取りは後者のみ.
日本のように,実際の仕事の内容よりも所属する業界の差異の方が待遇に大きく影響することが変なんだと思います.
Re: (スコア:0)
日本も目指す所はそこ?
Re: (スコア:0)
くだんの新生銀行も、そんな考えで失敗したわけなんだが。
誰でもできると思うからこそ、社内ネットに熟知した担当者をあっさり切ったんだろうし、
誰でもできると思うからこそ、外部からの不正アクセスに弱いLAN(WANかも)になってしまったと。
Re:統括者 (スコア:1)
ATM時間外手数料取らなかったりしてるんでしょう。
結局、手数料が無料である、というコストは、こういう危機管理の
脆弱さという形でコストを支払っている、ということを理解して
つかうべきなんではないですかね。
新生銀行は決済用としてしか使ってないですw
Re:統括者 (スコア:1, 興味深い)
つまり、あれば便利だけど、なくても困らないという程度のシステムなんでしょう。そういうシステムの管理だから、適当に割り当ててただけなんじゃないでしょうか。
Re: (スコア:0)
Re:統括者 (スコア:1)
Re: (スコア:0)
銀行の役職名ってよくわからないけど、最低でも調査役ぐらいの肩書を持っている人間が付いてるんじゃない?
秋葉原の事件と重なりますね (スコア:2, すばらしい洞察)
パスワードの変更ですめばいいけど、バックドアを仕込まれてしまえばそんな運用ルールもたやすく回避できるでしょうから、企業の偉い人は、IT技術者は正規雇用して信頼関係を築きもっと大切に扱うべきだと思いますよ。
Re:秋葉原の事件と重なりますね (スコア:1, すばらしい洞察)
免罪符のように言われる「努力が足りない」 本当なのかな?
今時の公務員はどうなの? 努力してる正社員より上に見られるんじゃないか。
無敵の人? (スコア:2, すばらしい洞察)
派遣は内部で働いていても外部の人間であって愛社精神やロイヤリティなんて育つべくもないし
管理者IDを知るような立場に置くべきじゃないでしょうねえ。
外部の人間が出た後はパスワードを変更するのが常道でしょうけど
大会社のシステム部門って内外の人間がしょっちゅう配置換えで
あちこち動いてるから分からない&変更が頻繁になりますね。
何でもかんでも派遣 (スコア:1)
そりゃ不正アクセスは犯罪だ.だけど不正アクセスじゃなくても
故意にではなく他の理由でパスワードが流出しちゃうことはあるはず.
廃棄したハードディスクの消去が完全ではなかったとか.
セキュリティの確保が求められる部署で人の出入りが激しすぎるのは
ほめられたものじゃないが,いたしかたないというなら少なくとも
認証情報を定期的に更新するとかしないと.
#そして「新しいパスワードのリストです」なんていう
#チラシが配布されてモニタの横に貼り付けられる
屍体メモ [windy.cx]
Re:何でもかんでも派遣 (スコア:2, すばらしい洞察)
そういう言い方は偏見だと思うんですけどね。
この業界は偽装請負含めた派遣社員の雇用を止めたら、立ち行かなくなると思いますが。
解雇された正社員が腹いせにやることだって考えられます
誰がやったか、では無く銀行側のリスクマネジメントされていない事に問題があると思いますけどね
正直、最近の派遣業務の否定一辺倒な風潮もどうかと思います
この手の記事にはちょっと食傷気味だぁ
Re:何でもかんでも派遣 (スコア:2, 興味深い)
日本の銀行のなかではかなり海外リソースを使っている銀行だと記憶しています。
ITPROだとこんな記事
http://itpro.nikkeibp.co.jp/article/COLUMN/20080325/297004/ [nikkeibp.co.jp]
(日経コンピューターにも同じ新生銀行のシステム管理の記事が載っていました。)
そうした状況を考えるといわゆる「派遣」に相当する人だったのかなぁ、というのが素朴な疑問。
銀行員ではなかったけれど、もしかしたら「アウトソーサー」に近いかそれに相当するような人だったのかも。
なので、この記事だけで派遣云々するのはよくないと思いますよ。
もちろん、派遣だろうが、社員だろうが、辞めたあとでアクセスできるような状況にあった点はダメですけれどね。
認証情報も定期更新だけではなく、個別化して退職や異動をトリガーにして削除されるような仕組みにしないとね。
人種差別 (スコア:1)
とんでもございません。日本人でも再就職できないでいます。
立てよシステム部門! (スコア:1)
と日陰を歩かざるを得ない一般企業のシステム部門ですが、
実は社内ではいちばん特権を持ってるような気がします。
社内でクーデターを起こしたいなら、システム部門を丸め込むのが手っ取り早いですね、昨今では。
Re:立てよシステム部門! (スコア:3, 参考になる)
その気になれば役員のメールを盗み見たり出来なくはないですからね。
#けどやらない。
#お天道様がみてる
別スレッドにもありましたが、情シスが頑張れば頑張る程、社内システムは滞りなく
運用されて「こんだけトラブル無いんなら専従部署置く必要なくね?」っていう
短絡的な判断をするエラい人も居たりするので、トラブル報告はまめにやっておくと良いかと。
例えば「サーバの1台がクラッシュしましたがクラスタで云々とか予備に切り替えて云々」みたいな。
きちんとトラブルは起こることは起こって、事前の努力もあって利用者へのインパクトがでないように
「こんなこともあろうかと」をしっかり準備して、実践してるんですよーという告知を行うとか。
Re:立てよシステム部門! (スコア:1)
システム設計のミス (スコア:1)
一度作成したファイルは、誰も削除できないようにしても不都合はないだろうに。
それとも、バックアップシステムにバグがあったのか?
一人のシステム管理者に運用を依存するようなシステムを、銀行が作るとは思えないが。
Re: (スコア:0)
(削除に比べて手間はかかるかもしれないけど)
それに今回はシステムを統括していた人物なんだから、管理者権限が使えたのであればそもそも無意味。
設計というより運用面に問題があったと思いますけどね。
株主への経済的な損害でもあるし (スコア:1, 興味深い)
あれ (スコア:1)
新生銀行のWindows導入事例ってマイナーなんですかね。
http://www.microsoft.com/japan/showcase/shinseibank.mspx [microsoft.com]
#まあべつにWindowsじゃなくても起こりえる事件なんですけど
パスワードの定期的変更 (スコア:1)
ユーザーIDと権限 (スコア:1, 興味深い)
開示するのではなく、ユーザーIDを一つ割当て、必要に応じて適切な権限を付与する方が
良いのでしょうね。
お客様先でadministratorの共用をしていて、作業ミスか何かで、一部のグループと
IDの削除が発生し、応急処置で1日業務が止まり、未だ回復確認が出来ていないと
いうことがあったものの、その折に誰がどのようにidを使っていたかが不明なため、
原因を解明できないということがありました。idと使用者が一意に対応付けられていたらと
悔やまれてなりません。
# まだ記憶に新しいのでACで。
なんというか (スコア:1, おもしろおかしい)
勘定系には金かけるけど、運用系はほったらかしとか。
朝日新聞の報道はいつものことなので無視。
「顧客への経済的な損害」じゃないんですかね? (スコア:0)
全額役員がポケットマネーを出し合ったという可能性も否定できない
一見あり得なさそうな事であっても、検証なしに結論など出さないのが科学というものだ
Re:「顧客への経済的な損害」じゃないんですかね? (スコア:1, すばらしい洞察)
変なこと言うタレコミ人だ。
腹いせにやられたこと、やったこと部門 (スコア:0)
そう聞いていたのでアクセスしたらディレクトリのIndexリストが表示されました
そこには社内会議で使った資料が置いてありました
パスワード?そんなものかかってるわけないじゃないですか
#どこの会社もこんなもんなんですかね?
Re: (スコア:0)
世の中は信頼と道徳によって支えられている (スコア:0)
継続雇用されないことが判明した段階で、抗議の傍らトンネルでも掘ったんじゃないですか?
# 究極的に(後先さえ考えなければ)、損害をあたえるためにその会社に就職し、
# 信用を得ておいて、あるタイミングで時限爆弾を爆発させることも可能なワケで。
# 紀元前より権力者に取り入って信用されて傍らに仕えつつ、
# いつかその権力者を破滅に追いやるという権謀術数は存在していましたし。
世の中いかに道徳観や人と人のお互いの信頼によって支えられているかがわかる事例ですね。
というわけで経営者(とそれ以外の)の皆様、「人を大切に」。
家族の名前を忘れない程度に (スコア:1)
退職時に就業期間の記憶消去を行うことを、雇用条件に入れる事を進言します。
Re: (スコア:0)
これはパスワードの管理さえまともだったら余裕で防げたでしょ
派遣の使い捨てとは比べ物にならないぐらい新生銀行がバカ
こんなの従業員待遇で防げたら苦労はしないよ
派遣社員なんか正社員以上に信用できる訳がないんだから
Re:「パスワード」の問題か? (スコア:0)
そうですかね。
外部からアクセス可能ということは、パスワード認証抜きの経路があったかも知れない。 その場合は、パスワードを頻繁に変更してみても、無駄ですよ。
パスワード (スコア:0)
それがなかったとしても、普通はシステムのパスワードって定期的に変更しない?
半年近く同じパスワードって・・・。
Re:パスワード (スコア:2, 興味深い)
普通というか、「そうしたほうがいい」ですよね。
ウチは前任者が退職して2年くらいは、管理系パスワードは同一でした。
派遣の俺が「パスワード変えましょう、いや変えてくださいおながいします」と懇願して、
やっと変えることになった。
今でこそ以前より少しだけ複雑なパスワードにはなりましたが、
長さを増やしたりとか定期的なパスワードの変更を提案すると
「忘れたりするし面倒くさい」というカチョー様の決定でここ2年近く同じパスワードです。
#しかもそのAdminパスワード、出向業者の社員がいる前でシュニンが
#「パスワードなんだっけ?○△※◇○○△だっけ?」と
#声に出して読み上げるほどお粗末なリテラシだったりします。
ITにつま先程度突っ込んでる上場してない中小企業ですが、
まあなんつうか、こんな程度の会社もあるんですよ、と。
絶対AC。
Re:パスワード (スコア:1)
まぁ、内部ネットワークだからコストをけちったというのは想像できますね・・・
こないだ異動したのですが (スコア:1)
前部門では、重要な情報はサブネット外からアクセスできないサーバに保管していたのですが、リモートログインできたサーバを踏み台に周辺サーバ巡ってみたら外から見えてはいけないものが出るわ出るわ。
ある意味便利なので黙ってこのまま使いたいのですけど, そういうわけにも行かないよなあ。
Re:パスワード (スコア:1)
というのならまだ良いのですが、「退職時にパスワードを変更されて、
犯人だけがサーバにアクセスできる状態(残された情報システム部の人は、
サーバがクラックされるのを黙って見ているしかない)」ではなかったか
と勘ぐられる程、長期に渡って対策がなされていないようですね。
Re: (スコア:0)
パスワード変更していないとは書いてないんだよね。
むしろ外部からアクセスできて
メールも盗み見できるステキ環境に乾杯!
コピペもいいけど、 (スコア:0)
損壊業務の妨害って何だろう。。。
"損壊"と"業務"の間に"等" を入れとかないと、切れ目が分からんす。
ぐぐると大抵入ってるんだけど。