神戸大学のサーバに不正侵入、NASAからの指摘で発覚 37
ストーリー by Oliver
ひとつの実例 部門より
ひとつの実例 部門より
k3c 曰く、 "神戸大学の休講掲示板システム(現在は休止中)が不正侵入され、同一認証で運用している別サーバに保管していたパスワードが流出した可能性があるとのこと(ユーザー向け告知)。休講掲示板システムを運営していた神戸大学・学術情報基盤センターでは、学外からのメールの読み出しなど認証が必要なアクセスを一時的に禁止すると共に全ユーザーに対して6月末までにパスワードを変更するよう呼びかけている。変更しないユーザーについては強制的に変更するとのこと。
毎日新聞記事によれば、この不正侵入で休講掲示板システム内にNASAへの侵入を試みるプログラムが仕込まれ、これを検知したNASAから神戸大学へ通知があって初めて侵入されたことが分かったという。侵入は「サーバの基本ソフトのセキュリティー上の欠陥を悪用した」とのことで、メーカーから告知のあったパッチを当てていなかったらしい。なお、具体的な「サーバの基本ソフト」(OSのことだと思われる)の種類については言及されていない。
発覚後の対応は通知の時系列を見る限り迅速でしっかりしたものだと思うが、欲を言えば全ユーザーのパスワードを強制変更し、学生証を提示した者にだけ新しいパスワードを告知し、次回ログイン時に必ず変更させる、くらいのことはした方がいいのかも知れない。それから、侵入された原因はあまりにもありがち。もちろん根本的な対策についても言うまでもない…言いますが…これを機に、神戸大学だけでなく他の大学でもきちんと「パッチ当てましょう」。"
うちの会社じゃ (スコア:3, 興味深い)
パスワードが全て16桁となりました
ま、ルータの設定でも防げるものなんだけど普段セキュリティに無頓着な部署も協力してくれました。
結果としてよかったのか悪かったのか複雑な気分
Re:うちの会社じゃ (スコア:0)
うちの大学もヤバいです (スコア:3, 参考になる)
なかには、これらの運用を業者に頼んでいる研究室もあるそうですが、
ほとんどは、研究室の学生が運用しています。
学生といっても、研究室でそこそこ詳しい人が選ばれるようですが、
結局は素人が運用しちゃってるわけです。
そのせいか、わたしの大学の学内ネットワーク上には、
セキュリティ的に、いかにもヤバいホストが多数放置されていて、全く酷い状況です。
他の大学でもこういうところは多いような気がしますが、どうでしょう?
(まぁ、さすがにウチよりヒドイところは無いと思います)
こういうニュースを見ると他人事とは思えないのでAC
Re:うちの大学もヤバいです (スコア:2, 興味深い)
1)管理者はたいてい学生とか助手である
2)学生とか助手はずっとそこの研究室にいる訳ではない(数年で他所へ移っていく)
3)その時にちゃんと後継者を見つけて、しっかり引きつげればいいが、そうでなければ、実質上管理者不在になる。
といったところも大きいかと。
現に、管理者がいなくなって、放置されたマシンに外部から侵入された例というのを知っています。
知り合いの人が、頼まれて被害状態の調査とかしようとしたけれど、ルートパスワードを知ってる人間さえ、当時の研究室に残っていなくて、往生したとききました。
#侵入されていたとい事実は「運よく」発覚したらしい
業者に発注するとか、比較的長期間そこにいる人達(助教授以上?)とかに管理させるとかいうのが正しいやり方なんでしょうか?
九州で一番大きな大学病院 (スコア:1, 参考になる)
Re:九州で一番大きな大学病院 (スコア:0)
ガクガク、、、ブルブル。
Re:うちの大学もヤバいです (スコア:1)
私の卒業した大学は全学的にネットが使い物にならないほど
トラフィック増加して数ヶ月(だったか)大混乱してました。
しかもネットワーク機器の業者呼びつけてハードウェア障害
探らせていたらしいし。まぁその業者も大した事なくて、
結局原因を特定できなかった様だけど。
学生なんかにrootさせるな、と私の在学時は五月蠅いほどで
とっても反感持ってましたけど、なるほど、こういう事だった
のねー、と思いましたです。
# 反感は収まりましたけど、ちゃんと教育機会与えないで権限だけやるからだろ、と
# 今度は軽蔑感が芽生えましたが。(笑)
Re:うちの大学もヤバいです (スコア:0)
日本のWEB改竄状況 [fearoot.com]をみると、よく大学内のどこぞの研究室/ゼミのサーバと思われるものがしょっちゅうやられているので、大学内にはそういう弱点が多いでしょうね。
なお、#347038のACがどこの大学か一切不明なので、他の大
Re:うちの大学もヤバいです (スコア:0)
...
>研究室の学生が運用しています。
卒業した学生が業者になるんだから…
#サブネット切れば?
Re:うちの大学もヤバいです (スコア:0)
そんな事は無いかと…。
Re:うちの大学もヤバいです (スコア:0)
そのアドレスください。って感じです(汗
ヤバイ話だと、グローバルアドレスを割り振られているwindowsマシンに学生名簿(エ
Re:うちの大学もヤバいです (スコア:1, 参考になる)
グローバルIPアドレス、プライベートIPアドレスは別にセキュリティの高い低いとは
直接関係ないですよん。
プライベートIPアドレスでもやばーいネットワークはいっぱいありますし、
グローバルIPアドレスで構築しててもがっちがちなネットワーク構築っていうのもしかり。
Re:うちの大学もヤバいです (スコア:1)
種々のOSやルータ等の機器をデフォルト設定で運用したときのセキュリティには雲泥の差が。
Re:うちの大学もヤバいです (スコア:0)
そういうのは管理されていないというのでは。
で、もともとの話になっちゃうわけですよね。
管理者不在の環境っておおいんですねぇ。
住所・氏名等 (スコア:2, 参考になる)
うそです (スコア:1)
KHAN (スコア:1)
「KHANの紹介」のリンクを押すと領域「zope」が出るね。
・・・http://zope.jpまた落ちとる
基本ソフト(オフトピ) (スコア:1)
ちなみにOS上で動くアプリケーションは、「応用ソフト」 [e-words.jp]となります。
確かにあまり使われない表現で、教科書的なものといえるでしょう。実際、中学校では [基本ソフトウェア(オペレーティングシステム)]というように習いました。
アレゲ新聞では周知の事実として使われることはあまりないようですが、一般紙では多くこの表現が用いられます。
#この訳を思い付いた人は分かりやすく言い当てたつもりなんだろうか...
Re:基本ソフト(オフトピ) (スコア:1)
参照→通信用語の基礎知識-#基本ソフト [wdic.org]
Re:基本ソフト(オフトピ) (スコア:0)
JISで定義されとるわい
Re:基本ソフト(オフトピ) (スコア:0)
Re:基本ソフト(オフトピ) (スコア:0)
Basic Input Output System
なので、Operating Systemではありませんね。
Re:基本ソフト(オフトピ) (スコア:0)
Re:基本ソフト(オフトピ) (スコア:0)
「すげえ、超リアルだよ!」
ってさ、シュールってことなんだよなぁ。
#オフトピもいいとこだな、こりゃ
Re:基本ソフト(オフトピ) (スコア:0)
Re:基本ソフト(オフトピ) (スコア:1)
または、英和辞典の訳をそのままあてはめてください。
Re:基本ソフト(オフトピ) (スコア:1)
Beginner's All-purpose Symbolic Instruction Code
を直訳しろってことかしらん?
う、symbolicとcodeを訳すのが難しい。
Re:基本ソフト(オフトピ) (スコア:0)
あなたは (スコア:0)
Re:あなたは (オフトピック) (スコア:1)
ベーシック
パスカル
スモールトーク
リスプ
フォートラン
コボル
エイダ
シー
ピーエルワン
ジャヴァ
あれれ?仮説は棄却されますた。
ルビー
パール
バッシュ
シーシェ
おぇぇ、やっぱり気持ち悪いです。
(最後の2つも言語なのか?)
Re:あなたは (スコア:0)
Re:あなたは (スコア:0)
/bin/sh (スコア:0)
OS = オペレーティングシステムですが、基本ソフトがOSと全く同じ代物だというのはどうかと、、、
Re:/bin/sh (スコア:0)
OS = 基本ソフト
そういう定義なんだから間違いない
うーん (スコア:0)
タグ使用可だったんですかねぇ・・・
(基本的に)内輪向けのものだから許可していいや というところだったんでしょうか
Re:うーん (スコア:1)
用途が内輪向けだろうがインターネットに繋がってるんだから気をつけて欲しいもんです。