秋大とその教員は被害者であり加害者でもあるはず

秋田大学の情報システムの脆弱性がまた露呈した。
秋田大教員メールに不正アクセス 学生ら1116人分の情報流出

報道によれば国際資源学部の教員の公用メールアドレスが盗まれ、おそらくそのアカウントとパスワードでシステムにアクセスされ個人情報を含むファイルが盗まれたようだ。ファイルにはパスワードがかけられているらしいが、WordやExcelなどの一般的なファイルならばその辺のアマチュアでもパスワードハックのできるツールは簡単に手に入るため何の慰めにもならない。
メールアドレスとパスワードを1組抜かれたくらいでシステムのリソースにアクセスできるような運用ポリシーも問題があるだろうし、個人の捨てアドでもあるまいしメールの送受信のパスワードをそれぞれ別にするといった対策は必須だろう。

ずっと以前から秋大のシステムはセンター管理業務を業者(N社か?)に委託していて、ほんの数人でキャンパスネットワークを維持していて、それでもspamの踏み台にされたりして、5、6年前にはメールシステムのセキュリティを厳しくしたはずだ。外部とのメール送受信には専用のアプライアンスをゲートウェイとして少なくとも2つ配置し、ウィルスチェックも専用のアプライアンスサーバで一元的に行っていたはずである。
下部組織(小中校等)も接続の際は何か申請用紙に細々としたアドレスやポート番号などの利用内容を書いて許可をもらうといった役所的な融通の効かない厳しさを保っていたはずである。
そのため、今回の件は報道ではロシアのサーバからの不正アクセスが発端のようになっているが、それならばこの教員以外のメールアドレスやパスワードも盗まれているはずで、この教員のアドレスだけに限定されているのであれば最初に外部から侵入されたとは考えにくい。筆者の推測では、この教員がUSB等の媒体で知らぬ間にウィルス(トロイ)を持ち込み、これがこの教員のメールアドレスを使って6万通ものspamを外部に送信したのだろう。送り先の大部分がロシアのIPアドレスだったのかもしれない。
この『ロシア』と言っているのはGeoIPのデータベースを使っているのかもしれないがそんなものは参考であり、アテにはならない。(この辺の技術的思考が遅れているのが日本の実情だ)

6万通がどの程度の時間で送られたかにもよるが、普通であればメールサーバの単位時間あたりのSMTPコネクションの数を常時監視し、ある閾値を超えたら即座にアラートを出すような仕組みがあるはずだが、今回はそれが動作しなかったのか(ゆっくり送信すると大きな組織では気づきにくいことは確かだ)あるいはそういった監視システムが元々無かったのか・・・。そうなるとシステム側の不備も非難されるが、元々はやはりヒューマンファクターだろうと推察される。
ネットワークの内部にトロイが持ち込まれたら大抵のシステムは性善説で構築されているため非常に脆弱だ。

4月に医学部附属病院の耳鼻咽喉科のHPが改竄されたときはPHPの脆弱性を突かれたということだが、医学部と病院のネットワークは秋大全体のネットワークとは切り離されていて独自の運用をしているはずで、こちらはなかなか厳しい運用をしている。フロントにはFortigateといったFireWallを配置し注意を払っているようにも見える。それにも関わらず改竄されたのはHPのコンテンツファイルの保護が出来ていない証拠で、例えばOSがBSD系のファイルフラグを使えるようなものであれば簡単には無様な改竄などには遭わないはずだが、おそらくLinux系のためなかなか万全の対策は難しそうだ。
PHPの脆弱性などはしょっちゅうアナウンスされていて、コンテンツ担当者がそれをカバーしないとシステムは維持できない。

結局、システム側で用意した道具立てに費用をかけても利用者側の運用が徹底されなければ、あるいはセキュリティ意識が向上しない限りいつまでも同じようなインシデントが繰り返される。大半が税金で運営されている公的な機関で何故そうも間抜けを繰り返すのか・・・。

今回のインシデントで秋大は県警が要請しても被害届けを出さないで内部で調査、処理を行うらしいが、どこか不遜な態度を感じる。
被害者ヅラしているが、6万通も外部にメール飛ばしたら、外部のシステムに負荷をかけたりトロイをばら撒くといった脅威の拡散をした可能性もあるわけで、情報が漏洩された学生も含めてそれらに対する明らかな加害者である。
秋大は加害者として法的なアクションを起こされても文句は言えないはずだ。

ブログランキング・にほんブログ村へ 
(blog rankingに参加。ご協力を。Click it!)

広告
カテゴリー: ディジタル・ネットワーク タグ: , , , , , , , パーマリンク

秋大とその教員は被害者であり加害者でもあるはず への2件のフィードバック

  1. ブルーベリー より:

    情報流失し、学外に少なくとも6万件の迷惑メールが送信されたのは大きな問題で、警察に被害届けを出さないのは異常ですね。

    110番の通話記録システムが、数年間も障害中の秋田県警に平均的な捜査能力があるとは思えないけど、報告は上げるべきだと思う。

    でも、「発表しただけマシだ」と思ってしまう。
    秋田県の役所や第三セクターなら全力で隠蔽しているハズ。
    (副知事が朝鮮に行く予定があるのに隠す地域ですから)

    表に出ているハッキング被害は、氷山の一角でしょう。

  2. Cerberus より:

    「大半が税金で運営されている公的な機関」だからこそではないでしょうか。
    ブルーベリーさんの仰る通り「秋田県の役所や第三セクターなら全力で隠蔽」はいつものことですから、風土の悪い面が出たとすれば「被害届けを出さないで内部で調査、処理」は、ああまたなのねなるほどね、ということでしょう。勇気ある内部告発者を待ちましょう。

コメントを残す(短めにどうぞ)

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中