Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち 7
ストーリー by hylom
これがお役所仕事か 部門より
これがお役所仕事か 部門より
あるAnonymous Coward曰く、
国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした(プレスリリース、時事通信、ITpro)。
Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。
漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており、アンケートも4月6日以前の分はサーバーから取り除かれていたということで、被害が限定されたのだけは救いである。
やはり2流省庁の国土交通省は駄目だな (スコア:1)
単年度予算 (スコア:0)
3月に発注しようとしたけど経理のほうから「本年度中に支払いまで終了しない案件は受け付けられません」とか言われて修正できませんでした、というオチではないかと...
割りきってサーバ止めちゃったほうがマシだったんじゃないですかね。
Re: (スコア:0)
サーバ止めないなんて、データを軽く見すぎじゃん!って思ったけど
ふと思ったんだ
運営委託会社にサーバ停止を依頼する予算もおりなかったんじゃないのかって
Re: (スコア:0)
そういう経理やその上司をクビにして、浮いた金で対策・・・出来るほどの金にはならんか。
とっとと予備費でも奪いとって対策すればいいのに、トップがあまりにも無能すぐる・・・
開発元の責任は? (スコア:0)
早急に対応する必要がある瑕疵に対して開発元が別途費用での対応を要求したのだろうか?
Apache Strutsで開発することを決めたのが国交省なのか開発元なのかでも違うと思うけど、
通常、仕様を変えたり機能を追加するのではない限り、バグを修正する分には開発元の
負担で対応すべきだったんじゃないか。
そもそも、Jakartaの脆弱性が致命的で、認知した当日にでも対応する必要があるくらい
緊急性が高い問題なのに、その修正をのんびりと次年度の予算で契約するのを要求して
待たせてて被害が出たとしたら悪徳じゃないか。
Apache Strutsでの開発をしていたなら、その危険性は十分わかっていたはず。
Re: (スコア:0)
瑕疵担保期間1年とかだろうからねぇ。過ぎちゃったんじゃないの?
今度法律変わるみたいだけど。
Re: (スコア:0)
いやいや、未知の脆弱性にまで対応しろってどんだけのこと言ってるか自覚ないんですか。