一部の教育機関ではネット接続された複合機等で不適切な設定によりデータ丸見え 32
ストーリー by hylom
まだまだよくある話 部門より
まだまだよくある話 部門より
あるAnonymous Coward 曰く、
ネット接続された複合機やプリンターの安全設定が行われていないため、中のデータが見えていた教育機関が多数あったそうだ(朝日新聞の記事1、記事2)。朝日新聞の取材を受けて各学校は対象機器のネット接続を遮断した。
ネット接続された印刷機器はPCに次いで情報が蓄積されているが、PCに比べて安全対策が甘い傾向にある。大手企業や有名大学では比較的対策が取られているものの、中小企業や自営業、中堅や地方の大学、高校以下の学校では比較的対策が遅れていると言われている。大学では、専門部署が一律に対策を取るのではなく、研究者の裁量に任されているところもあるため、対策に温度差があるところも多い。他大学の不祥事を受けて対策を取ったものの、機器入れ替え時に設定が行われなかった事例もある。皆様の職場や学校ではきちんと設定されているだろうか。
中小企業に複合機のインターネット接続を要求する税制に問題があると思う (スコア:2)
インターネットにつなぐ必要のない機器をインターネットに接続しないというのは、セキュリティ上非常に重要です(パッチあてに必要ならば、その時だけ接続すると良いでしょう)。
しかし、中小企業等投資促進税制 [nta.go.jp] というものがありまして、
中小企業税制 [meti.go.jp] によると、
と、複合機はインターネットに接続しないと税制上不利な扱いを受けるのです。
勿論、認証をかけてインターネット経由で利用できる機能や利用者を制限しても良いのですが、IT管理者も居ないような中小企業に対して、(本来インターネット接続が不要な場合でも)税制上不利な扱いをされないためだけにインターネット接続を要求するような制度に大きな問題があると思います。
# にしても、政府はなんでそんなに複合機をインターネットに接続させたいんでしょうかねぇ。
# 流石に、複合機に仕掛けてあるバックドアを利用したいなんてことは無いとは思いますが。
Re: (スコア:0)
紙幣をコピー/スキャンしようとしたら、ユーリオン [wikipedia.org]を検出して自動通報…と云うのはありそう。
Re: (スコア:0)
小規模なネットワークなら大抵はNATで守られてるので、IBは然程気にしなくても問題はないし、
意図してルーターに穴開けるなら、その過程で外部との接続を意識するのでセキュリティは確保すると思う。
大学で何も考えずにIPを割り振ったら、それはグローバルIPで特にFWもなかったら外から見えたと予想。
設置に来たコピー機屋の作業員はNATで守られてるネットワークでしか作業したことはないだろうし、そういう研修しか受けてないかと。
複合機にグローバルIPを割り振るなんてのは大学ぐらいだと思うので、あまり他では発生しなさそう。
Re: (スコア:0)
趣旨としては、中小企業にIT導入を促すための税制措置でしょう。で、モノだけ買って形だけにならないようにインターネット接続を要求していると。あとはデジタル複合機を広めて企業のインフラ基盤の整備とかかな?
企業のIT化を進めること自体が政府によって企業側を監視する狙いか?などはいくらでも考えられるので、ネタとしてはおもしろい。
Re:中小企業に複合機のインターネット接続を要求する税制に問題があると思う (スコア:1)
国税局管轄のどこかがそれらに侵入して中小企業の財務情報を収集しようとしていたりして(陰謀)
Re: (スコア:0)
モノに対してだけ金だす時点で、どうみても箱物行政ですけどね。
ハード偏重、ソフト蔑視なのは前世紀からブレませんな。
そんなこと言っても、LANに繋がってればいいんじゃないの? (スコア:0)
…と思ったら、通達にLANだけじゃダメときっぱり書いてあるんですね。
http://www.nta.go.jp/shiraberu/zeiho-kaishaku/joho-zeikaishaku/hojin/0... [nta.go.jp]
42の6-9 措置法規則第20条の2の2第1項第1号において本体と同時に設置することを条件として特定機械装置等に該当する旨の定めのある附属の機器等には、一の計画に基づき本体を設置してから相当期間内に設置するこれらの附属の機器等が含まれるものとする。
(注) 措置法規則第20条の2の2第1項第2号の規定の適用を受けることができるデ
Re: (スコア:0)
条文書いた関係者が
俺たち IT判ってるんだモんね エヘン
と、顕示したいだけの様な気がする
いや、判ってないよ
Re: (スコア:0)
「デジタル複合機」としての機能に何の関係もないのがおかしいよな。通達にも、インターネットに繋げて、「何をする」のか書いてないし。
IT云々の以前の話として、規程としておかしい。起案した人たちは疑問に思わなかったのだろうか。
Re: (スコア:0)
国税庁の通達では、別にFWをかますことはNGとされていません。特別控除を受ける際に必要なことは「社外とメールなどのやり取りをしているかどうか」です。
中用企業であっても、今回の大学の事例のように、(恐らくグローバルIPを割り振って)FWもない場所に設置するようなへまはしないでしょう。
デフォルト設定 (スコア:0)
デフォルト設定はガチガチの安全設定にしておけよ
# わざわざ後から設定を変更していたなら、ただの馬鹿
Re: (スコア:0)
一般ユーザーにはそれが通用しないからだと思われる。
基本的にセキュリティとかほとんど考えてない。便利で楽で、すぐに使えるのが何よりも優先される。
少しでも手間がかかろうものなら、すぐに低評価・クレームにつながる。
Re: (スコア:0)
> 少しでも手間がかかろうものなら、すぐに低評価・クレームにつながる。
だからこそ、デフォルトの状態でセキュリティ上の問題があるものはまずいんじゃないの?
プリンタなんて買ってきてつなぎさえすれば何の問題もなく使えて当然。
Re: (スコア:0)
とあるメーカーにプリンター側で対策するなら機能自体を停止するしかないと言われた。
そもそも問題になる事自体想定していなかったと思われる。
調査=不正アクセス (スコア:0)
じゃないんですか?
Re:調査=不正アクセス (スコア:1)
大手新聞社様による調査はキレイな調査なので不正アクセスではなく無問題。
という意識に違いない(偏見)。
実際に覗いたようですがお咎めも無いようですし。
Re:調査=不正アクセス (スコア:1)
とありました。
私も突っ込もうかと思ったのですが、予め予防線を張られていたので暫く静観します。
Re:調査=不正アクセス (スコア:1)
なるほど、何度もやってるので記者様も慣れてますね。
法令に抵触しないように調べても中身だだ漏れだとほんとにノーガード戦法状態っぽい。
最近だとマイナンバー書かれた紙や顔写真コピーして手続きに使ったりとかしてそうだからちょっと薄ら寒い。
発表前の論文や実験データも横から見放題なのか。
Re: (スコア:0)
元記事くらい読めよ、ネトウヨ。
Re: (スコア:0)
法令ぐらい読めよ、ネトサヨw
Re: (スコア:0)
うろ覚えだけど、セキュリティ無しのパスワード無しならアクセスしても問題は無かったんじゃないっけかな?
Re: (スコア:0)
http://www.itmedia.co.jp/news/spv/0503/25/news022.html [itmedia.co.jp]
セキュリティーなし・パスワードなしの場所でも「普通FTPでアクセスする場所(と管理者が主張する場所)」にHTTPでアクセスすると有罪になる。
(FTPはパスワード設定されていたがHTTPからのアクセスは認証なかった)
Re: (スコア:0)
デフォルトのユーザとパスワードを使うのは不正アクセスに
なるんですよね確か
Re:調査=不正アクセス (スコア:1)
今回の調査はお墨付き監修ありなのでキレイな調査だそうな。
そもそも (スコア:0)
なんで複合機が外部に晒されるようになってんの?
複合機メーカー側に外部からの閲覧を阻止する措置を取らせるとか、根本的なところで間違ってるようにしか思えないけど。
Re: (スコア:0)
外部公開用ネットと内部用ネットをファイヤーウォールで区切ってなくて、ありあまるグローバルIPを複合機に直接割り振って、外部にも公開なんてことやっていたんじゃないかい。
Re: (スコア:0)
自分もそう思うんだけど。
知ってる複合機だと、トナーの使用状況とかトラブル状況とかを複合機メーカーが監視する都合上、メーカーのサーバーから常に監視する都合で、インターネットに晒そう晒そうとメーカー側が仕向けてるようにすら感じる。外部からの通信出来なくしたりすると、「おたくのステータスが取れないんですけど、何かトラブルですか?」みたいに、数日でサービスマンが飛んで来たりする。
インターネット経由でファックスだのメールだの送ったりする都合でアクセスしたいんだろうけど。社内ネットワークはともかく、社外のインターネットとの通信には慎重になって欲しいよ。
Re: (スコア:0)
うちではそれ電話回線でやってるけどな
向こうから一日一回ぐらいのペースで電話がかかっていているみたい。
ネット接続は保守用の意味もある (スコア:0)
昔は、そのために電話回線を利用してた。Fax用の回線を使うのが普通。
で、今はネット接続を利用する。保守会社は電話代が不要になるからね。
単純にファイヤウォールを入れちゃうと外部から接続できない。
だから外部に晒すような構成にしちゃう
今回のはどこかに新奇性があるの? (スコア:0)
無防備にネット接続された機器から情報がダダ漏れしていることや、そういう機器を検索するサイト(shodan等)が存在することも知られていますし、スラドでも過去に何度も話題になっていますよね・・・・・・・
今回のはどこかに新奇性があるのかな?
Re: (スコア:0)
2013年6月の報道で大騒ぎしたのに、まだ対策してない奴らがいると。
それはこういう層ですというニュースではないかな。
少し前もあったよね (スコア:0)
>http://security.srad.jp/story/13/11/08/0410239/
デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に
大学でグローバルIPを自動的に割り当てられてしまっている、コピーとかでしょ?
もし高校とかがあったとしたら、同じネットワーク内にある系列校とかじゃない
そんなにIP潤沢じゃないから、一般的にはNATつかって、網内はローカルIPだから、問題にならないはず。