cles::blog

ESET が中古のネットワーク機器から企業の機密情報が取り出せるという研究「How I (could've) stolen your corporate secrets for $100 （100ドルで企業秘密を盗む方法）」の結果を公表していたのでメモ。

設定情報が消去されないままに中古のネットワーク機器が流通しているという実態と、そのリスクを指摘しています。先日の大阪急性期・総合医療センターのインシデント報告書では、脆弱性を持った VPN 機器が侵入の発端であったことが記載されていましたが、きちんとパッチが当たっている VPN 機器であっても接続のための情報がそのまま第三者に渡ってしまうとセキュリティに対して重大な脅威になる可能性があります。

IT 機器の廃棄については、例えば HDD 等では「データ消去技術ガイドブック」などが整備されていたり、ISMS やプライバシーマークなどで破壊等の方法が定められていたりしますが、ネットワーク機器はそのような IT 機器廃棄のライフサイクルから漏れていたりするということですね。

“廃棄された”ルーターが初期化されずに中古市場で流通。深刻なセキュリティリスクに | WIRED.jp

9台のデバイスには、組織が使っていたVPN（仮想プライベートネットワーク）の認証情報や別の安全なネットワーク通信サービスの認証情報、またはハッシュ化されたルート管理者のパスワードが含まれたままだったという。そしてすべてのデバイスに、以前のルーターの所有者やオペレーターが誰であったかを十分に識別できるデータが含まれていた。

新潟県で公文書のデータ損失事故が発生したことが話題になっていたのでメモ。
これを見る限りはポカミスですが、IT 統制的にだいぶ問題がありそうなので今後の展開に着目しておきたいと思います。

• 公文書(電子データ)の消失事故について - 新潟県ホームページ

新潟県の公文書データ10万件が消失　保守業者がテストなしで新機能追加し不具合に - ITmedia NEWS

4月10日に、県の職員が添付ファイルを開けない状況になっていることに気付き、富士電機ITソリューションに調査を依頼した。ファイルが消失したのは9日夜ごろで、判明した段階でバックアップ期間（3日間）を過ぎていたためバックアップファイルが残っていないことが分かった。

文京区議会議員選挙・文京区長選挙だったので、きちんと投票権を行使してきました。
根津に引っ越してきてから初めての選挙なので、投票所が変更になりました。

• 文京区 令和5年4月23日執行文京区議会議員選挙及び文京区長選挙

文京区は 23 区内では投票率が高い地域で、今回も 50% 越えになったようです。

【詳報】江東区長選で木村氏、23区の女性区長は過去最多の6人に　大田は鈴木氏　統一地方選・衆参5補選：東京新聞 TOKYO Web

東京・特別区の投票率を見ると、文京区で52.16％と50％を超え、前回を1.57ポイント上回った。

昔、構築した Movable Type Open Source (MTOS)の環境を Docker を使って再構築してみました。

現在、MTOS は 2016 年 1 月 に MT5 の EOL に伴ってプロジェクトは終了され、現在は脆弱性等の修正も行われない状態になっていますので MTOS がインストールされたサーバ自体を外部に晒すことはできません。

このため、現在 MTOS を復活させる意味はないように思えますが、僕は MTOS を純粋な静的サイトジェネレーターとして使っていて、生成された HTML ファイルだけを別のウェブサーバにコピーして運用しています。本当はもっと新しい静的サイトジェネレータに移行すべきなんでしょうが、大したサイトでもないのでHTML 生成が必要になった時だけ使えるローカルサーバが欲しくなったというのが構築の理由です。

† 先人の知恵を使わせていただく

今回は apricoton/docker-movabletype-psgi をベースに、以下で紹介されているパッチを自動的に取り込むようにしてみました。

• MovableTypeアクセス不可（Perl-5.26にするとハマるので要注意） - りゃうけのブログ。
• 旧バージョンのMTでPerl5.26（Perl5.24以降）に対応する方法: 小粋空間

需要はないと思いますが、作成した環境は以下にアップロードしておきます。

• hsur/docker-movabletype-psgi: Docker Compose で始める Movable Type 開発環境

WSL2 に Docker をインストールしてみたのでメモ。
Windows であれば Docker Desktop がありますが、やっぱり Linux のコマンドラインで全て済ませたいんですよね。

WSL2 の Ubuntu 22.04 にインストールする場合、基本的には 公式のドキュメントに従うだけですんなりインストールできます。

• Install Docker Engine on Ubuntu | Docker Documentation

今回は以下のような感じでインストールしてみました。

これまでフリーダイヤルは 0120 から始まる番号しか知らなかったのですが、0800 から始まるものがあることが分かったのでメモ。

「0800」から始まる電話番号は何ですか？| よくあるご質問 | サポート | au

「0800」から始まる電話番号は、「0120」から始まる電話番号と同じフリーダイヤルです。そのため、電話をかけた場合・受けた場合どちらであっても、通話料金は「0800」を契約している事業者側の負担となります。
※「0800」から始まる電話サービスは、KDDIだけでなく通信各社がご提供しています

† iPhone の電話番号表示が 0800 ### #### となったので・・・

これに何で気づいたかというと、きっかけはスマホに見知らぬ電話番号からの着信があったから。

僕は知らない人からの着信は基本的に無視しますが、番号が 080 で始まっていたため、仕事関係の人だと嫌だなと思って詳細を確認しようとしたら iPhone の電話番号表示が 0800 ### ### というように変な部分で切れて表示されていたので気になって調べてみたのでした。

ちなみにこの番号は RDD による世論調査を行っている業者のようです。

大阪急性期・総合医療センターのインシデント報告書が公開されていたのでメモ。
昨年の 10 月にサイバー攻撃で電子カルテシステムがダウンして大騒ぎになっていたものですね。

• 情報セキュリティインシデント調査委員会報告書について | 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター

報告書は 75 ページあるので、なかなか読み応えがあります。

サーバなどで共通の ID とパスワードが使い回されていたり、脆弱性に対するアップデートが行われていなかった VPN 装置が侵入経路になってしまっていたりと、なかなかずさんな IT 管理だったことが分かります。これに伴う損害は調査復旧で数億円以上、診療制限の逸失利益として十数億円以上と、とんでもない代償を払うことになりました。

復旧額が嵩んだのは、基幹システムサーバーの大部分がランサムウェアにより暗号化されたり、院内の約 2,200 台の PC に不正アクセスの痕跡があったため、これらの全てをクリーンインストールことになったことが大きかったようです。内部でこれだけ大規模にマルウェアが横展開されるという事例も珍しいですね。これにより基幹システム再稼働に 43 日間、全体の診療システム復旧に73 日間を要するなど目も当てられない状況になってしまったようです。

「医療機関は閉域網だからセキュリティは問題ない」といった誤った閉域網神話の中で、セキュリティに関する意識が薄れていたのが原因としてあげられていますが、世の中的に IT システムにきちんとお金をかけたり内部で人材育成をするための体制が足りていないんですよね。

† 参考

• 大阪急性期・総合医療センターへのランサムウェア攻撃に関する報告書「誤った閉域網神話によるセキュリティ意識の薄れ」指摘 | ScanNetSecurity

NTT 東西がフレッツ光提供地域外でもフレッツ ADSL の提供を終了することを公表^*1*2していたのでメモ。

一瞬、アナログ電話が引けるのに光が引けないことはあるの？と思いましたが、加入電話はユニバーサルサービス制度^*3の対象ですが、光はそうではないので不採算地域だと引けないということが発生しうるんですね。代替はモバイルになるようです。

「フレッツ・ADSL」、光ファイバーない地域でも終了へ　NTT東は「モバイルサービスへの移行」呼びかけ - ITmedia NEWS

フレッツ光を提供していない地域のユーザーに対しては「（他社の）モバイルサービスなどの利用を検討してほしい」としている。インターネット接続は両社に提供義務のあるユニバーサルサービスには含まれていない。

• ^*1: 「フレッツ・ＡＤＳＬ」のサービス提供終了日および新規申込受付終了日等について | お知らせ・報道発表 | 企業情報 | NTT東日本
• ^*2: 【NTT西日本】「フレッツ光」未提供エリア等における「フレッツ・ADSL」の新規申込受付終了および提供終了等について｜ニュースリリース - 通信・ICTサービス・ソリューション
• ^*3: 総務省｜ユニバーサルサービス制度

￥1,680 という表記の商品を購入したら決済が人民元になっていて高額請求されたという事例が問題になっているようなのでメモ。

人民元 (CNY) も日本円 (JPY) も通貨記号は「￥」ですが、国内で人民元はほぼ流通していないので「￥」の表記から人民元を意識することは難しいと思います。
以下の国民生活センターのサイトでは具体的なサイト名が公開されてしまっているので、そもそも勘違いを狙ったサイトなのでしょう。

その「￥」表示は本当に日本円の表示ですか？－通貨をよく確認しないと約20倍の価格になってしまうため要注意！！－(発表情報)_国民生活センター

全国の消費生活センター等には、カリグラフィー（欧文の文字を美しく書く技法）のガイドブックなどをインターネット上で販売する「Calli-Calli」について、「『￥』表示を見てクレジットカード決済で申し込んだところ、日本円（JPY）ではなく、中国人民元（CNY）で決済され、約20倍の価格で購入したことになっていた」との相談が複数寄せられています。

今月上旬の話ですが、豊田市でライセンス更新忘れ^*1によるメールアドレス漏洩が発生していたようなのでメモ。

このメールアドレスの漏洩はファイルをばらまいてしまったというようなインシデントではなく、メール送信時の To: にメールアドレスを列挙してしまったので、他のユーザーにメールアドレスが見えてしまったというもの。
これ自体はそれほど珍しくないですが、理由のライセンス更新忘れというのはちょっと珍しいですね。

メール系の誤送信防止ソリューションは正直しょうもないものが多いと思っていますが、「強制 BCC システム」というのは初めて聞きました。おそらくですが To に複数のアドレスが列挙されていた場合にこれを BCC に強制的に書き換えて送信する仕組みだと思います。漏洩したメールアドレス 652 件に対して、メールは 24 通なので、システムに頼って日常的に BCC を使っていなかったことが窺えます。安全のためのシステムが、基本的な IT リテラシーを低下させていたのはなんとも皮肉な話です。

以下に再発防止策が書いてありますが、これ完全に現場猫のパロディに使えそうな感じになっています。正直、メールというシステム上、こういうのは情報漏洩の対象から外すべきだと思っているんですよね。

報道発表資料　個人情報（電子メールアドレス）の流出について （最終報）｜豊田市

• 市からシステム提供元の事業者に、ライセンス有効期限の管理及び更新手続きを徹底するよう指導（4月5日実施済み）
• 同事業者において、「強制BCCシステム」のソフトウェアライセンスの有効期限が近づいたことを社内メール上で知らせるアラート機能を導入予定
• 情報システム課及び事業者において日々の業務開始前に「強制BCCシステム」の稼働状況を双方で確認する
• 市の職員に対し、「強制BCCシステム」の稼働状況にかかわらず、複数人宛に同時にメールを送信する際は「宛先（To）」や「CC」にアドレスを入力せず、「BCC」に入力するよう、研修等を実施し、徹底させる

• ^*1: 当社システムの機能停止による豊田市が送信した電子メールアドレスの流出について（完報） | ひまわりネットワーク株式会社