NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

尼崎市USBメモリ紛失事件に関する考察(1)

 こんばんは。6月23日に発生した尼崎市USBメモリ紛失事件について自分なりに考察してみます。事件の概要はこちらになります。以下、日経xTECHの記事からです。

xtech.nikkei.com

xtech.nikkei.com

USBメモリ発見≠情報漏洩の心配なし」という点に注意

 さて、「USBメモリが無事見つかったからよかったね♪」と楽観的には捉えられない点が厄介です。コピーされてないという保証は現時点ではどこにもありません。(「パスワードが変更されていないから大丈夫」とは断言出来ません。むしろ疑ってかかるぐらいが健全なのかもしれません)

 というか、USBメモリ単体でコピー&流出がないことを立証は出来ないと見ています。とりあえず年内一杯ぐらいは警戒して当たるぐらいしかなさそうです。

協力社員の行動に目を奪われていると本質を見失うのではないか説

 情報セキュリティの教科書に出て来る典型的な「やってはいけないこと」を連発してくれています。

 「この協力会社社員の行動は絶対に許されるべきではない!」というのは当然です。ここにばかりフォーカスしてしまうと、本当に問題だった点を見失います。

 ここからもう少し掘り下げて行く必要がありそうです。この協力会社社員のやらかしに関して時系列を遡ると見えてきそうです。

住民基本台帳関係の情報を扱う端末にUSBメモリ接続が許可されていた事実

 個人的にはここが根幹にある問題だと見ています。

 住基ネットに関しては、調べた限りではUSBメモリ等の可搬記憶媒体が接続出来ない設定になっているようです。

 にもかかわらず、協力会社社員が市職員の許可を得ずにコピー出来ていたという点にも問題があります。

 ということは、(特定端末のみかもしれませんが)住基ネット系接続端末にUSBメモリ接続及び書き出しを許可する設定になっていたということになります。

業務委託ありきで許可したのではないか説

 コールセンターが吹田市にあったことで、市役所側の端末の情報を参照出来ないという理由が大きいのではないかと見ています。

 「USBメモリに書き出す際には市職員の許可が必要」とありましたが、今回は無許可だったようです。仮にこれが許可していた状態だったとしたら、市側がかなり叩かれていたことになっていたと推測されます。

 ここで問題になるのは、「仮に許可したとしても、市側のコントロールが効かない状態になってしまうことを理解していたのか?」「コントロール出来るような仕組みを事前に構築しておくべきではなかったのか?」という点が気になります。

 市側がコントロール出来ない状態に陥ってしまうわけですから、「運用でカバー」は絶対にNGです。

 まだまだありますが、続きは改めて。

 

徳島県つるぎ町立半田病院からのランサムウェア被害報告書を読みつつあります(1)

 こんばんは。前回・前々回に続き、徳島県つるぎ町立半田病院のランサムウェア被害に関する記事になります。前回・前々回の記事はこちらです。

karasuma-kitaoji.hatenablog.com

karasuma-kitaoji.hatenablog.com

 報告書が出ましたので、現在読んでいる最中です。報告書は以下のリンクから辿れます。

www.handa-hospital.jp

 報告書が45ページ、技術編が105ページの合計150ページあります。ひとまず前者を読み終えて、後者を読んでいる最中です。前者を読んだところの大雑把な感想ですが、病院側・ベンダ側どちらかが100%悪いという代物ではなく、双方共にいろいろと問題を抱えているなという印象でした。

 続きは技術編を読み終えてから書いてみることにしますので、暫しお待ち下さい。

 この件に関してまとめて下さった方がおられますので、こちらのTogetterまとめを御参照下さい。

togetter.com

 いろいろと問題が多いというか、闇が深いなと思わせる内容でした。

(次回に続く)

 

ランサムウェア被害にあった半田病院の問題点が明らかに(2)

 こんばんは。日曜日に書く予定が延び延びになってました。<(_ _)>

先週土曜日の続きになります。こちらは前回の記事になります。

karasuma-kitaoji.hatenablog.com

 昨日はVPN装置のファームウェアがアップデートされていなかったことと、VPN装置ベンダがアップデートをリリースしていたにもかかわらず、そのことを病院側に伝えていなかったことなどを書きました。

 他にもいろいろと指摘事項がありました。今回はその続きを書いて行くことにします。こちらはNHKの記事からです。

www3.nhk.or.jp

 病院の情報システム担当者が1人しかいなかったそうです。ここからは推測になりますが、他の業務と兼務で、専門職ではなく、ローテーションで回ってきた事務職ではないかという気がしてなりません。ここは推測ですので、これ以上深掘りしません。

 こうなると、ベンダの言いなりになるしかなかったのかなと思う面はあります。

 1人ということは、上司が医事課長か総務課長だったりして、非IT系上司なのでしょう。ITに関しては素人の可能性が十分にあります。担当者が声を上げても、上司には響かなかった可能性も十分に考えられます。

 そして、こちらは時事通信の記事です。

www.jiji.com

 OSのアップデートだけでなく、ウイルス対策ソフトの定義ファイルアップデートもOFFにしていたということのようです。電子カルテシステムや部門システムの安定稼働の妨げになるという理由のようです。

(これもどうかとは思いますが…)

 詳しい内容が日経xTECHに掲載されていました。無料部分だけでもかなり詳しい内容について触れられています。

xtech.nikkei.com

 VPN装置を含むインフラ部分を担当したA社と、電子カルテシステムを導入したC社。部分最適は保たれているんでしょうが、A社とC社ではカバー出来ない部分が放置されていたのではないでしょうか。

 「責任分界点の谷間」が出来てしまったいたことになります。各パートはそれぞれのベンダが面倒を見ていたのですが、全体を俯瞰的に見ている人が誰もいなかったのではないかという点が今回の問題を大きくしてしまったのだろうという風に見て取れます。

 「責任分界点の谷間」を誰かに押し付けてしまおうと誰もが考えていたのだろうなという気もします。結局ババ抜きになってしまっていて、誰も責任を取ろうとしなかった結果なのではないでしょうか。

 今回は町側の報告書でしたが、A社・C社側の意見も聞いてみたいものです。

ランサムウェア被害にあった半田病院の問題点が明らかに(1)

 こんばんは。今回は徳島県つるぎ町立半田病院が受けたサイバー攻撃に関する報告書が出てきたことについて書いてみることにします。複数社からの報道がありましたが、日本経済新聞の記事が詳しかったので、こちらのURLを貼っておきます。

www.nikkei.com

 様々な理由が挙げられていますが、最大の原因はVPN装置のファームウェアアップデートを放置していたということでしょうか。

 VPN装置ベンダとしては、早い時期に脆弱性の存在をアナウンスしていて、ファームウェアアップデートの適用をアナウンスしていたようですが、病院の電子カルテシステムの運用・管理を請け負っていたベンダ側としては病院に通知していなかったようです。

 さらに、VPN装置はインターネットに対して剥き出しになっていたという点も傷口を広げたのではないでしょうか。

 クローズドNW信仰みたいなものが医療機関電子カルテシステムベンダ(保守・運用担当)それぞれにあるように思えてなりません。仮にクローズドNW信仰を医療機関・ベンダ両方が持っていたとしたら、なぜVPN装置をインターネット剥き出しで接続していたのか?という素朴な疑問にぶち当たります。

 「それならIP-VPNで接続するとか考えなかったのかな?」という風に考えてしまいます。安直な方向を選択したんじゃないかという疑念も消えません。

 他にもツッコミどころはあるのですが、続きは改めて。

iPadでpovo2.0×IIJmioの組み合わせが散見される件に関する追記

 こんばんは。今回はiPadでデュアルSIMを使う場合の注意点の補足に関して書いてみます。

 先日、以下のような記事を書きました。iPad mini 6でpovo2.0とIIJmioのeSIMを併用する場合の手順について書きました。

karasuma-kitaoji.hatenablog.com

 その後、iPadでpovo2.0とIIJmioのeSIM・楽天モバイルのeSIMを使おうとして上手く行かないというケースがTwitter上で散見されました。

 povo2.0はiPhoneで使う場合には構成プロファイルが不要ですが、iPadで使う場合にはインストールが必要になります。これがいろいろと話をややこしくさせています。

 iOSやiPadOSでは構成プロファイルのインストールは1つに限られます。構成プロファイルを必要とするSIMを2つ同時に利用することは出来ません。

 そうなると、ちょっと工夫が必要になります。上記記事で「IIJmioのeSIMに明示的にAPN設定を追記したら切り替えて使えるようになった」と書きました。

 本来であれば、APN設定を追記せずとも使えます。(構成プロファイルのインストールも不要です) 追記しなかった場合にIIJmioのeSIM側APN設定になぜか「povo.jp」と記述されてしまっていました。(先にpovo2.0を設定しておけば、IIJmioのeSIM側のAPN設定は要らなかった可能性はありますが)

 今回、IIJmio側が物理SIMで、povo2.0側がeSIMだという事例に遭遇しました。この場合、povo2.0側もIIJmio側も構成プロファイルのインストール必須で、APN設定が直書き出来ないといった事例を耳にしました。

 そこで、IIJmioのWebサイトを調べてみました。こちらにAPN設定に関する記述がありました。

www.iijmio.jp

 IIJmio側が物理SIMだと構成プロファイルのインストールが必須なようです。(APN設定直書き不可のようです)

 さらにpovo2.0側も構成プロファイルのインストールが必須なので詰んでしまいます。

 こうなると、povo2.0側を物理SIMにして、IIJmio側をeSIMにするか、povo2.0側もIIJmio側もeSIMにするかしかなさそうです。

 要は「IIJmio側が物理SIMだとiPadではpovo2.0との併用は出来ない」ということのようです。iPadでpovo2.0とIIJmioでデュアルSIM利用をする場合は、povo2.0を物理SIMにして、IIJmio側はeSIMにしましょう」というお話になります。<(_ _)> 

 

 

最近多く見かける携帯電話キャリアの店頭出張販売

 こんばんは。楽天モバイル0円廃止の影響もあるのかもしれませんが、最近週末にスーパーやショッピングモール等で携帯電話キャリア各社(サブブランド含む)の出張販売を目にすることが多くなってきました。

 前を通ると「何処の(携帯電話)会社をお使いですか?」と聞かれます。ここでのスタッフの方々の想定は「docomoです」「auです」「SoftBankです」「楽天モバイルです」というように、各キャリア単独で利用している層なのだろうと思われます。

 で、「うちに乗り換えていただくと月々の料金が安くなりますよ♪」とか、「乗り換えていただくと、これだけの還元がありますよ♪」というような流れのようです。

 私も話しかけられたことがあったのですが、「特に還元は意識してなくて、面白いプランがあったら入りたいとは思うんですがね…。」と言うと、言葉に詰まるようです。

 多くのユーザーは単純に安さを追いかけてるという認識なのかもしれません。povoやmineoやIIJmio等だと、安さ以外の個性的プランが訴求力になっている気がします。

 まぁ、こういうプランを出している事業者は往々にして店舗展開や出張販売をしていない(または少ない)んですよね。(^^;

 話を少し戻して、スタッフの方に「何処を使ってますか?」と聞かれた際に、「docomoIIJmio楽天モバイルとpovoを使ってます」と答えると、この時点で若干怯みます。(^^;

 「機器は何を使ってます?」と聞かれると、「4GガラケーとiPhone2台とiPadVAIOで使ってます。一部デュアルSIMで使ってます。」と答えました。こうなってくると、「特にうちで契約しなくても十分ですね。(^^;」と言われてしまいました。(^^;

 おかげさまでかなりのインパクトはあったようで、しっかりと顔を憶えられてしまうという副産物がありました。(^^;

 まぁこれはこれでいいんですが。(^^;

 

Y!mobileとLINEMOがプラスメッセージサービスを開始したらしいという話(5/20時点)

 こんばんは。「ようやくY!mobileとLINEMOがプラスメッセージの提供開始したらしい」という話を5月21日に耳にしました。

 事の発端は、5月21日(土)にたまたまY!mobileの出張販売を目にしたことからです。スタッフの方がティッシュ配りをしていたので、いただいたついでに「ワイモバさんとこのプラスメッセージサービス開始予定ってどうなってます?今年春頃という公式発表になってますけど???」と質問してみました。

 質問を投げかけた方は即答出来ず、他のスタッフさんにヘルプを求めました。こちらも即答出来ずでした。時間をおいてたまたま通りがかったら、以前面識のあったスタッフさんでした。ついでに聞いてみたところ「今のところ、開始予定は聞いてない」と。

 そんな話を当日Twitterで呟いたところ、フォロワーさんから「既に20日からY!mobileもLINEMOもプラスメッセージがロールアウトされてます!」というリプライをいただきました。検索してみると結構ツイートが出てきました。

 その後で公式サイトを検索してみましたが、言及されていないようでした。

 22日に21日にお会いしたスタッフの方を見かけましたので、上記内容をお伝えしたところ「知らなかった」とのことでした。(真偽のほどを確認するためにスマホで検索されて、事実だということを認識されたようです)

 もしかすると、23日中に(この記事を書いているのが22日夕方ですので、タイムラグがあることは御了承下さい)プレスリリースがあるかもしれません。その場合は改めて記事を書くことにします。<(_ _)>

 今回の一件で、意外に現場に情報が共有されていないこともあるのだなと認識しました。