東京都教育委員会サイト改竄
こんばんは。今回は東京都教育委員会の教員採用案内サイトが改竄された事件を取り上げます。こちらはSecurity-NEXT.comの記事からです。
上記記事には詳細は書かれていませんが、御丁寧に独自ドメインを取得していたようです。普通に考えたら、metro.tokyo.jpドメインのサブドメインを取得して運用していると考えますよね。これが.jpドメインで、http://www.kyouin-senko-metro-tokyo.jp/ だったそうです。(なお、同サイトは現在閉鎖されているそうです)
詳しくは東京都教育委員会のWebサイトを御覧下さい。
今までにも同様の問題が起きていましたね。独自ドメイン取得という観点で。最初からkyouiku.metro.tokyo.jp ドメイン配下で運用していれば良かったのではないかと思うのですが、なぜこうなったのでしょうか?
ここからは推測ですが、以下のような流れではないかと考えています。
- サブドメイン取得に関する内部手続が面倒だった
- .jpドメイン取得して運用する方が楽だと考えた
- .jpドメイン取得も含めて、外部業者に完全丸投げしたかった
- サブドメインを取得したとしても、適切に運用出来る知識を持った職員がいない
- 現状動いているWebサーバを間借りするにしても、どうしていいか分からない
- 丸投げした業者も大して技術力がなかった
- 誰も把握してないまま動いていてやられた
おおよそこんなところではないかと睨んでいます。教育委員会内部にベンダときちんと話の出来る職員が存在しなかったことが不幸の始まりだったのかと見ています。
軽い気持ちで独自ドメインを取得しているのが容易に想像出来ます。採用案内事業が終了したら、管理費支払いを止めて放棄する形にするつもりだったのではないでしょうか。ドメインを手放して、全く関係のない団体に取得されて、いろいろと問題になったことがありました。
今回のケースは不正アクセスからの改竄ですので、事情は異なりますが、安易な発想でベンダ丸投げした結果ではないかと考えています。特に地方自治体はlg.jpドメインがあるのですから、組織内手続が面倒でもサブドメインを使うようにしましょう。これが防衛策につながるということを職員の方々には認識していただきたいです。合わせて議員の方々もこの点について議会で指摘してほしいものです。(指摘・追及出来る議員さんがどれだけおられるのかは不明ですが)