こんばんは。log4jの脆弱性についても気になってまして、こちらも情報を追いかけている最中です。
今回は西宮市の庁内システムがサイバー攻撃に遭ったという点について書いてみることにします。Secrurity-NEXTの記事からです。
同市庁内システムのグループウェアで使用されているデータベースに対して、SQLインジェクション攻撃が行われたようです。そのため、同システムのroot権限とユーザー3名のIDとパスワードが詐取されたそうです。
さらに、市職員を騙ったメールアドレスでフィッシングメールが送信されたようです。
この記事で気になった点が2点あります。
1.は直近で受けた診断時には脆弱性が見つからなかったとのことですので、診断後にアプリケーションのアップデートがあって、その際に脆弱性が存在していたということも考えられそうです。
私自身もWebアプリケーションやプラットフォームに関する脆弱性診断を業務として行っていた時期があるのですが、アプリケーション改修後に脆弱性診断を受けることが課されていました。定期診断以外にもリリース時診断も合わせて行わないといけないですね。(兵庫県側にそこまでの人的・経済的リソースがあるのかどうか?という別の問題もありそうですが)
2.ですが、西宮市は25年以上前からパソコン通信を外郭団体として提供していました。その際、ホストコンピュータにログイン出来るようにということで、telnetログインを可能にしていました。(もちろん、今は出来ません。大昔の長閑な時代のお話です)
その際使っていたドメインがnishi\.or\.jpでした。その名残で、lgドメインを使わずに現在も上記ドメインを使っているものと推察しています。
なので、「LGWANや住基システムへの影響はない」とのことですが、独自ドメインを(ある程度)自力で運用するしんどさみたいなものがありそうです。
そのへんをどう考えるか、西宮市側と兵庫県側双方の見解が気になります。