日記
住基ネット「侵入できず」 from asahi.com (20:18)Edit

>>実験をしたのは米政府機関や金融機関などに情報セキュリティーサービスを提供している米国の「クロウ シェゼック社」。(1)住基ネットとコミュニケーションサーバー(CS)間のFW(2)CSと市町村LAN間のFW(3)市町村LAN上のCS端末――を対象に実験した結果、「FW攻略とCS端末権限を奪うため、あらゆる攻撃を試みたが成功せず、弱点も見いだせなかった」という。

もっと詳しい情報はないかな。総務省のWebにはまだ載っていないみたいだけど。あと「クロウ シェゼック社」の綴りキボンヌ。勘で検索してみたけどみつからねー。

で、(1)と(2)は「一番固いところを正攻法で攻めても大丈夫だった」という話はまあ当たり前なんで信用してもいいけど、問題は(3)だよなー。

住基ネット端末ってWindowsマシンだよね。しかも、システム変更に(運用ポリシー的な)制限があるであろうことから、セキュリティアップデートがこまめに行われているとは考えにくいやつ。それが「あらゆる攻撃を試みたが成功せず、弱点も見いだせなかった」ってのはちょっと信じられないなー。

多分住基ネットを狙う場合は、直接サーバーへの侵入を試みるより、一番セキュリティ的に弱そうな端末を踏み台として使う方向を狙うだろうし、そこはソーシャルハッキングにも弱そう(=コンピュータ技術的に安全だというだけじゃダメ)だから、「端末を乗っ取られた場合にも(それなりに)セキュリティが確保できる」みたいな話にならないと、いまいち信頼がおけない。

この記事を読んだだけだと、いかにも「安全そうなところだけ試したら問題が出なかったので、広告的に「(全部)安全でした」と発表してみた」感が漂っている。

あ、資料が公開されていた。

>>なんだかなぁ.XSS脆弱性のことも満足に知らないところがいくら「脆弱性も見いだせなかった」とか言ったって、どう信用しろと? という話も。ちなみに、クロウ社(Crowe Chizek and Company LLC)のサイトはhttp://www.crowechizek.com/。上記でXSSの例に使われているドメインはエイリアスなのかな? 内容は一緒みたいだけど。

Published At2003-10-17 00:00Updated At2003-10-17 00:00