住基ネットへの外部からのアクセス可能性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)
コンテンツ
注目検索ワード
記事

住基ネットへの外部からのアクセス可能性

特集 特集

 読者の方々も既にご承知のように、8月5日に住民基本台帳ネットワークシステム(住基ネット)が、各方面からのその安全性への危惧を無視する形で稼動しはじめた。そして住基ネットが実際、様々な局面で無理矢理構築したという事実が露呈してきている。
 住基ネット稼動の翌日、バガボンド社発行のScan Incident Reportは、「特定の地方自治体のサーバにnetbios共有設定など侵入および悪用の可能性」を報じている[1]。本記事ではこれに関連して、住基ネットのセキュリティを再度見直してみる。

 まず最初に住基ネットの大枠について簡単に振り返ってみよう。政府は「我が国が5年以内に世界最先端のIT国家になる」という目標を掲げて「e-Japan戦略」[2]を推進しており、そのe-Japan戦略の重点政策によって住基ネットは推進されている。住基ネットの大枠での計画、設計を行っているのは政府であり、その責任は当然のこと政府にあるとするのが常識である。しかし、住民基本台帳の運用は自治事務であることから、政府は住基ネットのセキュリティ上の問題を全て各自治体にあるものとしているようである。

 また政府は、住基ネットに関して

  1.独立したネットワークであり、インターネットからはアクセスできない  2.国家による個人情報の一元管理を行うものではない

と主張してしてきており、これを根拠に住基ネットは安全であると訴えている。

 しかし、1.に関して自治体で住基ネットと自治体の庁内LANとが接続されているケースが明らかになっており[2]、その数は約200とも言われている[3]。
庁内LANとはインターネットの間にはファイアウォールを介して接続されている言われているが、このファイアウォールが十分セキュアでなければ、住基ネットがインターネットからアクセスできないという政府の主張は根本から覆ることになる。

 ところが、記事の冒頭でも紹介したScan Incident Reportの記事[1]では、庁内LANとインターネットの間が鉄壁であるどころか、Windows の netbiosによるファイル共有やルータへのログインがインターネットからできてしまうような、ザルに近いような自治体が複数あることを報道している。

 もちろんこの報道においては、パスワードの保護によってそれ以上の侵入はできないことも明らかにされているが、このような無防備なネットワークが、十分強度の高いパスワードで保護されているとはとうてい考えられない。本格的にパスワード攻撃が行われた場合にはひとたまりもないであろう。こうして庁内LAN内のコンピュータに侵入され、踏み台にされた場合、住基ネットは丸裸といっても過言ではない。


office
office@ukky.net
http://www.office.ac/


[1] https://www.netsecurity.ne.jp/article/1/6232.html
[2] http://www.kantei.go.jp/jp/it/network/dai1/0122summary_j.html


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Amazonを騙り、アカウントをロックすると脅すフィッシングメールを確認(フィッシング対策協議会) 画像

Amazonを騙り、アカウントをロックすると脅すフィッシングメールを確認(フィッシング対策協議会)
「サイボウズ ガルーン」にDoSや情報漏えいなど複数の脆弱性(JVN) 画像

「サイボウズ ガルーン」にDoSや情報漏えいなど複数の脆弱性(JVN)
Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report) 画像

Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン) 画像

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市) 画像

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance) 画像

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance)
日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10) 画像

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー) 画像

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)

研修・セミナー・カンファレンス 記事一覧へ

自動車セキュリティはIoTの延長でよいのか? 最新動向セミナー開催 画像

自動車セキュリティはIoTの延長でよいのか? 最新動向セミナー開催
開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation) 画像

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱 画像

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×