住基ネットへの外部からのアクセス可能性 | ScanNetSecurity
2022.06.27(月)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

住基ネットへの外部からのアクセス可能性

 読者の方々も既にご承知のように、8月5日に住民基本台帳ネットワークシステム(住基ネット)が、各方面からのその安全性への危惧を無視する形で稼動しはじめた。そして住基ネットが実際、様々な局面で無理矢理構築したという事実が露呈してきている。  住基ネット稼動

特集 特集
 読者の方々も既にご承知のように、8月5日に住民基本台帳ネットワークシステム(住基ネット)が、各方面からのその安全性への危惧を無視する形で稼動しはじめた。そして住基ネットが実際、様々な局面で無理矢理構築したという事実が露呈してきている。
 住基ネット稼動の翌日、バガボンド社発行のScan Incident Reportは、「特定の地方自治体のサーバにnetbios共有設定など侵入および悪用の可能性」を報じている[1]。本記事ではこれに関連して、住基ネットのセキュリティを再度見直してみる。

 まず最初に住基ネットの大枠について簡単に振り返ってみよう。政府は「我が国が5年以内に世界最先端のIT国家になる」という目標を掲げて「e-Japan戦略」[2]を推進しており、そのe-Japan戦略の重点政策によって住基ネットは推進されている。住基ネットの大枠での計画、設計を行っているのは政府であり、その責任は当然のこと政府にあるとするのが常識である。しかし、住民基本台帳の運用は自治事務であることから、政府は住基ネットのセキュリティ上の問題を全て各自治体にあるものとしているようである。

 また政府は、住基ネットに関して

  1.独立したネットワークであり、インターネットからはアクセスできない  2.国家による個人情報の一元管理を行うものではない

と主張してしてきており、これを根拠に住基ネットは安全であると訴えている。

 しかし、1.に関して自治体で住基ネットと自治体の庁内LANとが接続されているケースが明らかになっており[2]、その数は約200とも言われている[3]。
庁内LANとはインターネットの間にはファイアウォールを介して接続されている言われているが、このファイアウォールが十分セキュアでなければ、住基ネットがインターネットからアクセスできないという政府の主張は根本から覆ることになる。

 ところが、記事の冒頭でも紹介したScan Incident Reportの記事[1]では、庁内LANとインターネットの間が鉄壁であるどころか、Windows の netbiosによるファイル共有やルータへのログインがインターネットからできてしまうような、ザルに近いような自治体が複数あることを報道している。

 もちろんこの報道においては、パスワードの保護によってそれ以上の侵入はできないことも明らかにされているが、このような無防備なネットワークが、十分強度の高いパスワードで保護されているとはとうてい考えられない。本格的にパスワード攻撃が行われた場合にはひとたまりもないであろう。こうして庁内LAN内のコンピュータに侵入され、踏み台にされた場合、住基ネットは丸裸といっても過言ではない。


office
office@ukky.net
http://www.office.ac/


[1] https://www.netsecurity.ne.jp/article/1/6232.html
[2] http://www.kantei.go.jp/jp/it/network/dai1/0122summary_j.html


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

YKK AP社員を装った不審メールに注意喚起、取引先への送信も確認 画像

YKK AP社員を装った不審メールに注意喚起、取引先への送信も確認
L2Blockerセンサー設定画面に認証回避の脆弱性 画像

L2Blockerセンサー設定画面に認証回避の脆弱性
web2py にオープンリダイレクトの脆弱性 画像

web2py にオープンリダイレクトの脆弱性
SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見 画像

SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見
Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
法務省 文科省 デジタル庁 警視庁、偽サイト続々 画像

法務省 文科省 デジタル庁 警視庁、偽サイト続々

インシデント・事故 記事一覧へ

トヨタ紡織グループのタイの販売会社に不正アクセス 画像

トヨタ紡織グループのタイの販売会社に不正アクセス
ホース製造ニチリンの米国子会社にランサムウェア攻撃、手作業で生産出荷を実施 画像

ホース製造ニチリンの米国子会社にランサムウェア攻撃、手作業で生産出荷を実施
ランサムウェアLockbit 2.0によるサイバー攻撃、電子カルテや院内LANシステムが使用不能に 画像

ランサムウェアLockbit 2.0によるサイバー攻撃、電子カルテや院内LANシステムが使用不能に
コンサル契約にもとづき提供した秘密情報が漏えい 画像

コンサル契約にもとづき提供した秘密情報が漏えい
FRONTEOの米国子会社へのランサムウェア攻撃、侵入経路と推測されるメールシステムを今後は使用せず 画像

FRONTEOの米国子会社へのランサムウェア攻撃、侵入経路と推測されるメールシステムを今後は使用せず
バローホールディングスで夏ギフトのダイレクトメールを誤送付、システム移行時の確認不足が原因 画像

バローホールディングスで夏ギフトのダイレクトメールを誤送付、システム移行時の確認不足が原因

調査・レポート・白書 記事一覧へ

JSSEC、フィッシングメール詐欺の手口と対策を解説 画像

JSSEC、フィッシングメール詐欺の手口と対策を解説
2022年第1四半期のランサムウェア動向 画像

2022年第1四半期のランサムウェア動向
マルウェアや標的型攻撃への対策状況を明らかに、ガートナー調査 画像

マルウェアや標的型攻撃への対策状況を明らかに、ガートナー調査
官公庁や市町村の「偽サイト騒動」でJava Scriptコードの挿入による広告表示も、トレンドマイクロ調査 画像

官公庁や市町村の「偽サイト騒動」でJava Scriptコードの挿入による広告表示も、トレンドマイクロ調査
日本の組織が最も懸念するサイバー脅威はフィッシング詐欺とソーシャルエンジニアリング、トレンドマイクロ調査 画像

日本の組織が最も懸念するサイバー脅威はフィッシング詐欺とソーシャルエンジニアリング、トレンドマイクロ調査
Proofpoint Blog 第14回「CISOが考える最大のサイバー脅威は「内部脅威」 - 2022年CISO意識調査レポート」 画像

Proofpoint Blog 第14回「CISOが考える最大のサイバー脅威は「内部脅威」 - 2022年CISO意識調査レポート」

研修・セミナー・カンファレンス 記事一覧へ

LogStare「Interop Tokyo 2022」レポート、CTOの堀野友之氏による講演やShowNetのモニタリング・AI予測など 画像

LogStare「Interop Tokyo 2022」レポート、CTOの堀野友之氏による講演やShowNetのモニタリング・AI予測など
「テクカン2022」開催、セキュリティ製品ひしめく現代 セキュリティ担当者サバイバルガイド解説 画像

「テクカン2022」開催、セキュリティ製品ひしめく現代 セキュリティ担当者サバイバルガイド解説
「法執行機関による盗聴」国別比較 ~ 日 米 独 豪 台 事例から 画像

「法執行機関による盗聴」国別比較 ~ 日 米 独 豪 台 事例から
「Japan Drone 2022」開幕、イエラエのドローン攻撃デモも 画像

「Japan Drone 2022」開幕、イエラエのドローン攻撃デモも
企業がフィッシングメールを見分けるには? 無料ウェビナー開催、TwoFiveがDMARCについて解説 画像

企業がフィッシングメールを見分けるには? 無料ウェビナー開催、TwoFiveがDMARCについて解説
東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化 画像

東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化

製品・サービス・業界動向 記事一覧へ

セキュリティ製品「第三者評価」の読み解き方、AV-Test や MITRE Engenuity など 画像

セキュリティ製品「第三者評価」の読み解き方、AV-Test や MITRE Engenuity など
「ワールドソフト」で「VirusTotal」有償版を販売開始 画像

「ワールドソフト」で「VirusTotal」有償版を販売開始
画面共有時の推測候補を非表示に、「ATOK for Mac」に「ATOKプロテクトモード」搭載 画像

画面共有時の推測候補を非表示に、「ATOK for Mac」に「ATOKプロテクトモード」搭載
ユービーセキュア、オフィスネットワークを攻撃者視点でテスト「オフィスハッキングパック」提供開始 画像

ユービーセキュア、オフィスネットワークを攻撃者視点でテスト「オフィスハッキングパック」提供開始
「A-gate」がSalesforceに対応、設定ミスを検出し自動修復 画像

「A-gate」がSalesforceに対応、設定ミスを検出し自動修復
CrowdStrike Security Cloudで稼働する新たなグラフデータベース「CrowdStrike Asset Graph」発表 画像

CrowdStrike Security Cloudで稼働する新たなグラフデータベース「CrowdStrike Asset Graph」発表

おしらせ 記事一覧へ

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×