メディア蚘事

職員2千人のPWも䜿い回し サむバヌ攻撃被害の病院、NECが手順

バズる指数ピヌク 199

 twitterコメント 99件䞭 199件
今週だけでありえないレベルの䞍備が囜産SIerが2件も出た。本圓に内資ITから人材が消えおいっおいる事を痛感する。最新技術も必芁ない、基本情報技術者詊隓で出る様な課題だ。

å…šIDのパスワヌドが同䞀固定倀

負荷がかかるず別IDの䜏民祚発行
頭がおかしい。
途䞭たでしか読めたせん、私は。
仕組みが原始的だなあ。Kerberosくらいやれよ。富士通のProjectWebは匷すぎるシステム管理者のパタヌンだったかず。たあ、開発に金が無い。継続利甚では運甚の費甚がカスく技術的負債が返枈䞍胜になっおる。
仕組みが原始的だなあ。Kerberosくらいやれよ。
「簡単ログむンにしおおいおね」
珟堎の声に抌されたんかなあ
同情したり
杉浊さんの的確なご意芋拝芋したり
わぁ 
圓協䌚理事の杉浊がコメントさせお頂いおおりたす
既芖感が。
どこもこんなもんなんだろうな。
セキュリティヌ専門家の杉浊隆幞さんは「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」ず指摘する。
パスワヌドずはなんだったのか
『玄2千人の職員がパ゜コンを䜿うために割り圓おられたパスワヌドが、すべお同じだったこずがセンタヌなどぞの取材でわかった』
゚グい
すごいな。あたりにも凄すぎお、事䟋研究玠材にもならない。
倧阪の病院ぞのサむバヌ攻撃は、パスワヌドの䜿い回しが被害を拡倧させた可胜性があるずの事です。
これは興味深いですねぇ
💬これはNECのチョンボずいうか怠慢だわ
えぇ 運甚の敗北では 

「 ICカヌドをかざした䞊で職員ごずに異なる認蚌コヌドを入力しおいた。コヌドが正しいこずを確認するず、認蚌システムは党員に共通するパスワヌドず職員ごずのIDをパ゜コンに送信し、 」
おいITベンダヌ。 【ITmedia NEWS】党員に管理者暩限、パスワヌドは党郚共通、脆匱性は攟眮   ランサム攻撃受けた倧阪急性期・ 医療センタヌのずさんな䜓制
䜕のためのICカヌドだよ
「ICカヌドをかざした䞊で職員ごずに異なる認蚌コヌドを入力。コヌドが正しいこずを確認するず、認蚌システムは党員に共通するパスワヌドず職員ごずのIDをパ゜コンに送信」
はぁしかもNECが運甚蚭蚈したっおいうね。終わっおんな。
ICカヌド䜕のためにあるの(Žω`)
埌で

匊瀟みおえな運甚しおるな 
瀟内システム觊っおるず「瀟内ネットワヌクは安党だず想定しおセキュリティ䜎くおもOK」ずしおるシステムが地味に倚いこず  結局これもその慣習にやられたんでしょ。怖いからお客がOKず蚀っおも安党にしおるよ
本来こうあるべきずいうのはみんな分かっおおも、誰も倉えようずしない。日本人だからね。
蚭蚈が䞍適切だずしお、
病院かNECに間者が居そう
なんか倉なシステムだね
こういうのっお電子蚌明曞ずかFIDOみたいなのを䜿うのではず思うけど

#
「NECは取材に察し、同瀟偎がパスワヌド䜿い回しの手順を決めおいたこずを認めた。実際の運甚はセンタヌがシステムの管理を委蚗した業者が担圓し、NECが決めた手順に基づき、共通のパスワヌドを䜿うマニュアルを䜜成しおいた」
「電子カルテの管理甚IDずパスワヌドも䜿い回され、サむバヌ攻撃の被害拡倧に぀ながったこずが刀明しおいる」。うわヌ 。これで党囜の電子カルテ共有を勧められたら、デヌタ流出・販売埅ったなしだな。→
倧阪急性期・ 医療センタヌ

サむバヌ攻撃受けた病院 調査委が報告曞 察策の䞍備を指摘

職員2千人のPWも䜿い回し


サむバヌ被害の倧阪の病院、耇数サヌバヌで共通パスワヌド䜿甚
おそ束すぎる
有料蚘事で途䞭たでしか読めないが、NECのセキュリティ思想は倧䞈倫?ず思っおしたうのだが‥。
「玄2千人の職員がパ゜コンを䜿うために割り圓おられたパスワヌドが、すべお同じだったこずがセンタヌなどぞの取材でわかった。」 これはひどい。
これ他の病院もやっおるずころ倚そう 
おいおい、カヌド認蚌しおも送信されるパスワヌドが党員同じずか正気か
ガワだけそれっぜくしただけじゃん。
システム保守でベンダヌくらい芋おるけど、どのベンダヌでも同じやで
これ察応しろっお蚀われたら党囜から悲鳎䞊がる😚
"セキュリティヌ専門家の杉浊隆幞さんは「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」ず指摘する"
うわぁ 
#

ぎくり
 
NECにセキュリテむ関係でお勀めの知っおいる方がいるんですが、そこの郚門は今回は関係しおいないのかな

たぶん問い合わせずか来お倧倉になっおいるかも。。
レガシヌIT民ワむもこれはさすがに理解できない 
こんな病院いくらでもありそう
認蚌サヌバでアクセストヌクン発行時はID/passはちゃんずチェックしおたけど、発行されるアクセストヌクンは固定で、Webアプリぞのアクセス時はアクセストヌクン固定倀だから、盎で狙われたっおむメヌゞかな。
これはNECの病院関係郚眲は倧倉だなヌ
普通の考えだず䞍謹慎かもしれないけど、救急、救呜でパスワヌド入力は珟実的じゃないず思う。党おiPhoneぐらいの生䜓認蚌にしたほうがいい。 #
バック゚ンドずの通信に共通鍵を䜿うのはAPIキヌずかず同じで䜿いようによっおは問題のない仕組みだず思うけど、挏れた堎合に臎呜的だね。
「3ヶ月に1回パスワヌドの倉曎を匷制される情報システムが去幎の4月に導入された」っお被害者ヅラしおごめんよ䞊には䞊がいた
䜿い回しどころか orz

倧阪急性期・ 医療センタヌ倧阪垂で、玄2千人の職員がパ゜コンを䜿うために割り圓おられたパスワヌドが、すべお同じだった。
ICカヌドをかざすずID/PWが送られる実装になったのは医療系LAN内の機噚が超マルチベンダか぀認蚌連携機構がない堎合もあるので䞀番楜で確実だからかな。でトラブル時のメンテコストを䞋げるため統䞀PWにする運甚。
なんちゃっお二芁玠みたいな -
“セキュリティヌ専門家の杉浊隆幞さんは「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」ず指摘する。”
⊂⌒~⊃Д)⊃
マンション内の共甚郚を含めた党戞の玄関の鍵が党郚同じ。各戞で所有しおいる鍵の぀いおいる物党おが同じ鍵で開く。すべおの郚屋の䜏人が共甚郚分を含めた他人の家にも入り攟題な状態。
この状況は、もしかするず管理人ず管理䌚瀟が共犯かも知れない可胜性が非垞に高い。
クラッカヌホむホむ。しかし想像を絶するな。緩さにも皋がある。

#
【気になる話題】
医療業界はしごく保守的な業界だず思っおる
「誰が」だけ管理しおお、「その人が正しいか」が運甚されおなかった。悲しい事件
やれやれ

セキュリティヌ専門家の杉浊隆幞さんは「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」ず指摘する。
> ICカヌドをかざした䞊で職員ごずに異なる認蚌コヌドを入力しおいた。コヌドが正しいこずを確認するず、認蚌システムは党員に共通するパスワヌドず職員ごずのIDをパ゜コンに送信
芋せかけだけのICカヌド認蚌やんけ・・・
どうなっおんねんNEC!
この手の固定文字列䜿うの他にもありそうだな..はじめからランダムな倀を蚭定しおおけばいいんだろうけど.. :
ドメむン管理で同䞀ナヌザヌを䜿いたわし・・・ナヌザヌ偎のポリシヌがなくお業者任せずいうパタヌンやね
党員に共通するパスワヌドっお
『ICカヌドをかざした䞊で職員ごずに異なる認蚌コヌドを入力/認蚌システムは党員に共通するパスワヌドず職員ごずのIDをパ゜コンに送信』
あるある、意味をなさないパスワヌド。珟堎は぀らいよ、でもダメダメなNECず䞋請けさん。
「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」
《NECは取材に察し、同瀟偎がパスワヌド䜿い回しの手順を決めおいたこずを認めた。》
党職員共通パスワヌドによる運甚は他でもありそうな予感しかない。"
>ICカヌドをかざした䞊で職員ごずに異なる認蚌コヌドを入力
>認蚌システムは党員に共通するパスワヌドず職員ごずのIDをパ゜コンに送信し、電子カルテに接続

ガワだけかぶせた停SSOだ 
さすが維新統合の象城。
府民の健康なんお祚に぀ながらないから、なおざりだな

#
なんどもくどいけど、医療系っおダバいずこ倚いず思う ぜんぶ䞞投げで把握しおる䞭の人は誰もいない垌ガス
駄目すぎだろ
「委蚗業者の䜜業の利䟿性を優先する偎面もあったずいう」セキュリティずは 
これはひどい
電子カルテだけでなく、職員に割り圓おられたパスワヌドもすべお同じだったみたいですね。

①ICカヌドで認蚌し、異なる認蚌コヌドを入力
②認蚌埌、"共通するPW 職員ごずのID" で接続
これはひどい 
たた遠藀のおっちゃんがどやされるな。

蚘事:NECは取材に察し、同瀟偎がパスワヌド䜿い回しの手順を決めおいたこずを認めた。実際の運甚はセンタヌがシステムの管理を委蚗した業者が担圓し、NECが決めた手順に基づき、共通のパスワヌドを䜿うマニュアルを䜜成しおいた。
ダッベ
個人パスワヌドを勝手に倉曎するず䞊叞に叱責される職堎のパタヌンだ組織で最もリテラシヌの䜎い埓業員に合わせる「IDには芏則性がある職員コヌドを䜿っおおり、ここに同じパスワヌドを䜿い回すこずで」
「職員にパ゜コンのIDずパスワヌドを教えおしたうず挏掩するリスクがあったため、ICカヌド認蚌を介しお芋えない圢にした䞊で、共通パスワヌドを蚭定しおいた」
モノ認蚌ならそれこそパスワヌドの抂念自䜓䞍芁だったのでは
広報か蚘者のどっちかの理解が倉な気がする
興味深く拝読/

セキュリティヌ専門家の杉浊隆幞さんは「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」ず指摘する。
パスワヌドやめようよ
IDには芏則性がある職員コヌドを䜿っおおり、ここに同じパスワヌドを䜿い回すこずで、第䞉者に悪甚されるリスクが高い状態だったずいいたす。
続報が出おたすが、詳现は有料蚘事郚分になっおいたした。
NECを叩く前に電子カルテのネットワヌクに絊食業者のネットワヌクに぀ないだこずが䞀番の問題なんだけど。被害拡倧させたかも知れないけど。
IDずパスの管理より、生䜓認蚌にしおないなどのベンダヌの萜ち床な皀ガス◌2千人のPWすべお同じ サむバヌ攻撃被害の病院、リスク高い状態に
ITセキュリティ郚門憀死案件
【職員2千人のPW䜿い回し】
もう少し詳しく
職員アカりントはActive Directoryの登録ナヌザヌ
加えお、Domain Adminsグルヌプに所属しおいた
぀たり、ドメむン内でのフルコントロヌル暩限が䞎えられおいた
蚘事では䞀連の経緯ず、蚭定したNEC偎に取材しおいたす
パ゜コンを利甚するために必芁な玄2千人の職員アカりントの が党お同じだったヌヌ
昚幎10月に を受けた倧阪急性期・ 医療センタヌで、こんな蚭定がなされおいた。
なぜ、このような危うい運甚になっおいたのか。
2000人でパスワヌド䜿い回しサむバヌ攻撃の被害拡倧。分かっおいおもやっおしたうパスワヌドの䜿い回し。個人でも被害が増加しおいるので泚意です。
被害の盎接原因ではないけれど、職員党䜓に぀いお運甚の問題があったずいうこずですね。
ランサムりェア被害の病院。NECシステム導入の半数が同様の状況。IDには芏則性がある職員コヌドを䜿っおおり、ここに同じパスワヌドを䜿い回すこずで、第䞉者に悪甚されるリスクが高い状態だった。
朝日★
のこの信じがたいPW䜿い回し。セキュリティは衚局だけで、倖郚からは同䞀アカりントPWじゃん。
NECは行政のIT構築を担うTopベンダヌでもあるが、私が を取埗しない理由もここにある
「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」ずセキュリティ専門家の杉浊隆幞さん。
職員2千人のパスワヌドも䜿い回し サむバヌ攻撃被害の病院、NECが手順
行政、自治䜓のITシステム関連はNECが寡占しおるのは
よく知られおるこず、医療もこれで公になったからNECに察する疑問芖が匷い、ぶっこむ隙間、タむミングは今、うちの営業がんばれ
これは倧人数だったらそうなるだろうなず。
だから共通パスワヌドなんお意味ないし、パスワヌド管理も人の手だず無理すぎなんです。
iOS䞀本化しお䞀個のアカりントで党郚のパスを自動保存でいい。
たぁメヌルず同じになる時代が良いね。
以前の勀務先で、新しくできた瀟内のあるシステムにログむンしようずしたら、蚭定もしおいないのにパスワヌドを聞かれたので管理者に問い合わせたら、「瀟員番号を入れおください」ず答えられた。ログむンしお真っ先に行った事はパスワヌドの倉曎だった。

朝日新聞デゞタル
恐ろしい運甚だった。「NECは取材に察し、同瀟偎がパスワヌド䜿い回しの手順を決めおいたこずを認めた」
これ、職員はICカヌドを甚いお認蚌しおいたけど、内郚的には職員に同じパスワヌドを蚭定しおいたずいう構築偎の蚭蚈ミスの話だから、蚘事芋出しから連想する姿ず随分違う。
セキュリティヌ専門家の杉浊隆幞さんは「ICカヌド認蚌を䜿っお安党を担保しおいるように芋せかけた、芋た目だけのセキュリティヌ察策ず蚀われおも仕方がない」ず指摘。
タむトルずURLをコピヌしたした