事故から学ぶ
小松島市 同市立図書館がテスト用に作成したメールアドレスが不正アクセスの被害
事故概要
| 業種 | 小松島市 |
| 発生時期 | 未発表 |
| 漏えい人数 | 未発表 |
| 事故概要 | 小松島市は、同市立図書館がテスト用に作成したメールアドレスが不正アクセスの被害にあったと発表した。 |
| 引用元 | 小松島市 |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
チェックリストコード:
22-24 (第22条)委託先の監督 “社内規則の整備(外部サービス利用)
チェックリストにある要求ルール:
クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?
■ 推奨対策
対策:
管理者を示すアカウント名の「admin」「webmaster」などや、今回のようなテスト用のアカウント名は、推測されやすく攻撃されることも考えられる。 管理者やテスト用のアドレスについても、個人のアドレスと同様、強固なパスワード設定や、不要なアカウントの定期的な削除などを実施しなければならない。
具体例:
システム会社がテスト時に設定するアカウントは、SEの利便性を鑑み、技術者に広く知れ渡った名称が用いられることが多い。外部公開される前のシステムテストでは効率的だが、公開時にそのまま残しておくのは不正アクセスの温床となる。
システム会社はこの点について慣れもあり鈍感であるため、ユーザサイドから厳しく要望しておく必要がある。
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
