国立高等専門学校機構のOffice 365設定に問題があった話
2015年6月、国立高等専門学校機構が全国複数の国立高等専門学校向けに Office 365 ポータルサイト を開設しました
今から2年前です
ところが・・・。
独立行政法人 国立高等専門学校機構 の *.kosen-ac.jp ドメインを流用したため、フィッシング詐欺のような怪しいドメイン名に
ちなみに採用した学校の一覧も、外部のユーザーが このシステムから取得可能だ
釧路工業高等専門学校 苫小牧工業高等専門学校 函館工業高等専門学校 旭川工業高等専門学校 一関工業高等専門学校 八戸工業高等専門学校 仙台高等専門学校 秋田工業高等専門学校 鶴岡工業高等専門学校 福島工業高等専門学校 東京工業高等専門学校 小山工業高等専門学校 群馬工業高等専門学校 茨城工業高等専門学校 木更津工業高等専門学校 鈴鹿工業高等専門学校 福井工業高等専門学校 長岡工業高等専門学校 沼津工業高等専門学校 長野工業高等専門学校 石川工業高等専門学校 富山高等専門学校 鳥羽商船高等専門学校 岐阜工業高等専門学校 豊田工業高等専門学校 舞鶴工業高等専門学校 和歌山工業高等専門学校 明石工業高等専門学校 奈良工業高等専門学校 大島商船高等専門学校 呉工業高等専門学校 広島商船高等専門学校 米子工業高等専門学校 津山工業高等専門学校 宇部工業高等専門学校 徳山工業高等専門学校 松江工業高等専門学校 高知工業高等専門学校 香川高等専門学校 弓削商船高等専門学校 新居浜工業高等専門学校 阿南工業高等専門学校 北九州工業高等専門学校 大分工業高等専門学校 佐世保工業高等専門学校 鹿児島工業高等専門学校 久留米工業高等専門学校 都城工業高等専門学校 有明工業高等専門学校 熊本高等専門学校 沖縄工業高等専門学校 |
全部で51校ですね
これ、外部から見れちゃうのはいいんだろうか?・ω・
アドレスも一部 晒すと、
hachinohe.kosen-ac.jp 八戸工業高等専門学校
kochi.kosen-ac.jp 高知高等専門学校
kagawa.kosen-ac.jp 香川高等専門学校
fukui.kosen-ac.jp 福井高等専門学校
みたいにとてもわかりやすいドメイン名 で笑えます
ちなみに、IDは、本名がわかれば推測できると言う情報も(未確認)
で、なにやらかしたかと言うと、OneDrive を全利用者に公開設定にしてたのだけど、それを
指摘されても2年以上放置していたらしい。sharepoint も同様。
他の学校の、レポートとか個人ファイルなどが閲覧し放題、連絡先も 全利用者のアクセス権が解放されていたため、他校の 本名・学籍番号・所属・メールアドレスを簡単に見ることができたため収集も簡単な状態だったそうな。
7/7日 13:00 から、理由の通達なしで、Office 365サービスの全停止を通告し、利用停止して、あわてて作業しているようだ ・ω・
導入事例:国立高専51校、教職員向け業務システムの認証基盤を統一 - ITmedia エンタープライズ
国立高専51校、教職員向け業務システムの認証基盤を統一。国立高専機構は、全国の国立高専51校の教職員が利用する業務システムの認証基盤を、富士通の統合ID管理パッケージを使って統一した
つまり、独立行政法人 国立高等専門学校機構 のサポートエンジニアは富士通の可能性があるのね
現状で
・違法ファイルのアップロード
・軟派アプリが発覚
・レポートが提出できない人続出
・51校の全生徒の個人情報(メールアドレスと本名と学科)が流出した可能性がある
など、面白そうなので、眺めてましょう ・ω・
何で1週間たつけど、ニュースにならないんですかね?
富士通さんは、官公庁の基幹システムやデータベースの構築受注が多いわりには、信頼を平気で無くすようなことをするんでしょね。
ましてやクラウドでパーミッションがいいかげんとか、検収してないんでしょうか。
それ以上に、高専側担当者が甘かったのか。
富士通さんは、官公庁の基幹システムやデータベースの構築受注が多いわりには、信頼を平気で無くすようなことをするんでしょね。
ましてやクラウドでパーミッションがいいかげんとか、検収してないんでしょうか。
それ以上に、高専側担当者が甘かったのか。
個人情報が流出と書いているけど流出先はどこよ
内部には流出とは言わないでしょ
個人情報が流出と書いているけど流出先はどこよ
内部には流出とは言わないでしょ
「流出した」なんて書いてないですよ。
51校の生徒・教職員 全員が2年間、閲覧できる状態にあったから、持ち出せる状態にあった
だから、「流出した恐れがある」
ニュースでやってる「閲覧できる状態だった」ってのも「流出の恐れ」って言ってるでしょう?
あれとおなじです
「流出した」なんて書いてないですよ。
51校の生徒・教職員 全員が2年間、閲覧できる状態にあったから、持ち出せる状態にあった
だから、「流出した恐れがある」
ニュースでやってる「閲覧できる状態だった」ってのも「流出の恐れ」って言ってるでしょう?
あれとおなじです