日本国のサイバーセキュリティの危機的実体(20)
#防衛研究所 のホームページが臨時メンテナンスに入ったタイミングは、遅かったとも早かったとも言える微妙な状況です。
以下の記事を書いたのは2023年10月13日 19:04で、noteにテールが付いた( #攻殻機動隊 用語だと『 #枝がついた 』)のは、3日後の10月16日です。本来ならば、枝を付けたこと自体を情報発信者の私に気付かれないようにすべきだったでしょう。
今晩、10月23日(月)00:00を迎えても、まだhttp:のままだったら #デコイシステム として運用している可能性もありますが、閲覧者が #アノニマイザー を使っていたら『だめだ、追跡不能だ! 中国から攻撃を受けていると、報告書には書いておこう』という運用マニュアルがあるのかもしれません。アノニマイザー経由のアクセスはブロックできますが、ブロックしてしまうとデコイとしての機能が失われてしまう、というジレンマ状態に陥ってしまいます。
防衛省内部では以下のような葛藤があったのかもしれません。
システム管理担当者の心の声:『えっ、まだhttp:残ってたの? サブドメインとはいえ、mod.go.jp関連にhttp:が残っているのは幾ら何でも拙いでしょう。上官に小難しい話をしても理解してもらえないし、何と報告したら良いんだろう…。 #脆弱性 というと大騒ぎになりそうだしなぁ。あっ、そうだ、 #全銀ネット のようなことが、防衛省の中で起こらないとも限らないので、防衛省も調査した方が良いですねと提案するのはどうだろう? でも、メンテナンスは外注してるから、業者から見積もりを取らないといけないし…。そもそも、誰もアクセスログとか見てないから、外注先の #保守・運用事業者 が #情報漏洩の痕跡 とか見つけたらシャレにならんしなぁ…。あ~っ、防衛省から支給しているノートパソコンのメールソフトのポート番号と暗号化通信設定全部変更しなくちゃいけない!』というような葛藤があって、10月17日に保守会社と緊急対応会議を実施し、10月21日(土)0000~10月23日(月)0000まで、http:からhttps:への切り替え大作戦を決行するようにアレンジしたのかもしれません。
日本の社会では根回しも重要なので、防衛省の内部システム監査担当者が、脆弱性問題を発見できなかった責任を回避できるように言い訳も考える必要があります。しかし、ここまで初歩的な話だと、内部システム監査以前の問題とも言えますし、この事例を #内閣サイバーセキュリティセンター に報告すべきかどうかという問題もあるでしょう。
最終的な決め文句は、NICSのテンプレートの『セキュリティー保安上答えられない』が良いかもしれませんが、よく考えたらNICSよりも防衛機密の方が重要なので、『国家安全保障上回答できない。(๑•̀д•́๑)キリッ』とし、NICSに報告しないという手もありますよね! だってNICSからさらに情報漏洩すると #二次災害 になりかねないので、『この判断は致し方ない』と、このようなヒューマンドラマがあっても不思議ではありません。
内閣サイバーセキュリティセンターが不正侵入被害、脆弱性突かれメール8カ月漏洩
野々村 洸
日経クロステック
2023.08.04
調査に当たった保守・運用事業者が6月21日、機器の脆弱性により不正通信が発生したことを示す痕跡を発見した。
日経クロステック
(中略)
日経クロステックはNISCに対し、電子メール関連システムや脆弱性のあった機器、発見した痕跡などの詳細について問い合わせたが、NISCは「セキュリティー保安上答えられない」として明らかにしていない。
つづく…
この記事が気に入ったらサポートをしてみませんか?