1: 稼げる名無しさん 2022/05/18(水) 12:06:21.87 ID:CAP_USER<.net
富士通クラウドテクノロジーズは5月16日、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)に登録しているパブリッククラウド「ニフクラ」「FJcloud-V」が不正アクセスを受けたと発表した。ロードバランサー(負荷分散用の装置)の脆弱性を突かれ、一部ユーザーのデータや認証情報を盗まれた可能性があるという。不正アクセスがあったのは7日午後3時ごろから9日午後10時30分ごろの間で、サービスのコントロールパネルやAPIへのアクセス情報、ロードバランサーを経由した情報、ロードバランサー上にあるユーザー証明データなどが盗まれた可能性がある。攻撃者は4日に装置メーカーが公表した脆弱(ぜいじゃく)性を悪用して侵入したとみられる。富士通クラウドテクノロジーズによる防御システムの設定不備も原因になった可能性がある。同社は12日までに脆弱性の修正とアクセス防御を実施した。16日時点では、クラウド基盤内部への侵入や情報の流出などの形跡は見つかっていないとしている。富士通と富士通クラウドテクノロジーズは緊急対策チームを設置し、被害状況の調査と対策を進める。2022年05月18日 11時50分
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
4日にメーカーが脆弱性を公表してその後12日まで対応できず。
他にも設定不備って。。。
まあ非常に残念な結果だな。。。他にも設定不備って。。。
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
現在よく読まれているニュース!:
以下2chの反応と管理人の反応です
2: 稼げる名無しさん 2022/05/18(水) 12:08:53.18 ID:7UiM0z1v<.net
すぐ対応しないとやられるだろそりゃ
3: 稼げる名無しさん 2022/05/18(水) 12:09:54.49 ID:kHZGHHM5<.net
まじかよ
クラウドって一番堅牢じゃなかったのか
クラウドって一番堅牢じゃなかったのか
5: 稼げる名無しさん 2022/05/18(水) 12:12:17.36 ID:kHZGHHM5<.net
データーはクラウドに入れとけば安心だと思ってたのに><
9: 稼げる名無しさん 2022/05/18(水) 12:14:37.57 ID:LZEE3PvV<.net
えっ
会社名なんだって?
会社名なんだって?
10: 稼げる名無しさん 2022/05/18(水) 12:15:27.62 ID:y4DTlZ8c<.net
これはひどい
11: 稼げる名無しさん 2022/05/18(水) 12:16:18.68 ID:RbPNx+o6<.net
NIFTY-SERVEからやり直せ
13: 稼げる名無しさん 2022/05/18(水) 12:17:21.28 ID:EY1n0we/<.net
こんなの日常茶飯事だろ
ベンダは無理な開発スケジュールやコスト削減のせいでセキュリティ設計、実装、試験全般に十分にやってない
たまたま発覚しただけ
ベンダは無理な開発スケジュールやコスト削減のせいでセキュリティ設計、実装、試験全般に十分にやってない
たまたま発覚しただけ
15: 稼げる名無しさん 2022/05/18(水) 12:18:49.83 ID:Eqx6LcEU<.net
4日に脆弱性公表、7日にアクセス、
12日に脆弱性修正、16日に発表
4日から12日まで何をやっていたんだろな
政府認定を取り消した方がいいと思う。
これを放置すると、
すぐ対策しなくて良いんだって
お墨付きを与えてしまう
12日に脆弱性修正、16日に発表
4日から12日まで何をやっていたんだろな
政府認定を取り消した方がいいと思う。
これを放置すると、
すぐ対策しなくて良いんだって
お墨付きを与えてしまう
18: 稼げる名無しさん 2022/05/18(水) 12:24:40.70 ID:RbPNx+o6<.net
>>15
長い休み期間は危ないってさんざん言われているのにね
技術力うんぬん以前に、人員配置をケチった結果だと思う
長い休み期間は危ないってさんざん言われているのにね
技術力うんぬん以前に、人員配置をケチった結果だと思う
20: 稼げる名無しさん 2022/05/18(水) 12:25:14.56 ID:nRB0sZ/E<.net
>>15
一週間パッチ当ててないとか素人すぎんだろ…
一週間パッチ当ててないとか素人すぎんだろ…
38: 稼げる名無しさん 2022/05/18(水) 14:08:29.89 ID:xl30KJev<.net
>>15
下請の保守会社にパッチ当てる前に全部テストしろ
何かあったらお前らの責任な?みたいなことしてる企業が結構あってだな
その全テストの対価はまったく払ってくれない
そのテスト内容が妥当か無駄かどうかも元請で判断しない
こんな奴隷労働誰もまじめにやらないし真面目にやれば無茶振りされ何かあったらパワハラしてくる
だからIT偽装請負丸投げ奴隷制度のIT最弱国日本なんだよ
下請の保守会社にパッチ当てる前に全部テストしろ
何かあったらお前らの責任な?みたいなことしてる企業が結構あってだな
その全テストの対価はまったく払ってくれない
そのテスト内容が妥当か無駄かどうかも元請で判断しない
こんな奴隷労働誰もまじめにやらないし真面目にやれば無茶振りされ何かあったらパワハラしてくる
だからIT偽装請負丸投げ奴隷制度のIT最弱国日本なんだよ
16: 稼げる名無しさん 2022/05/18(水) 12:19:59.64 ID:M/IV7gGG<.net
設定不備とか、間抜けにもほどがある。
17: 稼げる名無しさん 2022/05/18(水) 12:21:26.88 ID:AeVwKGMf<.net
フィールドで事故ったらひとたまりもないな
19: 稼げる名無しさん 2022/05/18(水) 12:25:14.07 ID:0R3OaOIG<.net
日本をよくする気がない奴ばかりが政治家になるからな
こういったITセキュリティとかは国を上げて強化する話だろ
こういったITセキュリティとかは国を上げて強化する話だろ
23: 稼げる名無しさん 2022/05/18(水) 13:41:45.91 ID:esiGq2AD<.net
また富士通か、定期的に話題にのぼらないとダメなのか
24: 稼げる名無しさん 2022/05/18(水) 13:42:42.69 ID:Gild+Bvr<.net
VだからVMwareのやつだろ
ろくに設定もできんのか。
ろくに設定もできんのか。
25: 稼げる名無しさん 2022/05/18(水) 13:47:01.68 ID:8I9ItRh7<.net
設定不備w
30: 稼げる名無しさん 2022/05/18(水) 13:51:06.35 ID:R1us9pM/<.net
富士通は何ならちゃんとできるの?
33: 稼げる名無しさん 2022/05/18(水) 13:57:37.11 ID:qHgbw2kM<.net
ロードバランサー自体の問題なら
アーキテクチャ設計の問題ではなくて、
クラウドサービス提供者側の問題っぽいな
まあAWS、GCP、Azure以外に普通選択肢ないわな
アーキテクチャ設計の問題ではなくて、
クラウドサービス提供者側の問題っぽいな
まあAWS、GCP、Azure以外に普通選択肢ないわな
34: 稼げる名無しさん 2022/05/18(水) 13:59:18.34 ID:kdLZFeZh<.net
サポート出来ないならサービス停止しておけよ無能
35: 稼げる名無しさん 2022/05/18(水) 14:00:20.43 ID:AeVwKGMf<.net
ハード面のバランスが狂ってる
チャンスに打てない納得だね
チャンスに打てない納得だね
37: 稼げる名無しさん 2022/05/18(水) 14:04:53.64 ID:51/x2YR3<.net
> 政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」
サイバーセキュリティ担当大臣が「PCを触らない・USBが何か知らない」ような国が認定する制度だけのことはあるな
サイバーセキュリティ担当大臣が「PCを触らない・USBが何か知らない」ような国が認定する制度だけのことはあるな
41: 稼げる名無しさん 2022/05/18(水) 14:18:48.89 ID:vXMoTMRq<.net
流石は日本企業
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
現在よく読まれている記事:
引用元:anago.2ch.sc/test/read.cgi/bizplus/1652843181/
コメント
コメント一覧 (31)
money_soku
がしました
money_soku
がしました
官僚役人政治屋は関係者に血税ばら撒きしたら身の保全になる国体だから、増税・借金増になり続けてる。
無能な実務実戦能力無しばかり!
money_soku
がしました
そりゃ政府のクラウドを海外に取られるわけだわ。
money_soku
がしました
money_soku
がしました
このまま何も変えないで頑張ろう
money_soku
がしました
普通はあるもんだけどね
そうじゃないと対策間に合わないし
富士通がなめられてるだけでは?
money_soku
がしました
海外プロバイダは即応してるわけだから、工数大きくないんだろうし
money_soku
がしました
しかもGW中の対応なんて遅れるのが当たり前
money_soku
がしました
遠隔の第三者によって任意のOSコマンドってかなり危険
money_soku
がしました
国内クラウド運用保守なんてだいたい人員たりねーから、
脆弱性検証なんて発覚してから3日くらい放置されるぞ
それ除いても検証と対処方法の設計、適用手順の計画して、レビューいれて関係各所に連絡して
調整がとれてから実装だからだいたい2週間くらいかかるわ
トップが検証して下にゴー出してくれるなら早いんだろうけど
末端が調べて、上経由してからまた末端で対応なんだから即時対応なんて無理よ
money_soku
がしました
GCPもAzureも富士通笑えないくらいひどいけどな…
money_soku
がしました
money_soku
がしました
money_soku
がしました
現代ではゼロデイ懸念対処するなら、次世代ファイアウォールと分類される動的に最新ブロックシグネチャ適用して攻撃対処が必須なんだろうなって思いました
設計設定導入保守・機器費用・シグネチャ分の費用を考えるとそれなりにするものかと思う(仕切りまでは調べておらず)けど、もう中小企業でも静的->動的ファイアウォールの移行はかなり進んでいるものなのでしょうかね
もう1つ、個人的に気になっているのは、IPv6環境下では全ての機器がグローバルIP化するため、ダイレクトアタック問題が再発してるような気も(ビジネス用ルーターなどのエッジ機器なら動的フィルタリング機能設定があって対処してるんだろうけど、コンシューマー用にはまだまだ実装が遠そう)
money_soku
がしました
コメントする