富士通の政府認定クラウド”に不正アクセスが発生。認証情報など盗まれた可能性 57
ストーリー by nagazou
うーむ 部門より
うーむ 部門より
政府のクラウドサービス認定制度に登録されている富士通クラウドサービスに、不正アクセスがあったことが報じられている。パブリッククラウド「ニフクラ」「FJcloud-V」を運営する富士通クラウドテクノロジーズが16日、不正アクセスを受けたことを発表した。ロードバランサーの脆弱性を突かれ、一部ユーザーのデータや認証情報を盗まれた可能性があるとしている(富士通クラウドテクノロジーズリリース、ITmedia)。
ニフクラ (スコア:1, おもしろおかしい)
イタリア人 「フニクラの間違いではないか?」
Re: (スコア:0)
珍しく好調だった子会社の事業を召し上げたやつじゃないかな。旧称ニフティクラウド
Fの認証 (スコア:1)
ひたすらめんどくさい
仕事の関係で専用のシンクライアント端末をお借りしてアクセスしてますが
内部システム系列毎に更新タイミングの異なるパスワードをいくつも使ったり
メールや情報を確認するのにも登録済みの携帯電話SMSでの二段階認証を何回も繰り返す
おもらしし過ぎで、セキュリティの方向性を見失いひたすら認証を繰り返せばOKだと思っているのかもしれません
今回のおもらしでまた認証を増やされたらほんとにめんどくさい
Re:Fの認証 (スコア:1)
えんたーで入力出来ないパスワード欄がまた一つ増えるんですか?
Re: (スコア:0)
逆に聞きたいんだけど、部門内とか自分でサーバー建てるときに
全社統一認証基盤以外の認証方法は許さんみたいな会社あるの?
Re: (スコア:0)
否定が多すぎて意味がわからん。
その会社が統一認証基盤を強制するのか他を許可してるのかどっちを聞きたいんだ。
Re: (スコア:0)
例外的に古いのを残すとかなら仕方ないが、
すでに全社統一認証基盤を導入してるのに、
新たに勝手認証のサーバーの新設を許可するとか頭おかしいだろ
控え目に言っても無能だわ
Re: (スコア:0)
GAFAMとかじゃね? 知らんけど
Re: (スコア:0)
MSに上納金払って、もうぜんぶActiveDirectoryでいい気がする
Re:Fの認証 (スコア:1)
ついでに、くっそくだらねぇ "せきゅりてぃぽりしー" のお陰で、誰にアカウントを発行できるかがもう厳密に定められすぎて、結局アカウント発行できない人にも使わせなきゃならんシステムが多すぎ。
とくに、社内のオナニーシステムではなく仕事に必要なシステムになればなるほど情シス屋が想定していない人員にアカウントを渡す必要がある。
その結果、ゲロゴミADではどうにもナラン自体が発生する。
#本質的には、機能限定IDの生成をサポートするべきなのに、そこをめんどくさがって「ゲロゴミの一般ユーザ」って括り以外を作ろうとしないから破綻している。
Re: (スコア:0)
それがクラウドサービスやロードバランサーの脆弱性となんか関係あるのかな。
例えロードバランサーへの管理用の接続が面倒になったとして、ほとんどの人に関係ないのでは。
Re: (スコア:0)
めんどくさい仕組みにすれば「セキュリティ対策してる気分になれる人」ばかりなので仕方ない。
しかも「セキュリティ専門家」を名乗る奴がもっともらしい屁理屈付けてそういうアドバイスするし。
Re: (スコア:0)
そして「働かない社員」で満貫
Re: (スコア:0)
すごい分かる
顧客対応の為にシステムにログインしようとすると
「パスワードの有効期限が切れています!」
とか言い出して、30秒で終わる仕事が2分3分と伸びていく
強制PW変更自体、古いPWを本人確認として使う時点でガバガバ、何の意義があるんだよ……
Re: (スコア:0)
10年前の印象だけど、富士通ってセキュリティインシデントが発生するたびにハードル上げてって結果的にものすごく使いにくいシステムになることが多い気がする。
今もそーなんかね?
Re: (スコア:0)
10年前の印象だけど、富士通ってセキュリティインシデントが発生するたびにハードル上げてって結果的にものすごく使いにくいシステムになることが多い気がする。
今もそーなんかね?
10年振りに入りましたが更に進化してますね
それでお漏らし連発していてるのに、方向を間違えているとは思わない。
Re: (スコア:0)
何時まで経っても治らないのだが
Re:Fの認証 (スコア:1)
それって認証回数が減るので、セキュリティ強度の低下ですよ!
そんなこと、あり得ないよ!!
#あのバカどもは、同一アカウントアセットを複数回入力させる方が一回だけ入力よりもセキュリティ強度が高いと思いこんでいるからな。
これか? (スコア:0)
BIG-IPだろうか。
https://support.f5.com/csp/article/K23605346 [f5.com]
情報公開前にメーカーから通知くるだろうに、対処しなかったんだろうか。
公開されてもすぐにどうこうなるもんでもないだろ、って高を括ってたんだろうか。
Re: (スコア:0)
現場の人間は対応が必要だと思ってても政府の情報システムを載せてるだけに緊急保守の手続きに時間が掛かって承認が降りる前にゼロデイアタックを食らった気がする。
Re: (スコア:0)
現場の人間が敵を認めても反抗として却下され計画通り進軍して全滅するロシア軍の渡河作戦みたいだな
Re: (スコア:0)
Re: (スコア:0)
お前って旧日本軍が好きだよな
Re: (スコア:0)
それはゼロデイと呼ぶなら、すべての攻撃がゼロデイにならないか。
Re: (スコア:0)
クラウド時代になって、アプライアンス型のロードバランサの需要が消失し、
いまじゃソフトウェア型ロードバランサが当たり前になったな
ロードバランサ・リバースプロキシ・SSL・WAFをまとめてやる感じのやつ
CPUにAES-NIみたいな命令が入ったので、アプライアンスなしでもSSLが高速化したし
Re:これか? (スコア:1)
> ロードバランサ・リバースプロキシ・SSL・WAFをまとめてやる感じのやつ
それクラウド時代だともはや、CDN と統合されてエッジロケーションのサービス化されてるやつですよね。
Akamai とか、AWS WAF + CloudFront とか
Re: (スコア:0)
いやIPCOMだろ
Re: (スコア:0)
日付や発表内容からして BigIP でしょう。
政府認定クラウド” (スコア:0)
ド゛の間違いか
Re: (スコア:0)
ヤツはとんでもないものを盗んで行きました
Re: (スコア:0)
>ヤツはとんでもないものを盗んで行きました
「(貴女の利用した)Amazonの購入履歴です」
Re: (スコア:0)
だ"いじ"なことなので"繰り返しました
Re: (スコア:0)
なんかエッジを思い出した
おもらし仲間 (スコア:0)
事故を起こしたことで、googleやdropboxの仲間に入れたね。やったね! googleの方は、流出したデータは全体の0.0X%などと被害が小さいアピールをしていたのが印象に残っている。
Re:おもらし仲間 (スコア:2, おもしろおかしい)
仲間に入ったというより、むしろおもらしは富士通の伝 [security.srad.jp] 統 [security.srad.jp] 芸 [it.srad.jp] 能 [security.srad.jp] の [security.srad.jp]ような気がしますが?
政府系の団体にいますが「富士通のシステムに情報漏洩があったので利用者は返信を」というメールが日常で届いています。
Re:おもらし仲間 (スコア:1)
こうやって職員が情報を漏らすわけだ
セキュリティ技術者内製がウリだったと思うのだが (スコア:0)
ご自慢の制度は役に立たなかったのか?
Re:セキュリティ技術者内製がウリだったと思うのだが (スコア:1)
ご自慢の制度は役に立たなかったのか?
ProjectWeb の不正アクセス事案の検証委員会より厳しいご指摘がありました。
https://pr.fujitsu.com/jp/news/2022/04/22-1.html [fujitsu.com]
Re: (スコア:0)
>ProjectWeb の不正アクセス事案の検証委員会より厳しいご指摘がありました。
ずーっと似たような反省繰り返してるだけだよね
見直しや代替システムって未だにできてないんだっけ
Re: (スコア:0)
社員が働かないんでしょう
Re: (スコア:0)
外注(パートナーという名の下請け)にしわ寄せが行き、
逆恨みでもされたのではと勘ぐっている(もちろん、根拠無しの憶測)。
Re: (スコア:0)
外注(パートナーという名の下請け)にしわ寄せが行き、
逆恨みでもされたのではと勘ぐっている(もちろん、根拠無しの憶測)。
外注に投げて任せっきりにしておいて。
担当幹部社員替わると切り捨てて別の外注に投げて。
引き継ぎもなくて要件定義もできなくてどんどん劣化していく現場は見たことがあります。
Re: (スコア:0)
富士通みたいな会社のセキュリティ技術者って、本当のセキュリティのプロフェッショナルじゃなく、
おもにアメリカ企業が提供する、セキュリティ関連のハード・ソフト・サービスを組み合わせてソリューションとして売り出す、
セールスエンジニアに近い奴じゃないの?
SIベンダのセールスエンジニアに必要なセキュリティ知識と、最前線で戦うのに必要なセキュリティエンジニアは別でしょう
Re:セキュリティ技術者内製がウリだったと思うのだが (スコア:1)
バイナリかるたで有名な佳山こうせつ氏とか国内ではそれなりに有名なエンジニアはいますよ。
会社の規模に比べてまだ人数が少なくて、現場に出せるほどじゃないんじゃないですか。
Re: (スコア:0)
Fのプロパーって働かない印象。
人月計算の算数するくらいで毎日遅く着て早く帰ってた。
実務はぜーんぶ子会社以下の協力会社がやっていた。
10年前の話しだが。
Re: (スコア:0)
自分たちに相応なプロパーを配置されたと思ったほうがたぶん正しい。
富士通といえば (スコア:0)
ProjectWEBどうなったと思ったらまだ調査してんのか。
プロジェクト情報共有ツールへの不正アクセスについて(第六報) [fujitsu.com]
なにこのゴミ。
Re: (スコア:0)
バグ修正が許されない体質変わってないだけだろう。
そのバグ直すことでどれだけ売上上げられるか?だったかな?
政府認定こそ無意味 (スコア:0)
IT音痴の監査機関に初心者向けの説明をしなければならず、無駄な時間が費やされる。百害あって一利なし。
そもそもニフクラはVMwareCloudで、FJCloud-VはVMwareCloudで... (スコア:0)
そもそもニフクラはSoftbankのVMwareCloud撤退時の引受先だし、FJCloud-VはそのブランドOEMだしで、
VMware Cloudのサービス継承後の運用がおざなりだっただけなんじゃね?感がすごい。
そもそもFENICS系ゆ旧Oracle Cloud等、「富士通GだけでいくつIaaSクラウドファーム持ってんだ」って状況なんで、
まともに運営できているとは到底思えないのが悲しいところ。