図書システムから個人情報流出した件ですが、よその市からデータがコピーされたこともビックリしたのですが、続きがありました。
なんと、パスワード無しでアクセスできるFTPサーバになっていたらしいです。
その事も、あまりに・・・・なんですが、その対策も杜撰です。
パスワード設定しただけ!
未だにインターネットからFTPにアクセス出来るラシイ・・・。
えーっと、このシステム屋、頭おかしいんじゃないでしょうか?
インターネットから直接アクセスさせてる事(穴空けていること)もおかしいし、パスワードが平文のまま流れるFTPを使ってることもおかしい。
普通はインターネットから重要なファイルになんてアクセスさせないし、FTPサイト自体をサンドボックス化(という言い方が正しいか分からないけど、最低限chroot環境)するのが当たり前だと思う。
仮に管理者や保守ベンダーがアクセスする要件があったとしてもVPN経由か少なくともSFTPとか、認証、データの双方に暗号化が掛かる対策を施すのが当たり前だと思うのですが。
キャプチャされたらどうすんの? って話。全然パスワード設定したから大丈夫って話じゃ無い。
(こんな管理で許されるんだなぁ・・・うらやましいなぁ・・・楽そうで。)
インターネットが公共物(自分らのあずかり知らないところで運営、管理されてる場所)だって考えが全くないんでしょうね。
いやー、どんなSIer(SE)さんが対応してるんでしょうかね?
直接あってお話伺ってみたいもんです。
コメント