Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

不正アクセスによる有給休暇水増し事件をつぶやいてみる。

1月17日の京都新聞長浜市浅井学校給食センターの調理師が勤務記録に65回の不正アクセスして、有給休暇取得日数を水増しして、給与約66万5千円を不正受給していた件が取り上げられていました。

 

f:id:foxcafelate:20180121161724p:plain

 

公式発表

事件の状況 
  • 「出退勤等管理システム」において所長のパスワードを不正に使用し、平成28年~29年に有給休暇記録を削除したり、病気休暇等の特別休暇に改ざんするなど、自身の出退勤等の記録を改ざん(65回)し有給休暇の水増しを行い、給与66.5万円を不正に受給した。
  • 不正に取得された所長のパスワードは、初期設定の「職員番号」で一度も変更されてなかった。

 

◆キタきつねの所感

この事件はいわゆるパスワード問題なのだと思います。初期パスワードが変更されてないというケースは、諸々のシステムで多々ある事かと思います。今回の事件で「所長」はパスワード管理を怠ったとして減給1/10×3ヶ月の処分を受けています。

初期パスワード+管理者権限で不正を気づけなかった(レビューしてない)管理責任を問われた処分については、当然罰せられるべきだと思いますが、この出退勤等管理システム」の開発ベンダーも、(要求仕様になかったのかも知れませんが)初期パスワードを「初回アクセス時に変更させる」機能搭載しなかったのは、如何なものかと思います。

 

開発ベンダーさんはどこかな・・と探してみたのですが、恐らくコチラ(以下参照)だと思います。

f:id:foxcafelate:20180121162905p:plain

 

この推測が合っているとすると、パッケージ化されたシステム(下記参照)の様です。当然、こうしたセキュリティの考え方はよくご存知な開発ベンダーさんだと思うのですが・・・

 

f:id:foxcafelate:20180121163245p:plain

もし、他の自治体などでも同じ様な初期パスワードの設定(職員番号が初期パスワード)を標準的な手順とされているのだとすれば、自治体での導入実績も多い様ですので、少し怖いものがあります。(開発ベンダーさんらしき会社のニュースリリース等にはそうした公表情報はありませんでしたが)

 

私の上記の推測が間違っていて欲しいとは思いますが、パッケージの基本的な機能に初期パスワード変更の機能が無いのであれば、他のお客も同じ脆弱性が残っている可能性が高いので、すぐ直した方が良いのではないかなと思います。

 

因みに、この事件記事を調べていたら・・・7月に米原市で職員が虚偽の業務内容を報告し、残業費と出勤日を水増しして、270万円を不正受給していた、、、という京都新聞の記事を見ました。各市の問題であるのでしょうが、滋賀県で1年間に同じ様な不正受給事件を2件発生させていたのは、土地柄、何かそうした管理が甘いところがあるのかも知れません。

 
 
 
 
有給休暇申請書のイラスト

 

更新履歴

  • 2018年1月21日 PM(予約投稿)