1月17日の京都新聞に長浜市浅井学校給食センターの調理師が勤務記録に65回の不正アクセスして、有給休暇取得日数を水増しして、給与約66万5千円を不正受給していた件が取り上げられていました。
公式発表
事件の状況
- 「出退勤等管理システム」において所長のパスワードを不正に使用し、平成28年~29年に有給休暇記録を削除したり、病気休暇等の特別休暇に改ざんするなど、自身の出退勤等の記録を改ざん(65回)し有給休暇の水増しを行い、給与66.5万円を不正に受給した。
- 不正に取得された所長のパスワードは、初期設定の「職員番号」で一度も変更されてなかった。
◆キタきつねの所感
この事件はいわゆるパスワード問題なのだと思います。初期パスワードが変更されてないというケースは、諸々のシステムで多々ある事かと思います。今回の事件で「所長」はパスワード管理を怠ったとして減給1/10×3ヶ月の処分を受けています。
初期パスワード+管理者権限で不正を気づけなかった(レビューしてない)管理責任を問われた処分については、当然罰せられるべきだと思いますが、この「出退勤等管理システム」の開発ベンダーも、(要求仕様になかったのかも知れませんが)初期パスワードを「初回アクセス時に変更させる」機能を搭載しなかったのは、如何なものかと思います。
開発ベンダーさんはどこかな・・と探してみたのですが、恐らくコチラ(以下参照)だと思います。
この推測が合っているとすると、パッケージ化されたシステム(下記参照)の様です。当然、こうしたセキュリティの考え方はよくご存知な開発ベンダーさんだと思うのですが・・・
もし、他の自治体などでも同じ様な初期パスワードの設定(職員番号が初期パスワード)を標準的な手順とされているのだとすれば、自治体での導入実績も多い様ですので、少し怖いものがあります。(開発ベンダーさんらしき会社のニュースリリース等にはそうした公表情報はありませんでしたが)
私の上記の推測が間違っていて欲しいとは思いますが、パッケージの基本的な機能に初期パスワード変更の機能が無いのであれば、他のお客も同じ脆弱性が残っている可能性が高いので、すぐ直した方が良いのではないかなと思います。
因みに、この事件記事を調べていたら・・・7月に米原市で職員が虚偽の業務内容を報告し、残業費と出勤日を水増しして、270万円を不正受給していた、、、という京都新聞の記事を見ました。各市の問題であるのでしょうが、滋賀県で1年間に同じ様な不正受給事件を2件発生させていたのは、土地柄、何かそうした管理が甘いところがあるのかも知れません。