MedQA_jp

Healthcare Provider’s Blog

OSS CMS等のサイト脆弱性 – 自治体・官公庁ポータルサイト

leave a comment »

千丈之堤、以螻蟻之穴潰(蟻の穴から千丈の堤も崩れる)【韓非子 喩老(ゆろう)篇】

導入経費 数千万円、年間運用経費 約500万円をかけて、自治体の設けた県民参加型電子会議室(掲示板、BBS)が2002年5月31日、不正アクセス(フィッシング詐欺の踏み台、DNS乗っ取りによるスパムメール送信)を受け、それをきっかけとして廃止(2006/03/31)に至った事例がある。

「ネット時代の地方自治かくあるべし」
 http://pc.nikkeibp.co.jp/free/NGT/govtech/20050713/164525/?P=1&ST=govtech
で確認できる当時のホームページ外観から、運用していたポータルサイトはオープンソースのものではないようある
「安全安心なコミュニケーションの場を提供すること」「コミュニケーションに応じた迅速、適切な行政情報の提供」を行政の責務として提供したe-デモクラシー構想が崩れることにもなりかねない。

三重県のサーバが不正アクセス被害、フィッシング詐欺への悪用が目的
 http://www.itmedia.co.jp/enterprise/articles/0507/29/news086.html

三重県「e-デモ会議室」におけるサーバへの不正アクセスについて
 http://www.pref.mie.jp/TOPICS/2005070370.htm

【三重県】県民参加型「e-デモ会議室」廃止
5月から県主導の新IT事業を開始 斬新な試みがほぼ4年で終幕
 http://itpro.nikkeibp.co.jp/article/COLUMN/20060706/242690/?P=1&ST=govtech

地域SNSの費用はどのくらいかかりますか?
 http://www.soumu.go.jp/denshijiti/ict/introduction/5.html

また、全世界で利用されている有名なオープンソースソフトウェア(OSS)で構築したポータルサイトでは脆弱性対策は早急に行うべきある。
例 自治体・官公庁が採用しているコンテンツマネージメントシステム(Content Management System CMS)によるポータルサイトの実例
 http://www.xoops.jp/smartsection-category.categoryid-1.htm
 http://www.xoops.jp/smartsection-category.categoryid-1-start-10.htm

たとえば、2007-10-01リリースされた
 http://secunia.com/advisories/27006/
に記載されている問題であれば、XOOPS Uploader Patchを利用し
 http://downloads.sourceforge.net/xoops/xoops-uploader-patch-071001.zip
classフォルダの2個のファイルを上書きすると簡単に解決する。
 /class/uploader.php および /class/mimetypes.inc.php

ところで、自治体職員向けの無償セキュリティ診断プログラムが数社から公開されているが、公務員が自治体内部の情報を登録時に無断提供することに対して自治体の自主規制はないのだろうか?
Ping送信元: 石川県石川郡野々市新庄5丁目106 やまむら眼科医院

広告

Written by medqa

2007/11/30 @ 22:31

カテゴリー: ご注意下さい

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中