2005年03月06日

自治体は誠実なのか不誠実なのか【高木浩光＠自宅の日記】自治体サイト訪問時は要注意かも、、。
http://takagi-hiromitsu.jp/diary/20050306.html#p01

先月、「半数の企業がハッキングされても報告しない」という海外ニュースが流れる中、佐賀県が、サーバが侵入されてフィッシング詐欺用の偽サーバを稼動させられていた事実を、記者発表した。

* （財）佐賀県地域産業支援センターのインターネットによるサービスの一部のご利用を停止しています, 佐賀県農林水産商工本部商工課, 記者発表資料, 2005年2月16日

別添のとおり、平成１７年２月１５日に、財団法人佐賀県地域産業支援センターがインターネット上で公開しているＷｅｂサーバにおいて、個人インターネットバンキングのユーザＩＤ及びパスワードの入力を促す英文の偽装サイトが開設されるというフィッシング被害を受けました。

これには感心した。事故が起きたら包み隠さず公表する。さすが自治体は誠実なんだなと。

これとは対照的な話がある。1月11日の日記「高知県情報企画課曰く「とくにおかしいと思わない」」には、続きがあるのだ。高知県情報企画課への電話は、このオレオレ証明書問題の問い合わせの後、もうひとつ別の問題についてインタビューしていた。

私: それからもう一点あるんですけどね、「はい」を押すと別の警告が出ますよ。「はい」を押してアクセスを進めるとですね、Windows XP SP2ですと、「発行元を確認できないためこのソフトウェアはブロックされました」「不明な発行者」というのが出るんですけども、

図1: 高知県電子申請システムをデフォルトのセキュリティ設定でアクセスした様子（SP2の場合）

県（情報企画課）: あー、はい。

私: これは明らかに異常なんですけども、どうですか？

県: ……。

私: あるいは、Windows XP の SP2を入れてない、前のバージョンでやると、「現在のセキュリティ設定ではこのページのActiveXコントロールは実行できません」というのが出るんですよ。これはどうですか？

図2: 高知県電子申請システムをデフォルトのセキュリティ設定でアクセスした様子（SP1の場合）

（埒が明かない様子を略）

私: さっきの方にかわってくださいよ。

県: 少々お待ちください。

県（業者）: もしもしお電話変わりました。

私: あーもしもし？ 第2の問題もあるのですが、そこで「はい」を押して次の画面に進むとですね、別のエラーが出るわけですよ。「現在のセキュリティ設定ではこのページのActiveXコントロールは実行できません」というのが出るんですよ。

県: はい。

私: これは駄目じゃないですか？

県: えーっと、今使われているOSは何になるんでしょうか……

私: 今のはWindows XPのSP1ですね。

県: そのような表示が出てしまうと。

私: 出ないですか？ そっちでは。

県: こちらで確認して回答するという形でよろしいですか？

私: 出るでしょ？ 警告は。出るから説明が書いてあるでしょ。「ヘルプを見て設定してください」と、あなた、書いてるじゃないですか。

県: ええ。

私: それのことを言っているわけですよ。

県: えーと、そのActiveXというものは、ホームページからダウンロードはされているんでしょうか？

私: いやですから、普通のデフォルトのセキュリティ設定ではダウンロードができないようになっているわけですよ。危ないから。

県: はい。で、えーと、ホームページ上では設定を変えてダウンロードしてくださいと書いてあると。

私: そうですね。これはまずいんじゃないですか？

県: セキュリティレベルを戻してダウンロードするのは危険じゃないのかなと

私: 戻すじゃなくて、下げてるでしょ？ デフォルト設定から。

県: はい。

私: 駄目じゃないですか？ これは。

県: えー、その点についてはですね、こちらで独自に開発したプログラム

私: うん、そんなことはわかってますよ。よそのサイトに行っても、署名がないやつをすぐインストールしちゃうわけですね、この設定にしておくと。

県: えー、署名といいますかActiveX

私: あなたねー、2000年ごろから社会問題になった、しらないうちに国際電話に電話がかかるようになってて何十万円っていう請求がくるってやつ知ってますか？

県: あーその、個人情報が流れたりっていう

私: ちが、怪しいサイトをアクセスしているとですね、知らないうちにプログラムを埋め込まれて、ダイヤルアップの接続先を変えられて、国際電話経由でインターネット接続するように変えられて、外国の電話会社経由で30万円くらい請求されるというのご存知ですね？ 最近は常時接続が一般的になりましたから、あまりそういうことは聞かなくなりましたが、2000年ごろはそういう被害が多発していましたね？

県: はい。

私: その原因はですね、知らないうちにプログラムを埋め込まれたからなんですけども、それはActiveXコントロールで作られていたわけですよ。で、Internet Explorerの初期設定では当然ながら、署名のないActiveX コントロールは動かないようになっているわけですよ。悪い奴がそういうことをしようとしますからね。

県: はい。

私: アクセスしただけでプログラムが埋め込まれるというのは、おかしいでしょ？

県: はい。え？ あのー、ダウンロードはされて、動かそうとするとそのような

私: アクセスしただけでダウンロードして組み込まれるような設定にしろと言っているのはあなた方なんですよ。

県: でーですね、あのー、

私: つまりあなた方の指示に従っている市民は、30万円ぐらいの被害が出るような危ない設定をさせられているわけですよ。

県: えーとそのー、ActiveXをダウンロードするっていう件なんですけども、そのActiveXのプログラムがどういうものかに、よるとは思うんですけども

私: あなた方のはいいんでしょう。だから、その設定のままよそに行ったらどうなるか？ って言っているわけですよ。

県: あ、そのーActiveXっていうのは、一言でActiveXって言われていると思うんですけども、ActiveXは個々にプログラムは動作は別々で、独自で動いてると。で、そのー、被害を被るActiveX？ っていうものはそのー、第三者が悪くプログラムを作ってActiveXを作成していると。でー、今現在高知県の方からダウンロードするActiveXは、そのようなプログラムなしで単に申請を行うためのプログラムで作ってあるActiveX であるので、そのActiveXを用いてどうのこうのっていうのは、できないようになってます。

私: そんなことはわかっているんですよ。誰もそんなことは聞いてないの。

（以下略）

　次へ 　前へ

▲このページのＴＯＰへ　　　　　 HOME > ＩＴ7掲示板

フォローアップ:

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。