トップ > ビジネスパーソンの迷惑メール対処術 > 自治体のサーバーを悪用して迷惑メール送信

ビジネスパーソンの迷惑メール対処術ビジネス

自治体のサーバーを悪用して迷惑メール送信(3/4ページ)

2010.04.26

  • このエントリーをはてなブックマークに追加

 IDの管理不備は、不正アクセスが起こったとき問題になるかもしれない。例えば、ID/パスワードの管理がいいかげんで不正アクセスを招いた場合だ。民事訴訟で犯人に損害賠償を求めたとしても、責任が軽減されるかもしれない。そうなると、本来なら得られる賠償との「差額」は、サーバ管理者が負うべき責任ということになる。

 現実には、管理の不備が理由で賠償額を“値切る”争いが日本の裁判所であったかどうかを筆者は把握していない。しかしこれぐらい重い責任が降りかかる可能性があると分かれば、サーバー管理者はID/パスワードの管理を厳重に行うようになるだろう。

初期設定用ID/パスワードは、誰でも知っている情報

 初期設定用ID/パスワードは、(1)容易に知ることができる、(2)ログイン後に最大の権限を持つことが多いという2点で危険性が高い。

 機器やソフトウエアの購入者が最初の設定をするときに使うのが初期設定用ID/パスワードである。当然ながら、取り扱い説明書などに書いてある。説明書をウェブで公開するメーカーが増えたので、いまでは購入者以外の人でも知ることができる。

 初期設定用IDは最も高度な操作ができるようになっているのが一般的である。これらの理由で、初期設定用ID/パスワードを、そのままの状態で放置すれば、悪用する者を呼び込みやすいのは明らかである。管理者ならIDごと削除したり、パスワードを変更するのは当然である。

 しかしパスワードを変えない人がいるのである。面倒だからという理由で変えない場合もあれば、組織的な理由で変えないこともある。「面倒だから」は、開発やテスト用のサーバーで起こりがちだ。

 大学などの教育機関では、サーバーの構築自体を実習のテーマにすることがある。時間を節約するために、主目的以外の作業を省略する理由でパスワードを変えないこともある。パスワードの変更はセキュリティ上重要なのだが省略対象になりやすい。

 サーバーの設置作業をする人と、その後の日常の運用をする人が異なる場合、IDを削除したりパスワードを変更すると、引き継ぐ情報が増える。そうした資料を作る手間を省くために、初期設定用ID/パスワードをそのままにすることがある。安全対策を業務として受注していないので、その部分はタッチできないと言う業者もいる。これらが組織的な理由である。

  • このエントリーをはてなブックマークに追加
  • ログイン
  • マイフォローとは?
nikkei BPnet 会員サービス
トピックを選ぶ!フォローする 自分のメディアを組み立てる! マイフォロー

ランキング一覧を見る

おすすめ情報【PR】

締切間近のセミナー