カリフォルニア大学サンタバーバラ校では,教員が成績をつけたり変更したりするための専用ソフトウエア「eGrades」を運用している。eGradesの利用には当然パスワードが必要だ。しかし,eGradesにはパスワードを忘れた場合のバックアップ・システムがある。パスワードを忘れた教員は,自分の社会保険番号と誕生日を入力すればパスワードをリセットできる。
保険会社で働いた経験のある学生が,教員2人の社会保険番号と誕生日を入手できた。この学生は入手した情報を使って教員のパスワードをリセットし,自分や友人の成績を操作した。ニュースはこの件を次のように報道した。「警察や大学関係者,大学のコンピュータ専門家によると,事件を起こした学生はコンピュータ成績システムに不正アクセスしたとされているが,プログラムの不備や欠陥が原因ではないという」
私には,プログラムの欠陥が原因に思える。私は以前,今回の事件と全く同じ状況について記事に書いた。それは,「安全性の低い代替セキュリティ機構を用意している場合には,安全性の高いセキュリティ機構があったとしても,全体のセキュリティ・レベルは代替セキュリティ機構と同じになってしまう」ということだ。
全体のセキュリティ
ニュース記事:
<http://www.dailynexus.com/news/2005/9237.html>
同様のテーマに関する過去記事:
<http://www.schneier.com/blog/archives/2005/02/...>
Copyright (c) 2005 by Bruce Schneier.
◆オリジナル記事「Student Hacks System to Alter Grades」
◆「CRYPTO-GRAM April 15, 2005」
◆「CRYPTO-GRAM April 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
