東京でセキュリティの仕事をしている小江戸民のブログ
昨日にいい感じのExcel方眼紙を見つけてしまい、実際に見てみようと思ってググったのがはじまりでした。
官公庁製のすごいExcel方眼紙だ http://t.co/N5pEWrYyu9 pic.twitter.com/QR2cgz0h8d
— シンプルは爆発だ (@hidesys) 2015, 3月 7
上記ツイートのExcelブックは、学生の留学を支援する官民協働の制度である、トビタテ!留学JAPAN日本代表プログラムの留学願書です。Webサイトからダウンロードして開いてみたところ、ものすごい方眼紙っぷりにPCではなく私が固まりました。
そういえば、お役所のExcelシートから内部の情報が漏えいした事例があったなぁ(実践ワークシート協会)とセキュリティ的な頭に切り替えて、まずはExcelのドキュメント検査機能を使おうとしたのですが、そっけないダイアログが表示されました。
確かにパスワードで保護されています。Excel方眼紙はセルのサイズを変更されると宇宙の法則が乱れるのでシートを保護していると推測しましたが、まさか適当にパスワード入れたら解除できないよね?とか思いつつ、適当にパスワードを入力してみたわけです。
こんにちはこんにちは!(違
2回目の挑戦で解除できました。あのさぁ…。
幸いにも、このExcelブックには機密情報が含まれてはいませんでしたが、パスワードは容易に推測できるキーワードでした。このパスワードがこの事業の何らかのシステムのログイン等で使い回されている場合、セキュリティリスクが他に存在する可能性があります。念のために他のリスクがないか確認してもらったほうが良いので、問い合わせフォームよりこんな感じでお伝えしておきました。
本Webサイトにてダウンロードできる 「平成27年度後期(第3期)官民協働海外留学支援制度応募様式.xlsx」 の一部シートを保護しているパスワードについて、 Webサイトから容易に推測可能な文字である事を確認いたしました。 不正アクセスの防止等の為、本事業及び関連する他の事業のシステム等について、 パスワードの使いまわし等がないかをご確認いただければと思います。
このフォームからの問い合わせに対する回答は行わないとの事ですが、Excelの宇宙の法則が元に戻る事を願います。
[追記]これを紹介するのを忘れてました。
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター、代表理事:歌代 和正)は、パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、インターネットサービス利用者に向けて複数のサービスにおいて同じパスワードを使い回さないよう呼びかけます。
コメントする