大学のコンピュータ・システムに脆弱性が指摘される(ニュージーランド)
ニュージーランド、オークランド大学のnDeva と呼ばれるオンライン登録システムのセキュリティホールが3ヶ月間もの間、放置されていたことが明らかになった。この事実を報じたのは、学生が発行する雑誌『Craccum』だ。同雑誌は“nDeva をハッキングする方法:入門者編
国際
海外情報
同記事は、“セキュリティ担当者の怠慢により2万6000名に及ぶ学生の記録が危険に晒された。基本的なPC の知識を持っている者なら誰でもセキュリティホールを悪用して、数時間で学生のプロフィールを捏造したり、またオークランド大学の学位を終了することが可能だろう”と指摘。同雑誌の編集者John Marshall 氏によると、 nDeva システムの脆弱性は、マイクロソフト社のIIS 5.0にあるセキュリティホールに起因している。そのセキュリティホールは3月に発見され、5月には同社からパッチがリリースされていた。しかし、同大学は7月中旬頃までその脆弱性を放置していたと見られる。しかも、セキュリティホールが塞がれたのは、定期更新の際に大学がCode Red ワーム発生後にマイクロソフト社がリリースしたパッチ付きウェブサーバに更新したことによるものだった。
さらに同記事は“ "nGenious"と呼ばれるハッカーが問題のサイトに侵入し、学生や職員の個人情報が搭載されたデータベースにアクセスした”と報じた。同雑誌のMarshall 氏は「オークランドのハッカー集団Southern Lights International が今回の脆弱性に関する情報を提供してくれた。雑誌に公開したことで、大学のコンピュータ・セキュリティに対する手ぬるい管理が改善されることを望んでいる」と述べた。雑誌にセキュリティ問題が掲載されたことを受けて、システム管理者は「システムのセキュリティを精査した結果、データの安全性に何ら問題のないことが判明した」と主張し、情報技術責任者はその件に関するコメントを拒否した。
《ScanNetSecurity》