大阪市の公開資料にコロナ患者管理システムのパスワード - 2段階認証の盲点も

情報提供した職員が提供資料に記載された「ID」と「パスワード」をサンプルと勘違いしたことにくわえ、部署間での連携も不十分だったという。

同市では、問題の判明を受けてパスワードを変更。情報提供した7人や関係者1人にヒアリングを行い、システムにアクセスしていないとの回答を得たとしている。

同システムについては、サインイン時に電話のコールバック、またはSMSコードを用いる2段階認証が設定されている。電話の場合、システムからコールバックに応答し、プッシュボタンを押すことで認証が完了するしくみ。

同市関係者によると、同市保健所の電話回線に限りがあり、ひとつの回線を複数職員で共有し、電話認証にも利用していたという。複数のアカウントでサインインのタイミングが重なると、次々と連続してコールバックが行われる状況も生じていた。

コールバックのタイミングがずれることもあり、コールバックが正規のリクエストによるものか不明瞭なまま認証していたため、第三者がIDやパスワードを用いることで二段階認証を突破することが可能な状態だった。

同市では問題のIDについて、厚生労働省に廃止を依頼。二段階認証の重要性を職員に周知し、確認の徹底を行いつつ、電話回線の共有を中止することも含め、運用体制の見直しなども検討するとしている。

（Security NEXT - 2022/04/28 ）ツイート