SCSKの不祥事 熟練エンジニアがなぜ 総額2億円の不正出金、監視網をくぐり抜ける
コメント
注目のコメント
他のpickにも書きましたが、どうやってパスワードを復号化できたのか。このシステムは本当に大丈夫なんだろうか...。
普通、任意のパスワードへ変更はできても、今記録されているパスワードを復号はできないんですけどね。。。
通常、一方向ハッシュ関数にsaltを付けて暗号化された物がdbに保存されるので見ても全く分からないし、ちゃんとした強度のハッシュアルゴリズムを使っていれば復号化するにも量子アニーリングのコンピュータとか持ってこないかぎり何年かかるの?ってくらい時間かかるものなんですが。。。
ログイン過程の序盤でユーザが入力したパラメータをloggingでもして吐き出してれば話は別ですけどね。その場合、パスワード抜き取られた対象者が膨大で影響範囲がヤバイのとカジュアルに本番環境でソースコードの変更ができないと仕込めませんが...。
もしこれが、本人の考えたミラクル復号化アルゴリズムなんだとしたら年俸2億円で雇っても安いレベル。
世界中でハッシュアルゴリズムを変更する必要がでて間違いなく大騒ぎですね苦笑通常、会社内のこういった不正に対する取組みは、なにか不正につながるようなことをしていたら、いずれバレるようになっている仕掛けであり、年一回程度の監査等で必ず発覚するような仕組みが多いです。つまり、「そんなことやったらいずれ絶対にバレますよ」という牽制が主な狙いといった感じです。
従って、例えばプライベートなことでどうしてもお金に困ってしまって、短絡的に社内ルールを無視すれば、不正なことができてしまうものなんだと思います。今回、こう言った形で時間を経て本件が発覚したと言うことは、おそらくそういう類の話なんでしょう。ある意味、仕組みが予定通り機能していると言えます。
技術的な制限や、悲惨な結末を迎えた社内事例を使った教育などは当然一定の牽制にはなるのですが、仕組み自体を人間が作っている以上、完全に不正が起こらない仕組みは難しいということなんです。
当事者はこんなこと言えないので代弁してみました苦笑この人に何があったんでしょうか?
経理業務しろ、資材業務にしろ、何かをきっかけにこのような魔がさす行動を誘発してしまうのでしょうか?
金融系の情報システムも経理同様、扱う情報から同じ方が長く業務に担当されることも多いと思いますが、やはり定期的なジョブローテーションしかないのかなと思ってしまいます。
