« 2006年4月 | トップページ | 2006年6月 »

2006年5月

2006年5月29日 (月)

隠したつもりが・・・情報公開

隠したつもりが--AT&T、NSA監視プログラム訴訟でうっかり情報公開 :CNET Japan

ちょっと笑えないかもしれない。

こちらが原文のPDFだ。

実際にやってみた。PDFを開き黒く塗られたところをマウスで選択し、コピーしてテキストファイルに貼り付ける・・・

見事!復元。って当たり前のことで、神業でも何でもない。

デジタルデータの恐いところが、こんなところだ。

回避方法は、いくらでもあるのだが・・・

知らないって、無知が招くとんでもないこと!

特に今回のは、訴訟でうっかり情報漏洩・・・なんてことだ。

一番簡単な方法は、プリントしてマジックで塗りつぶす!

デジタルっぽくないが、一番確実な方法だったりする。

もっとも、PDF上で編集するから、こんなことになる。

最近のwordなんかは、編集履歴が残るのでこれも過去に海外で問題になったことがあった。

通常に使えば、誰がどこを編集したのか?解った方がとっても便利!

結局は、人的ミスが招くこと。

何度も耳にタコができるほど言っているが、

最低限の使い方や、ネットの教育、機密性の高いモノへの扱い方・・・

このあたりは日本でも同じことで、起こるべきして起きること。

知らなかったで済まない問題は、知る以外に方法はない。

もっと、人的なベタなところを見つめて欲しい。そこに問題も解決もあるのだから・・・

  generated by

| | コメント (0) | トラックバック (1)

2006年5月26日 (金)

ウイルスの概念が崩壊

攻撃型メール活動でも書いたが、和製ウィルスが多くなってきた。

防衛庁などの、なりすましメールで送信されるウィルスだ。

従来の考え方であればウイルス対策さえしていれば、ほぼ感染しないだろう・・・

と、私もずーっとセミナーなどで言い続けてきた。

しかし、過去記事にも何度も書いてるが、

ウィルス出現 → ウィルス対策ワクチン作成 → ワクチン配布

もちろん、この順番は変わらない。当たり前!

Winny系でも、和製ウィルスが多くあるが、今回のなりすましメールでは・・・

「海軍作戦計画」や「第16駆逐戦隊の3週間」等を、
額賀長官の事務所や航空自衛隊の実在アドレスを使って送信

で、見たくなるようなファイルをクリックすると・・・即感染する。

従来ウィルスは、外国産が多かった。同じ手口の添付ファイル系のモノは存在したが、ファイル名や件名が英語だから、感染し難かった。

それが、自分に回ってくるまでに時間が多少かかり、その前にワクチンが適用されていたりしたから、感染が少なかった。

今回も、最近のも、純国産ウィルスだから、メーカーのワクチン作成前で、もちろん配布前に・・・皆クリックして、
即感染する。

また、たまらなく嫌らしいのが、実際に発生しちゃった、ありそうな名称を使ってるところ!

これは、何とも言いようがないが、まったくの何もない、火のないところに煙は・・・

であれば、アヤシイ?と思うだろう。

しかし、あやしくなく、ありそうな話だったりするから、笑えないところだ。

こうなると、ウィルス対策はもちろん続行するが、

そろそろ、情報リテラシーやインターネット脅威の教育

が、本当に必要な時期に迫って来たようだ。

アヤシイものは、クリックしない!なんて、随分昔から言われている。

私の幼少時代にも、自販機に毒入り飲料水が置かれていた事件が多発した時期があった。

親からは、買ってないものは飲んじゃダメ!知らない人からモノをもらわない!

なんて、言われた事を思い出した。

時代は変わったが、アヤシイものをクリックしない!なんてことは、昔と変わらないことだと思うのは、私だけだろうか?

 

| | コメント (0) | トラックバック (0)

2006年5月23日 (火)

Yahoo! BBの顧客情報流出事件

Yahoo! BBの顧客情報流出事件、1人6,000円の賠償命令INTERNET Watch より

2003年6月に約471万人分に対し、500円の金券を配布した。私も500円もらった1人だ。

今回の裁判では、1人あたり6,000円の支払いを命じた。

訴訟を起こしていないユーザーに対して今後どのような対応がされるのかは未定。

もしも、471万人に対して6,000円を払うとすると、約282億円になる。

当時の500円計算でも、約23億円のお詫び金を支払っている。

もちろん、ここには見えてこない内部の漏洩防止策にも相当のコストと人件費がかかっている。

今回はビックマック指数では計らない。わかりやすい数字だからだ。

実はここで重要な問題がある。

このBB事件で、500円って相場が出来てしまったことだ。

件数も多かったので、金額にすれば23億円も払っているのだから、仕方ないのかもしれないが・・・

大規模な漏洩事件で相場が決まる。それだけ大きな事件で、その後相場になるほどにも、他の漏洩事件も多いって事だ。

NRIの調査では、 一度の個人情報漏えいは40%のユーザーの離反を招く と詳細な調査結果もある。

この調査では、

金券の配布よりも、隠さず通知を・・・

と言われている。

もっともなことだ。しかしまずは通知すれば良いだろう!との企業が多くなってきている。

もちろん隠蔽はマズイ。しかし通知すればそれで済むのだろうか?

一連の新聞報道を見ても明らかな通り、駆け込み報告が後を絶たない。

紛れ込みとでも言えるような、お粗末さ・・・

企業にとって、相場500円のこのコストも大きいだろう。

しかし、金額に変えられないイメージ失墜は500円×漏洩数では計れない。

そもそもこんな計算書きたくない位だ。

事前に出来る事を対策もせずに発生してる事が圧倒的!

コストだけで計りたくないが、見えやすいものとしての1つの指数だ。

結局、莫大なコストとイメージ失墜が結果だ。

100%回避する方法はない!これは漏洩に限った事ではない。

漏洩は起きるものだ!と言う認識からはじめるしかない。

と、事前対策だけはしっかり対策する以外に方法はない。

それでも、事件は起こるもの。

しかし損害は、内側、外側ともに最低限の事になるだろう。

顧客にも迷惑が最低限で済むような
事前対策は企業の責任

| | コメント (0) | トラックバック (0)

2006年5月19日 (金)

攻撃型メール活動

1万台以上のボットを操っていた人物逮捕,1日に1800万通のスパム送信ITproSecurity より
ボットネットでココまでやるか?ってな感じだ。ボットネットとはウィルスとスパイウェアの混合みたいなもので、ロボット的にネットを使った所が名前の由来。

ようは、他人のマシンを勝手に混合を仕込み、勝手に操作する。

今回は、16,000台のマシンから、18,000,000通のスパムを送信した。

計算上は、1125通/1台から送信したことになる。

今回は、以前に使ったビックマック指数は使わない。なぜならわかりやすい数字で、ビックマックで考えると、食べた場合に・・・考えたくない(笑)

普通に考えても、尋常でないメール数だ。どれだけのヘビーユーザでも1日に1000通送信するだろうか?1000通受信する人はたくさんいる。

まぁ機械的に同じ内容を送信するのだから、難しいことではない。

が、そのネットワークに対する負荷は相当なものだ。

踏み台って言葉を久しく聞いた。以前はWeb改ざんやサーバ不正侵入の為に、何カ所も経由して身元をわかりにくくするために使われていた言葉。内容は今でも変わらない。

何カ所も経由することを、踏み台を何個踏んだ!と表現する。

グリッドコンピューティングのようにネットワークを利用して、世界中のコンピュータを繋ぎスーパーコンピュータのような計算をすることはある話だが、今回の話は似ているようで違う。

スパム活動も問題だが、ボットに感染するコンピュータに問題があり、それを管理している個人や企業にもっと問題がある話だ。

もう一つ気になった記事・・・

額賀長官や航空自衛隊になりすますウイルスメールが大量送信INTERNET Watchより

なりすましメールのイタズラだ。

Winny情報漏洩が多く発生しているのに便乗した愉快犯。

いかにもありそうなタイトルと送信元で・・・

「海軍作戦計画」や「第16駆逐戦隊の3週間」等を、
額賀長官の事務所や航空自衛隊の実在アドレスを使って送信した。

メールの裏側をちょっと使ったイタズラと、時事的話題だけ。

ちょっと笑えないのが、

本当にありそうな、漏洩したことがあったりすること。

火のないところに煙は立たないじゃないが、偶然?間違って受信?漏洩?・・・

と思ってしまう現実の背景もあったりするので、何とも笑えない。

そんな名前の資料をクリックすると、ウィルス感染してしまう。

Winny情報漏洩しちゃった防衛庁だから、
このメールももしかして?とか

世の中一般的に良くある、メールの宛先間違いかな?とか・・・

いろいろ考えながら、
もしかしてお宝データか?なんて思いながら、クリック!

すると、即感染してしまう危険性がある。

これも上に同じく、ウィルス対策が重要であり、使い方の教育だろう!

いろんな方法はあるが、一番の対策は、

漏らさないこと。デジタルデータは漏れると回収不可能

対策さえすれば、ウィルスに感染することはほとんどない!

時代にあった愉快犯は減らないってのが、答えかもしれない。

だったら、出来ることからはじめる以外にないだろう。


| | コメント (0) | トラックバック (0)

2006年5月17日 (水)

NSAの通話データ収集

NSAの通話データ収集、一部電話事業者が拒否CNETJapan より

NSAとは、アメリカ国家安全保障局 Wikipediaより・・・本家NSAのサイト

40,000人とも言われる巨大組織。詳しいことがほとんど表面化されていない、機関だ。

過去記事のデジタル版の振込詐欺 に書いた事がある。

エシュロンそのものが、どれくらい?規模も実態もよくわからない。

暗号化のマスターキーを持っているとさえ言われていている・・・

マスターキーがあれば何でも複合可能な万能薬!タイガーバームみたいだ。

通信の秘密なんてものも、電気通信事業者にはある。

電気通信事業法の第四条なんかがそうである。

個人情報の保護法施行から1年以上経過した。個人情報関連の過去記事 にもあるように、個人情報ですらこんな状況!

対極的な話だが、NSAのようにエシュロンから個人情報まで・・・

エシュロンの積極的傍受から、Winny等の情報漏洩まで・・・

通信事業者が守るべきものは、当然の事だが、米国でも記事のように扱いが企業ごとに異なる。NSAだからって問題ではないと思うが、NSAだからかもしれない。とにかくブラックボックスのようなとこ。

一方で現在の日本は、まだYahoo!のNewsでもこれだけある。

提出を求められ、通信の秘密を理由に出さない通信業者と、

求められてもいないのに、勝手に情報を垂れ流しの日本。

すべての

起こりうる事を考える。想定内・外でも、シュミレーション!

ここからはじまるのでは?ないだろうか?

技術問題は技術対策だけで・・・良いワケじゃないだろう!

モラル・倫理は、技術対策で解決出来るのだろうか?

実際に起きた、事例から学ぶことは数多くある。それを知らなきゃならない時代なのだから、企業も公的機関も教える必要がある。

結局は、それがないから、連日の事件が起きるのである。

一度痛い目に遭遇した企業ですら、喉元過ぎちゃって何もしてない。

何もしないでも二度と起きないのならば、それも良い。

しかし、ことわざじゃないが。。。何もしなきゃまた起きるのは、当たり前!

そろそろ学習能力を高めても良いのでは?企業の社会的責任にも通じる事だ。

まずは、気づくことからはじまる!or 情報漏洩事件発生とのトレードオフか?

| | コメント (0) | トラックバック (0)

2006年5月16日 (火)

検索結果には危険が潜む

サーチエンジンの検索結果には危険が潜む~米McAfee調べ

昔からある話だ。

デジタルの恐いところがこんなところに潜んでる。

ここでは情報漏洩とサーチエンジンの話をしよう!

気になるキーワードは全部検索してみる事が第一である。

気になるキーワードの詳細は書かないが、気になるキーワードで引っ掛かればそれは・・・

同じキーワードを叩いた人は全員見れていることだ!

じゃあ何が気になるキーワードかは、企業や個人、それぞれに違うはず。

最近のサーチエンジンは賢かったりするので、キャッシュ(元々のデータ)があったりすると、実際のページやデータは存在しないのに、URLで見ても見れないのに・・・

キャッシュには残ってたりする。便利な時と、そうでないときがある。

さらに、ネット上にはデジタルアーカイブ(データの図書館みたいなもの)があるので、古いものまで見られる。

過去記事にこれも情報漏洩か? にあるので興味のある方は、参照頂きたい。

その昔、大手エステサロンの顧客・従業員情報が数万人単位で漏洩事件があったが、そのときも必死にデジタルデータの回収をしていた。

サーチエンジンの脅威を、自身で味わって頂きたい。

今日も便利vs脅威の話でした。

| | コメント (0) | トラックバック (0)

2006年5月12日 (金)

個人の機密情報保護を怠った企業from米国

個人の機密情報保護を怠った米不動産会社,FTCの和解案に合意 :ITproより

米連邦取引委員会(FTC)が、この不動産会社に対し顧客情報を保護するよう義務づけた法規「Safeguards Rule」に違反したとして提訴していた。

違反内容は、

顧客名,社会保障番号,銀行やクレジットカード情報,信用履歴などを取り扱っていたにもかかわらず,それら個人情報の保護に関して,適切かつ基本的なセキュリティ対策を怠った

個人情報を含む書類を,第三者が出入りできるゴミ捨て場に投棄した

ことが原因のようだ。

また、ごく一般的な手口を用いたハッカー攻撃によって,社内ネットワークへの侵入を受けた

こともあったようだ。

FTC委員長のDeborah Platt Majoras氏は,「消費者の個人情報を不注意に取り扱うと,身元詐称などの犯罪を誘引することになる」と警告する

この不注意による影響は、米国だけの問題ではない。

日本でも十分に起こりうる。既に起こっていると言った方が正しい。

この記事で気になったのは、やはりゴミの問題だった。

よくあるパターンは、

ミスプリントの裏紙再利用から、情報リサイクル活動へ・・・

メモ書きした紙をそのまま捨てる・・・

こんな事が一番多い。ちゃんとした書類などは意外と管理されているのに、ミスプリントメモ書きがなんでゴミ箱一直線なのだろうか?

ミスプリントは裏紙を使っているのは解っているのに、裏面を使った瞬間にそれが表面になる。だから、ミスプリント側の事は関係なくなってしまう。
これは、裏の裏は表になることがわかっているようでわかってない。

メモ書きにしても、再利用しないまでも一番の問題は、たかがメモでしょ?って感覚が多い。以前にメモ書きに何でそこまでするんだ?と聞かれたことがある。

メモ書きは、覚え書きや伝言などがある。伝言で言えば・・・

一方的に伝えられる伝言と、伝言を待っている状態がある。

いずれも、自分が伝言を見た瞬間にメモ内容は必要なくなってしまう。

簡単な話で、メモ内容を知ったからだ。

では、伝言を待っている時だったらどうなるだろうか?

何かに対して、フィードバックされる伝言があり、それを待っているのだ。

一方的に振ってくる伝言とは訳が違うだろう。その当事者の人は。

情報価値は、なんともモノサシの当てにくいものだが、上の話で言えば簡単だ。

あなたの見終わった捨てたメモ伝言は、普通にゴミ箱に捨てれば・・・

他の誰でも見られる状態になる。ゴミコミュニティのWinny版だ。

紙をリサイクルすることは環境に優しいが、情報をリサイクルするのは如何なものか?

| | コメント (0) | トラックバック (0)

2006年5月11日 (木)

あなたのパスワードは安全?

「あなたのパスワードは安全?」,マイクロソフトがチェック・ツールを公開ITproSecurityから

マイクロソフト(MS)から

強力なパスワードを作成する方法

パスワード チェッカー

が提供された。

まず、強力なパスワードの作り方から・・・

MSでは、パス フレーズを "My SoN Ayd3N is 3 yeeRs old" から MsAy3yoこんなサンプルを作ったとページに書いてあった。

ちなみに、パスワードチェッカーにかけたら、4段階のだった。

作り方には使っちゃいけない文字に、ハッカーなどが良く使用する文字があった。

2000年頃のWeb改ざんなどで有名になったあれだ。改ざんページを集計していたページも今ではしてないが、当時のは沢山残っている。www.attrition.org

例えば、0(ゼロ)=O(オー)、l(エル)=1(数字)、A=@や4、S=$、3=E・・・

等に変えてしまう。MSではそれだけの活用を推奨してない!

が。。。M1cr0$0ftは、上記の法則で作った、MicroSoftだ!MSのページに書いてあったもの。

これをパスワードチェッカーにかけると・・・だ!最強の一歩手前、強いっ!

若干MSの矛盾も感じるが・・・パスワードなんてこんなものだ!

私のパスワード法則がある。

意外と一般的な方法だ。

例えば、携帯電話機のボタンに書かれている文字だけで作ってみよう!
Makepass_2
例えば、今どきの外人も言わないような言葉だが・・・

1.サムライゲイシャを、数字だけで作る

37912138になる。カナに数字をあてただけ。

これだと、だ。なので、+を入れてみる。

3791+2138これで、だ。でも9文字もある。

2.ゲイシャ&富士山ではどうか?

2138+fujiyamaで、一気にだ。

3.どうしても最強を作りたいので・・・

3776fujiyama=1これで最強が出た!だからどうした?って感じだ(笑)

ようは、数字と英文字と記号の組合せが最強になる。

サムライの例は、銀行のキャッシュカードなどの数字4桁では有効だ。

歴史に詳しい人は、いいくに作ろう鎌倉幕府なんてものを組み合わせると最強かもしれない。

受験用暗記の歴史とか化学なんかにも使えるパスワードがあったりするので、是非使ってみよう!

人間の記憶では、不規則なものは7文字が平均。不規則でなければ、14文字位は十分可能だ!fujiyamaの例でも高さまで入れた、決して難しくない組合せで、14文字ある

こんな作り方でもしないと、忘れるんですよ。何かの参考に是非どうぞ!

| | コメント (0) | トラックバック (0)

2006年5月10日 (水)

W杯サッカー&人気&ウイルス=お祭り?

W杯サッカー人気につけ込むウイルス出現なるものが出た。

サッカーのワールドカップは4年に一度で、冬季オリンピックと同じ年にある。その中間に夏季オリンピックがある。いずれも4年に一度だ。

以前に私も、これ系の仕事をしていたことがある。随分昔だが(笑)

サッカーのワールドカップは、オリンピック同等か、それ以上に大きいイベントだ。

もちろん経済効果も大きい。イベントとして大きい&危険も多いスポーツだ。

それは、それとして・・・

これに限らず、ウィルス対策をきっちりしていれば、大丈夫なはずだ!

前にも書いたが、ウィルス対策の絶対がある。世の中絶対はない!ってよく言われるが、ウィルス対策の絶対は間違いない!

ウィルス出現 → 対応ワクチン配布(更新定義ファイル)

ようは、ウィルスが出回る前に、対応ワクチンが出るはずがない!当たり前だが・・・

なので、ウィルスに感染する可能性は、対応ソフト会社からワクチンが出るまでの間~そのワクチンを自分のパソコンに更新ファイルとして取り込むまでは、危険な可能性がある!

時間軸で考えれば、これはもっともな話だ。感染する危険な可能性はあるが、最近の対策ソフト会社もワールドワイドで24H監視しているので、結構対策が早い。

きっちり対策していて、それでも感染したら・・・私は宝くじに当たる程の確率だと思っている。

でも・・・

・ 更新しないパソコンからの漏洩がほとんどであり、

・ ウィルス対策もしてないパソコンが未だにある!

だから、Winny情報漏洩や、ウィルス感染がなくならない!!

対策していないのは問題外だが、更新しないのは、想定外か?これも問題外だ。

どっちでもいいいのだが、対策&更新だけで相当防げるのだから、これは絶対だ。

ちなみに、こちらは関連記事:

イベントは、お祭り!だからそれで良い!しかし・・・

ウィルスに限らず、お祭りごとに便乗するものもあるのだから、最低限の事だけはしよう。

オイシイ話も、お宝も、限定も・・・まぁうまく引っ掛かるようなものに、引っ掛かるものだ。

| | コメント (0) | トラックバック (0)

2006年5月 9日 (火)

セキュリティガイドラインfrom総務省

「職場外のパソコンで仕事をする際のセキュリティガイドライン」の公表 が、総務省から出た。

1.「職場外のパソコンで仕事をする際のガイドライン概要」(PDF)

2.「職場外のパソコンで仕事をする際のガイドライン」(本編)(PDF)

結構詳しく書いてある。

また、国民のための情報セキュリティサイト は、もっと解りやすく書いてある。

両方見て、読みやすい方から見ると良いだろう!

2.の15ページに”人についての対策”が書いてある。

私はここが一番興味があった。

◆事例

(1) 社内外の研修や勉強会などを活用し、情報セキュリティ教育を定期的に実施する。

(2) 情報セキュリティに関する冊子を作成し配布する。

やはり人的対策は、これが一番だろう!

小冊子は私の本業でも配っている。結構評判が良いのだ(笑)

総務省の情報セキュリティの考え方は・・・

もっとも一般的なことで、基本は大切?って事のようだ。

やはり、レベルに合わせた内容が重要だ!と改めて知った。

しかし今ひとつ、なんかスパイスが効いていないように感じるのは、私だけなのだろうか?

国家機関なのだから、もっと・・・

| | コメント (0) | トラックバック (1)

2006年5月 8日 (月)

フィッシングがキタ━━━!!!!

はじめてかもしれない・・・

直接フィッシングメールを受け取るのがうれしくて、ブログにのせることにした(笑)

英文の翻訳は、適宜Webのサービスを・・・

---------- ここから -----------
タイトル:Security Measures
Chase Bank is constantly working to ensure security by regularly screening the accounts in our system. We recently reviewed your account, and we need more information to help us provide you with secure service. Until we can collect this information, your access to sensitive account features will be limited. We would like to restore your access as soon as possible, and we apologize for the inconvenience.

------------------------------------------
Why is my account access limited?

Your account access has been limited for the following reason(s):

April 22, 2006: We would like to ensure that your account was not accessed by an unauthorized third party. Because protecting the security of your account is our primary concern, we have limited access to sensitive Chase Bank account features. We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.

(Your case ID for this reason is CHSE04-410-***-****.)

At Chase Bank, one of our most important responsibilities to you, our customer, is the safekeeping of the nonpublic personal ("confidential") information you have entrusted to us and using this information in a responsible manner. Appropriate use of the confidential information you provide us is also at the heart of our ability to provide you with exceptional personal service whenever you contact us.

------------------------------------------
How can I restore my account access?

Please confirm your identity here: Restore My Online Banking Account and complete the "Steps to Remove Limitations."

**********

Completing all of the checklist items will automatically restore your account access.

---------- ここまで -----------

このメールの発信元は、韓国からだった。

文中にリンクがあったが、つながらなかった。

フィッシングなのか?スパムなのか?不明だが、いずれにしても

正規なメールでないことは確か!

HTMLメールで、いかにも、らしい、感じのメールだ。

持ってもいない銀行からメールが来るなんて・・・(笑)

フィッシング詐欺サイト情報には詳しく出ているので、是非参照頂きたい。

迷惑メールで、最近面白かったのがあった。出会い系のスパムなんだが・・・

電車の中吊りの、■い頭を●くする!系の事がメールに書いてあった。

すっかり、最後まで読んでしまった。内容もそこそこ面白かった。

敵も色々と考えるもんですねぇ。

| | コメント (0) | トラックバック (0)

2006年5月 5日 (金)

セキュリティソフトの押し売り注意!

コンピュータウイルス・不正アクセスの届出状況[4月分] が、IPAから出た。

今月の呼びかけ:

「 セキュリティ対策ソフトウェアの押し売りに注意!! 」

―――  怪しげな警告を真に受けるな!!  ―――

詳しい事は、IPAのページを参照頂きたい。実際の画面もある。

私もスパイウェア対策で、なんども見たことがある画面だ。

これは、もっとも嫌らしいタイプのもの。先日も書いた心理戦だ。

Windowsなどが警告を出しているかのような、いかにもな警告をする。これはフィッシングサイトなんかでもあったのだが、いかにもな画面。

なんだかパソコンの調子悪いから、インストールした方が良いのかな?!

って、思ってしまう。しかし・・・

1.調子悪くなるように仕向け、強制的にインストールしてくる!

2.無料!なんて書いてあり、とりあえずクリックしたくなる!

3.無料は無料なのだが、お金を払うまで頻繁にメッセージが出る!

って感じの挙動をする。

昔の押し売りは玄関でピンポンして、欲しくもないものを売っていた。今でも似たような押し売りに近い事は、私も何度も経験している。

スパムメールと同じく、欲しくもないものを強制的に心理的弱点を狙って押してくる!

これって?詐欺かな?と思ってしまう。

しかし、クリックする画面の何処かに、とても小さく何か書いてある
インストールに関する責任保証のような長々した文章だ。

2005年重大ニュース 昨年末に書いた記事だが、これはだましのテクニックだ!

だましのテクニックとは、

だましのテクニック(アナログ)

+プラス+

だまされるシチュエーション(デジタル)
との、
融合とでも言うのだろうか?

これも振り込め詐欺と似たようなもので、

自ら支払っちゃうもの! しかし・・・ちゃんと読めば書いてある。

私もそうだが、ちゃんと読んでいる人っているのだろうか?私は読んでない。自慢にもならないが・・・

書いてあることを、読まずに自らインストールし、お金を払うことは

自己責任

押し売りであろうが、何であっても、関係ない。それは、ちゃんと書いてあるからだ!

スパイウェアの挙動って、そもそも読めるものではない。それはプロが目的をもって作っているから、昨日の挙動は今日は違うかもしれない。
だから・・・わからないのだ。挙動が読めるのは正しいものであれば読めるかもしれない。

最初から正しくないものであるウィルス・スパイウェアの動きは正しくない動きをする。
だから、何をもって、あやしい動きか?判断つかない。

IPAのページには、被害事例も詳しく書いてあるので一読して頂きたい。

騙す方が悪いのか?騙される方が悪いのか?そもそも悪いって言葉でないかもしれない

最終的には、自己責任しかないだろう。一番難しいのもココなんですけどね。

| | コメント (0) | トラックバック (0)

2006年5月 3日 (水)

Winny! Winny! Winny!

「Winnyから情報漏えいを防ぐのは技術的に容易」--開発者の金子勇氏CNET Japanから

5/2放送のワールドビジネスサテライト でも、情報漏洩の話題があった。上記イベントも報告されていた。

各企業の情報漏洩対策を、

・ 対策提供側の話と
・ 対策を迫られている企業

の両面から構成されていた。

先週の一週間でどれだけの企業が漏洩していたのか?もWBSではやっていた。

わかりやすいサイトとして、Yahoo!個人情報の流出 ニュース を参照頂きたい

このブログでもWinnyの記事を多数書いている。

Winny のキーワードでページ内検索すれば過去記事一覧が見れる

前置きが長くなったが、Winny対策の特集をしていたが、私は非常に疑問!

1.Winnyだけが情報漏洩元なのか?
2.Winnyの対策だけすればOKか?
3.WinnyにWinny対策で、防げるか?

って事がわかっていないのでは?

IBMの調査によると、

企業における情報漏洩対策の実施率が、

日本では、15% 
米国では、80%

いかに日本の対策が遅れているか!って事

まるで、ミイラ取りがミイラになる!とでも言えばいいのか?
もしくは、対岸の火事のようだ。火は自分に引火しているのに・・・

ようは、臭いものにフタをするように、ニオイの元をしっかり見定めずに、消臭剤を撒いているようだ。

どれだけ水をかけても、消えない。

それは、本質がわかっていないからだ。

・ 燃えないようにすることは、もちろん大切
・ 燃えそうなものを認識することも重要
・ 燃えているものを消火することも必要

しかし、それで火は消えるのだろうか?見た目は消える

燃えているものに、水をかければ良いのだろか?燃えたものだけは消える。

今のままでは、カチカチ山状態で消えても再度火はつくだろう。

本当の火元は、Winnyではないはず!

これでは、燃えているものは変わらず燻り燃え続け、萌えてしまう。

| | コメント (0) | トラックバック (0)

2006年5月 2日 (火)

デジタル版の振込詐欺

金を払わなければデータを消去する CNET Japanの記事だ。

以前に書いたファイルを人質に取るスパイウェア その2でもある。

ファイルを人質に取るスパイウェアの挙動は、ファイルにパスワード付きZIP圧縮し、人質となったファイルデータを引き替えに、300ドルを要求するもののようだった。

ファイル=300ドル 

わかりやすい単位かもしれない。

今回のRansom-A(英語) は、

”性的な画像が表示されるという。その後は、10.99ドルを支払わなければ、30分ごとにファイルを1つずつ消去するという脅し文句が30秒ごとに現れる

とても、嫌らしい動きだ。

これって、十分に詐欺だろう!恐喝?脅迫?・・・

対策は、バックアップを取ること!らしいが、バックアップは常に取るものである。

なんども痛い思いをしているからこそ、出てくる言葉(笑)

しかし、バックアップを取り忘れた時に訪れる・・・

ハードディスクのクラッシュ!

ライブドアのサーバ その2 以前のブログにも書いたが、

悪夢は突然やってくるのである

なぜだか、本当なのだ。

しかし、悪意もここまで来ると限度を超えている。

完全に心理戦に持ち込んでいる。情報戦争って言葉もあるが、情報戦と言えば

エシュロン From Wikipedia

エシュロンの話は深すぎて・・・詳しく知りたい方は、”エシュロン”で検索すると良いだろう。

この心理戦は、インターネット上で行われている事を今回は書いたが、これはネットに限った事ではない。

オレオレ詐欺や振り込め詐欺なんかも同じだ。

ソフトが自動的にやるのか?人間が電話でするのか?違うだけ。

30秒に一回脅かし文句があり、30分に1回ファイルを消す。

冷静な判断が出来ない状態にする意味では、人的詐欺と変わらない。

実際の振り込め詐欺なんかでも、綿密な準備をして実行する。

加害者とされる本人には、絶対に連絡が着いては困るのである。

加害者とされる関係者を騙し、振込させる為だけに集中しているからである。

だから着金するまでは、加害者とされる本人のケータイなどに連絡が着かないように、詐欺側は、ずーっと電話し続け 電話中状態 をつくならなければならない。

万一連絡が着いてしまうと、なにもしてないのでバレてしまう。なにもしてないことが。

スパイウェアも振り込め詐欺も、同じだ。

こういう心理的な事を狙うのは、卑劣すぎる。許せないことだ。

しかし、こういう方法があり、騙される可能性があるから、いたちごっこなんだろう。

何を信じて、どれを基準に判断すればいいのか?

難しいところだ。

| | コメント (0) | トラックバック (4)

海外のケータイ事情・・・マルウェア

200種類に達したモバイルマルウェア、金儲け目的のものも

F-secure によると、

”ヨーロッパではすでに、トラフィックのうち3~5%がウイルス感染によるものとなっている”らしい

データ通信量の3-5%が、ウィルス感染とは凄い数字だ。

F-secureは、ウィルス対策と暗号化で有名なフィンランドの会社だ。

F-secureのアンチウィルス製品は、とても出来が良い!ずいぶん前からお世話になっている。

マルウェア とは?いつもながらWikipediaにて・・・

Fsecure_skull

こんなことになるようだ。

ちなみに、現在の日本では大丈夫のようだが、それは現時点の話。

”モバイルマルウェアの多くはBluetoothやMMS経由で感染を広める。「まさにインフルエンザと同じように、感染した機器に近づくと感染してしまう」”

これはたまらない。近づくと感染してしまうのであれば、近づけない!

が、近づいていることに気がつくのは、感染後だ!

”2月に発見された「RedBrowser」だ。これはロシアで発見された、携帯電話上で動作するトロイの木馬で、感染した端末から勝手に有料のショートメッセージを送信し、結果として攻撃者が儲かる仕組みになっているという”

まさに、ケータイ版のスパイウェアだ。

スパイウェアは、そもそも企業が営利目的で作ったものだから、忍法**みたいな動きをする。手動での回避は難しいだろう。

ケータイの厄介なところは、記事によると              

”攻撃者にとっては、PCに感染するよりも携帯電話に感染する方がいい。というのも携帯電話には課金システムがビルトインされており、電話をかけたり有料のメッセージを送信するなどして、お金を盗み取るのが容易だからだ”

う~ん、悩ましい。

さらに私が思うに、

1.近づくと感染

2.ケータイは通信端末

3.結構いろんなデータが入っている

ところだろう。

いろんなデータとは、メール本文データ、写真データ、これらに紐付けされた電話帳等・・・

最近のケータイは、とても高性能になった。昔のPDAを凌ぐような端末に変化してしまった。PDAと比べて劣る点は、画面の大きさくらいだろう。

PHSでもPDAのような端末が発売されているし、FOMAでもPDAのような端末がある。

目に見ない状態で、ケータイが勝手に感染し、ばらまかれたら・・・

Winnyどころではなくなってしまうだろう。

侮ってはいけないのは、ケータイでもパワーポイントやワード、PDFのデータが見れる端末やサービスがあるって事。

便利な裏側には、絶えず脅威が潜んでいるんだなぁ・・・とつくづく思う今日この頃だ。

| | コメント (0) | トラックバック (0)

2006年5月 1日 (月)

ついにメールアドレスもここまで・・・

24時間で消えるメールアドレス ってのが、あるらしい。

迷惑メール対策の1つとして、24時間の時限メールアドレスだ。

その昔、昔でもないかも(笑)

ルパン三世なんかで、このメッセージは聞いたら爆発する!

みたいのが、あった。

このアドレスも同じく、24時間で消える・・・

迷惑メール、スパムに私も相当な手間がかかっている。

スパムフィルターを提供しているプロバイダーでも、たまに重要なメールが引っ掛かる事があり、結局受信側(自分のメールソフト)で、削除し、目視している。

これって、アナログな世界。

嫌らしいタイトルを付けたメールが届き、何度も見ているとイヤになる。

スパムメールが引き起こす間接被害とは?

”スパムメールやウイルスメールが引き起こす厄介な副作用によって、企業で発生するコストは、年間50億ドルを超える”らしい

これは相当な被害だと思う。

スパム送信者は、勝手に送信元情報を利用するために、

不達メールが、その送信元情報のメールサーバに届くことだ。

これはたまらない。大変迷惑な事。

”身に覚えのない不達通知メールが大量に届いたせいで、メールサービスの処理能力低下や機能停止に陥った経験がある企業は、Fortune 500 企業の50%以上に及ぶという”

なんとも、凄い事だ。

”たとえば、スパム送信者が1000万通のスパムメールを送った場合、少なくとも200万通の不達通知が発生する計算になる”

よく、インターネットがもたらした革命!の1つとして、

コスト削減

と、言われる。確かにコストが削減出来たところもある。

が、スパム業者もこのコスト削減にあやかっている。それは、

ほとんどコストをかけずに、数百万通ものメールを送ることが出来るからである。

業者側は、そのうちコンマ数パーセントでも何らかのアクションを起こしてくれれば、それでよし。

しかし、業者1に対して、受信者は数百万いたとすれば、

立派なサイバーテロだ。

じゃあ、受信者全員が、業者に対して受信メールを返信すれば、業者側はパンクするはず。

って訳にいかないんだな、これが。

先に書いた、そもそもの送信元情報を変えているので、インターネット全体に余計な負荷をかけてしまう事になる。

先日、とある展示会でスパム対策の製品を見た。

結構出来が良い。

害虫駆除と同じで、コストをかけたくないが、

時間コストを計算すれば、対策製品を導入するのも1つの方法だ。

なんだか、本末転倒のような感じがするのは、私だけだろうか?

迷惑メール(SPAM)以前に書いた迷惑メールもどうぞ・・・

| | コメント (0) | トラックバック (0)

« 2006年4月 | トップページ | 2006年6月 »