« 2006年9月 | トップページ | 2006年11月 »

2006年10月

2006年10月31日 (火)

標語のチカラ

■=== 2009情報セキュリティのノウハウが詰まった解説本を販売中===>

■ 情報セキュリティ標語読本”45の日常行動から気づく、セキュリティ意識向上”

■ 情報漏洩の教科書 ”手口から知る情報収集の検証事例集”

最近このキーワードでのアクセスが、ものすごく多い。

情報漏洩 標語

先日書いた記事セキュリティ標語・49選の影響が大きいらしい。

日本セキュリティ・マネジメント学会のセキュリティ標語で、特別賞を...

情報セキュリティにおいて、技術的対策はもちろん大前提!

その利用する間の対策が、まだまだ進んでいない。

一番難しい問題でもあるからだ。

組織における問題の一番大きなことは、やはり間関係など、が影響する問題。

同じく、情報セキュリティにも的対策である、の問題が一番大きい。

難しいことだからこそ?なのか回避できないこともある。

企業は、CSR等の社会的責任か問われる時代。個においても自分で守らなければ自分の情報はコントロールできない。

しかし自分で守る限界ってのがある。それは...

一度出てしまった個情報など・・・

これはどうにもコントロール出来ない問題だ。 出てしまったからだ。

その手前でコントロールできる部分と出来ない部分がある。

自分が何もしてないのに漏洩することも多いが、自ら情報をばらまいている場合も結構あったりする。コントロール出来ることは、少なくとも自分では出さないようにするだけ。

コントロール出来ない事は、既に出てしまっている情報などはどうにも出来ない。

だったら、どうすれば良いのだろう?

正解はないと思っている。誰しもそんなことまで考えてやっているのだろうか?少なくとも私は多少の気はつかっているが、そんなことまで出来ないし、やってない。

しかし全貌を把握することくらいは誰にでもできること。

この全体を理解するには、とても時間と根気のかかること。

そんなことは一部のたちだけがすればいいことで、だからこそプロフェッショナルなのではないだろうか?

となると、標語などでわかりやすく理解する方法が一番良いのかもしれない。

手を挙げて横断報道を渡りましょう!

とか

いかのおすし

などである。

いかのおすしは、子供向けの防犯語呂合わせ。

数字あそびなども同様である。

やはりわかりやすくするには、こんな方法も1つなのかもしれない。

わかることと、できることには大きな隔たりがあるのも事実。

情報セキュリティは大切なことだが、あまり面白いものではない。ポジティブでないものになってしまう。安全の場合、面白いものってないのでは?と思っている。

面白い言葉で表現すると、情報セキュリティは冗談でないジョークや、ブラックユーモアにしかならない。笑えないものになってしまう。

だからこそ、まずはわかることからはじめるしかないと考える。

わかりやすい言葉で理解する!

| | コメント (0) | トラックバック (1)

2006年10月28日 (土)

RFIDパスポートの善と悪

RFIDパスポートが本格始動--米国ビザ免除対象24カ国が発行CNET Japanより

米国土安全保障省が米国時間10月26日に発表したところによると、セキュリティとプライバシーに対する懸念をよそに、米国からRFID内蔵パスポートの採用を求められていた国々のうち3カ国を除くすべての国が、いよいよ電子パスポートを発行するという。

米国土安全保障省は声明の中で、米国にビザなしで渡航できる27カ国のうち、アンドラ、ブルネイ、リヒテンシュタインを除く国が、「e- Passport」を発行すると述べた。e-Passportには、所有者の情報やデジタル写真といった識別情報などを保持するRFIDチップが埋め込まれている。

RFIDタグのパスポートへの内蔵については、所有者のプライバシーやセキュリティに関する懸念がある。最悪の場合、このチップによってテロリストがパスポートの所有者を遠隔から確認することが可能になり、これを爆発装置の引き金として悪用することも可能にしてしまう、と専門家は言う。

ついに始まるようだ。RFIDタグ内蔵パスポート。

これは、このパスポートに限ったことではない、いろんな事を含んでいる。

プラス面を考えると・・・

1.イミグレーションでの時間短縮効率化による利用者の利便性向上

2.偽造が困難になる。いたちごっこの可能性は大きいが・・・

3.発行国からすれば、現状よりも出入国の管理が容易になる

マイナス面で考えると・・・

1.プライバシー情報がRFIDパスポートには入っている。

2.RFIDは非接触なので、リーダーをかざされると読まれる危険。

3.固有な番号によって、記事にある起爆のトリガーになりうる。

ここでも、管理側(国)と利用者側の立場によって、見解が異なってくる。

どうしようもない事としては、日本で言う住基ネットのカードのように、使いたくないから発行しなくて良い!って訳にはいかない事だ。

海外に行かないのであれば、それもありだが、住基ネットのカードはカードがなくても住民票などの発行は可能だが、パスポートはパスポート以外のもので代用出来ないからだ。

貼ってある写真と同じ見えない写真データが、そのRFIDには記録されている。

プライバシーの問題にまで範囲は拡大する。

プライバシーの範囲には、様々な解釈が存在するが、私の解釈は

自分自身が触れられたくないイヤなことは、プライバシーに該当する。自分はOKな個人情報=相手もOKとは限らない。って言うか違うはず。プライバシーの範囲を簡単に言うと、価値観みたいなもので、人それぞれに尺度も考え方も違うもの。

と、私は考えている。

非常にデリケートな問題であり、今後最も考えなければならない重要なこと。

私もマイナス面ばかり強調しているようだが、プラスとマイナスの両面があるってことを利用者が認識すべきことで、すべてが悪い訳ではない。

これも、情報セキュリティに必ずつきまとうこと。表と裏の関係だ。

表裏一体とは、こういうことを言うのかもしれない。

これがイヤでも、国外に行く以上は絶対必要なパスポート。

利用者に選択権など与えると余計に混乱するから、統一規格になるのは至極当然のことだが・・・

デジタル情報ですべて管理されていると思うと、何とも複雑な気持ちになる。

テクノロジーは便利になるための手段やツールのはずなのに、立場が変わって管理する側からすれば、これはとても便利なこと。一方そのテクノロジーは人間を自由から束縛している一面もある。

インターネットで情報が溢れ、情報に埋もれていたり、ネット中毒になったり、すべてが良いことだけではない。もちろん恩恵にも与っている部分も多くある。

すべてを知っておくことが、多少なりとも自分のプライバシーを守ることや危険性を知ることができるはず。

しかし、このパスポートの計画を進めている人たちは、自分たちも率先してこれを本当に使いたがっているのか?職務上計画を進め、導入に至るのだろうが、その人達が自分で使う場合は、立場は利用者と同じになる。

それでも本当に喜んで使いますか?聞いても仕方ないが、疑問に思うところ。

| | コメント (0) | トラックバック (0)

2006年10月24日 (火)

情報セキュリティのCIAとは?

「情報セキュリティのCIA」を説明する文章として正しいものは?ITproセキュリティより

情報システムのセキュリティを考慮する場合,「情報セキュリティのCIA」を満たすことが重要です。では,ここでいう「CIA」とは何のことでしょう?

(1)CIAとは,「暗号(Code)」「刻印(Imprint)」「認証(Attestation)」の英語表記の頭文字をとったもの

(2)CIAとは,「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の英語表記の頭文字をとったもの

(3)CIAとはアメリカ中央情報局(Central Intelligence Agency)で採用されている機密保持手法のこと

まるで情報セキュリティの試験のような感じだ(笑)

しかし、意外と解っていないのも事実。文字で理解している事が多い。

これに限った事ではないが、よくある話。

ちなみに回答率は、

(1)10% (2)87% (3)2%

らしい。

もちろん、(2)が正解だが、何となく(3)っぽいイメージがあるのは私だけだろうか?

昔、何の意味か解らないが聞いたことを思いだした。

泣く子も黙るCIA

本当に黙るのか?黙らせるのか?・・・

信長と秀吉と家康のホトトギスの話のように聞こえてならない。

情報のCIAを実は私も正しく理解していない1人だろう。

機密性と可用性のバランス。と言うか私はトレーとオフの関係にあると思っている。

安全性と利便性と意味は同じ。便利で安全が一番良いが、どうしても便利にするには多少なりとも安全性に影響する。

最近では、以前よりも多少はトレードオフしなくても良いものが出てきている。

完全性ってのが、未だによくわからない。ようはデータが保全されたように保たれているってこと。

個人情報保護法でも、個人情報のデータの完全性は条文に入っている。

最近の特にIT系は、横文字が多くて覚えられない。

同じ文字の並び方でも、意味が変わってしまうものが多い。

何でも英語に変えて、その頭文字だけ使っているような感じである。

パスワード作成には応用出来るかもしれないが、忘れそう(笑)

確かに覚えておく上で必要だが、難しい日本語に慣れない英語で組み合わされると・・・

暗号にしか見えない・・・ときもある。

インターネットが始まった頃に、今よりも文字化けがよく発生した。

これも文字コードの規格が何個かあり、今でも希に起きる。Webメールなんかではよく起きる。Webのファイルなんかでもたまにある。

日本と英語圏では文字コードの規格が若干異なる。

ビットとバイトなんて文字で説明になってしまうのだが、ここでは割愛する。

連続しているゼロとイチの、1文字単位の区切り場所が違うことによって発生する。

その文字化けしたWEBをみた英語圏の人たちは、

日本人はやっぱり凄い!こんなの読めるんだから・・・

うーん、日本人は侮れない。

なんて話もあった(笑)

こんなの日本人でも、読める訳がない。読める人がいたら紹介してもらいたい位だ。

どんな横文字でも、読めない文字でも関係ないのだ。

一番大切なのは、最も原始的方法である、なぜ機密にしなけれならないか?なぜ可用性を考えなければならないのか?

この2つだけで、お腹いっぱいの必要充分である。

| | コメント (0) | トラックバック (0)

2006年10月22日 (日)

空から全ては見られてるのか?

ダ・ヴィンチ・コードのDVD販促でまたもGoogle Earth利用CNET Japanより

グーグルとソニー・ピクチャーズエンタテインメントはこのほど、無料3Dソフト「Google Earth」を利用したDVD販売の共同キャンペーンを開始した。同様の取り組みは米国ですでに展開 済み。米国の事例を踏まえ、国内で利用促進活動を強化しているGoogle Earthを用いた。

グーグルは9月14日にGoogle Earthの日本版を始めたばかり。世界中の地理空間情報をリアルに閲覧できるグーグルアースは、ネット利用者が映画の世界観を体感するのに適しており、利用促進につながると判断した。

とても面白い試みで、今後もっと普及すれば良い。

Google Earthで見る視界は、普通じゃ見られない。

まるで鳥にでもなったような感じがする。カーナビのバードミューのように、見ることが出来る。

ダ・ヴィンチと言えば、鳥とか飛行ってキーワードも一方であり、まさに彼は天才だった。

このGoogle Earthは、飛行機の窓から見れる景色よりも、自由自在にViewポイントを変えられる所が面白い!

自分の家を上から見たり、バーチャル海外旅行まで出来てしまう。

動きがまるで生きているかのような、何とも言えない生態系みたいだ。

何かの本で読んだ事があった。アメリカでの話だったと思う。友人の家に遊びに行く前に、Google Earthでプールの様子を見たって話。カバーを掛けてあるか?そこまで見れる。

もちろんリアルタイムのものではないが、これが無料で使える。有料のサービスもあった。詳しいサービス内容は知らない。

別にこれで悪いことをしようとは考えていないが、いろんな事が出来そうだ。

Google Earth

元々は、軍事目的のものだが、日銭を稼ぐために解放していたらしい。今はどうか知らないが...

過去記事でも書いたが、監視カメラの地球版のような感じすらする。

街頭にある監視カメラのように、顔まで鮮明に見える訳ではないが、ある意味充分なレベル。

元々が軍事で使われていたもの、これはインターネットも同様。

この民間利用出来るってことは、軍事レベルは遙かに高いのだろう。

そう考えると怖いこと。軍事レベルの画像精度は相当高いとしか。。。

想像の域を超えられない。

空から衛星で撮っている訳だから、雨が降ってない日でも大きな傘を差して街を歩かないと、真上から見られてしまう。

私も最近長い友達である髪が、短い友達になりつつある。

自分でもまともに見たことがない、自分のてっぺんを見られていると考えると、あまり好きでない帽子でも被るしかないのだろうか(笑)

エスカレータの下りなんかで、前に立った人を見るくらいが自分にでも出来る最大限のGoogle Earth。

最近の凶悪な事件でも、監視カメラによって犯人が捕まったり、街頭のカメラで犯罪が減った話もよく聞くこと。

自分から見られる場所のものに撮られるのであれば、まだ撮られている自分も相手(カメラ)がわかるから、安心って感じだ。

もちろん、悪いことをするつもりはない。

音楽室のベートーベンが、いつも自分を見ているような感じがしていた。昔の話。

これは簡単な事で、自分がベートーベンを見ているから教室のどこに行っても目が合ってしまう。不気味な感じすら当時はした(笑)

それが見えない程の高さから撮られている。天体望遠鏡でも使えば見れるのだろうか?見たからって、だからどうした?ってことだが・・・

子供のころに、悪いことをすると神様が見ているのだ!とよく言われたものだ。

Googleは、やはり神になっていくのか?

新興宗教Google教これはパロディだが、決して笑えない時代が来るのかもしれない。

とりあえず、明日から帽子を被ることにしようと決意した(笑)

| | コメント (0) | トラックバック (1)

2006年10月20日 (金)

YouTubeの醍醐味って何だろうか?

「グーグルチューブはメディア企業から訴えられるのか」--著作権侵害をめぐる訴訟の可能性をさぐる:CNET Japanより

ついに来たって感じである。見たかったあの番組やあのシーンが、見れちゃうのだからたまらない。

百聞は一見にしかずで、どれほど言葉で聞いたり、文章読んでもわからない、伝わらないものが、映像では、この点を克服している。

実際にワイドショーなどの部分切り取り映像を何度も見ているが、著作権者のテレビ局などは、たまらないだろう。

日経ビジネスの09/25号に書いてあったのは、なんとYouTubeに消費されるインターネット回線のトラフィックが、

日米間を繋ぐ回線の1/6を使ってるらしい

これは相当大きい数字だ。

確かにデータ自体が動画でもあり、そもそもデータ量が大きいが、日米間の回線が現在どれくらいあるのだろうか?おそらく2桁ギガ?3桁ギガ?正確な数字は専門家の方、コメント下さい。

で、JASRACやテレビ局などが共同でYouTubeに削除要請、約3万ファイルを削除INTERNET Watchより

こんな記事もある。

脱法行為は、もちろんイケナイこと。著作権を侵害してはならない。これ当たり前。

ここで私が勝手に思う疑問として、

YouTubeの醍醐味って何だったのか?

って事。YouTubeそのものが、YouTubeでなくなる?

しかし、これは本来の姿のはず。一時期のオークションに違法出品が多くなったのと変わらないだろう。実際に監視は強化されているようだが、なくならない。

なくなりようがない。ここでもイタチごっこ。

確かに素人の映像も面白い。

テレビやビデオなど著作あるもの。だからこそ見る人が多かったのでは?

デジタルメディアの怖いところは、消しても、消してもまた出現してくるところ。

YouTubeでなくとも、WinnyのようなP2Pソフトでも流通しているのだ。

P2Pソフトより簡単なのは、専用のソフトが必要なく、ブラウザだけで見れること。

これはとても大きなこと。

著作の問題もそうだが、最もヤバイと思われる事は、

放送禁止になったものや、廃盤になったもの、二度と公式には出てこないもの

等の、意味があってそうなったものが、復活してしまうこと。

アニメなんかでも、幻の○○話。などの1回は表に出たが、何らかの理由により消えてしまったものだ。

インターネットがない頃は、ビデオなどにコピーして、一部のマニアだけが持っていた秘蔵モノだった。流通もなかったので、知り合いや小さなコミュニティで動いていた。

インターネットがもたらした、流通革命と同じ事が、コンテンツやソフトウェアにまで影響している。著作のないものや、プロモーション活動の一環で行われているモノであれば、どんどん流通してもらった方が良い。

そうでないモノもあるのだ。

ビデオデッキの普及時に、コンテンツであるテープ、**ビデオなどから普及したのは有名な話。

P2Pソフトも、本来の目的とは違った使い方されている。

映像が簡単に見れる、今回のような場合はどうなるのか?

パソコンのモニターで見ることが出来るのであれば、どんな方法であれコピーは可能って話で、これは音楽モノにも共通すること。

デジタルコピー防止があっても、ここでもイタチごっこ。

今後の健全な動きを見ていきたいところだ。

| | コメント (0) | トラックバック (0)

2006年10月19日 (木)

パスワードってメモるの?米国の場合

パスワードをメモる社員は3分の1――米調査報告書ITmediaエンタープライズより

企業の重要データを保護するためのパスワードを書き留めたりPCに保存している従業員は3分の1以上に上り、セキュリティが台無しになっているという調査報告書が10月17日、発表された。

調査会社の米Nucleus ResearchとKnowledgeStormが企業ユーザー325人を対象に実施した調査結果をまとめた。それによると、パスワードを書き留めているというユーザーは3分の1を超え、パスワードを記録していると答えたユーザーのうち3分の2は、PCや携帯端末にテキストファイルで保存していた。

こうしたやり方は「マットの下や花瓶の中に鍵を隠すようなもの」とNucleus Researchのアナリストは指摘する。

セキュリティ強化のために、数字と文字の両方を使うことを義務付けたりパスワード変更の頻度を高めるといった措置を取っている企業も多いが、ユーザーがパスワードを書き留めている状況では何の役にも立たないと報告書では解説。企業がセキュリティを強化したいと思うなら、バイオメトリクスといった別の認証方法に目を向けるべきだと結論付けている。

相変わらずパスワードの問題が後を絶たない。

そもそも、覚えられないからメモるのであって、覚えられる簡単な法則だけ知っていれば難しいものではない。

過去記事でも書いた、簡単な方法。

あなたのパスワードは安全?
マイクロソフト(MS)から強力なパスワードを作成する方法パスワード チェッカーが提供された。まず、強力なパスワードの作り方から...

なぜ?難しいのか?人間の脳的に言うと7文字が記憶の限界らしい。

7文字でも、英・数字と記号を入れれば、そこそこ強いものは作れる。

が、じゃあ作って下さい!なんて言うと、皆考えてしまう。

だから、メモってしまう。これじゃ結局意味がなくなってしまう。

では、どうするのか?

銀行などの数字4桁のものでも、自分に関連のないものは、わからない。

で、誕生日だったり、電話番号の下4桁だったり、しちゃうのである。

まだ、歴史の年号なんかのが、推測し難い。

良い国作ろう鎌倉幕府・・・みたいな、1192などだ。

誕生日でも、私は7月3日だが、7×3=21のように、7321でも良い。

ちなみに、この数字私はパスワードに使っていない(笑)

ちょっとのひねりで、充分なのだ。ひねり過ぎるとメモってしまうから。

また4桁であれば、ひねり過ぎても、たかだか4桁。

コンピュータなどの、英数字が使えるモノであれば、14桁くらい簡単に作れる。

私は甘いものが好きで、ネタとして良く使うものがある。

ージーーナーのャンボリン(150円・1個)が好きなのだ(笑)

この場合、CCJP¥150/1たったこれだけ。

これでも10桁のパスワード。先のマイクロソフトのパスワードチェッカーでも4段階の強だ。

これが、CCJP¥150/1+Happyになると、最強のパスワードらしい。

何とも安上がりな男である(笑)

ようは、組合せの法則だけを知っていれば、考えなくても、無限製造出来る。

携帯電話のキーパッドを使った作り方は、過去記事に書いてあるので、参考にどうぞ。

数字から、文字も混ぜよう、パスワード

ランダムな、文字が並ぶと、最強だ

ログインの、IDと同じ、パスワード

標語だけでなく、実践しなければ意味はない。

早速、実行しよう!

■=== 情報セキュリティのノウハウが詰まった解説本を販売中===>

■ 情報セキュリティ標語読本”45の日常行動から気づく、セキュリティ意識向上”

■ 情報漏洩の教科書 ”手口から知る情報収集の検証事例集”

| | コメント (0) | トラックバック (0)

2006年10月17日 (火)

怪しいサイトの本当の脅威

危ないのは“怪しいサイト”だけではない,一見“無害な”サイトにも罠ITproSecurityより

セキュリティ組織の米SANS Instituteは現地時間10月14日,ニュース・サイトに見せかけた悪質なWebサイトが確認されたとして注意を呼びかけた。Webサイトにアクセスすると,悪質なプログラム(マルウエア)をダウンロードされる恐れがある。

 この悪質なサイトは10月12日に登録されたとされる。ニュース・サイトに間違えそうなドメイン名(URL)が付けられ,サイトの内容も,真っ当なニュース・サイトに見える。それもそのはず,そのサイトでは,実在するオーストラリアのニュース・サイトの内容をフレームでそのまま表示している。同時に,悪質なプログラムをダウンロードさせようとする攻撃者のWebページもフレームで読み込んでいる。

 今回のように,怪しそうには見えないサイトに“罠”が仕掛けられるケースが増えている。このためSANS Instituteでは,馴染みのない(よく知らない)サイトへアクセスする際には十分注意するよう呼びかけている。・・・

数年前といっても、2000年の初め頃、官庁Web改ざんの事件が多発した。

ちょうど不正アクセス禁止法の施行直前の時期だった。セキュリティ業界には特需かぁ?なんて話題になったことを覚えている。

最近の対策動向は把握してないが、当時Web改ざんを回避するためにどうするか?って事で、改ざんは、書き換えられなければ良いのだから、CDROM等の書き換え不可能なものに書けばいい!なんて話もあったが、現実的でなかった。

ページコンテンツを更新するたびに、CDを焼かなければならないからだ。

当時、企業のトップページにおいては書き換えられた場合に、企業イメージ失墜などの話もあった。それは今でも変わらないだろう。

話題になりにくいだけで、今でも改ざんは起きている。

あの頃は、改ざんページを保存していたページもあったが、追いつけないほどの量があったのか?ページは当時のままになっている。http://www.attrition.org/mirror/attrition/

トップページを、プレイボーイの画像などに張り替えられたりした。是非見て。

しかし最も影響が大きく一番ヤバイ改ざんとは、ニュースサイトや政府の公式コメントなど、企業の場合は業績報告やこれも公式なコメントなどだ。

わかりやすいトップページなどは、イタズラ?でも済まない問題だが、書き換えられたことがわかりやすい分、まだいいかもしれない。

自分でもエクセルなどの数値を間違えて入力したら、そんなの覚えてない程に記憶なんかしてない。

同じようなことで、一部だけでも書き換えられた場合はわからない。しかし現在では、技術的方法により、なんらかの回避方法はある。しかし、書き換えの発見後の問題。

その見たものを疑う余地はないものだった場合、また数字やニュースなどのはじめて見るものなどは、それを信用するしか方法はなく、誰しも疑わない。

しかし、こんなところが改ざんされると、いろんな影響が飛び火し、経済損失すら招いてしまう。株価に影響しそうなものだったら真夜中に改ざんされ、その報告や告知がマーケットが開く前に出来るだろうか?

最近では、改ざんされたページからウィルスなどを押し込んでくるものが多い。これも時代が変わったのだろう。

流れを見ていると、ニュース記事の改ざんなんかは、トップページが大々的に変われば気づくが、ニュース内容の一部の数値や名称、国名、などだったら・・・

とんでもない問題にまで発展しかねない。

これは改ざんに限った事ではなく、どの情報についても同様の事が言える。

複数の情報を見て比較する

これは改ざんの回避だけでなく、通常の情報収集でも言えること。

1つの情報だけが、本当に正しいかどうか?誰にもわからないからだ。

自分がその情報を読み込んでいる立場と、まったく対極になる逆の見方である、情報を客観的に見ることをするだけで、新しい発見と、間違った情報をマージできる。

しつこいようだが、改ざんに限ったことではない。

検索エンジンでTOPに表示される情報が、必ずしも正しいものか?わからないのである。

| | コメント (0) | トラックバック (0)

2006年10月16日 (月)

あれ?頼んだっけ?

「パソコンのご注文ありがとうございました」---偽の確認メールに注意ITproSecurityより

フィンランドF-Secureは現地時間10月13日,悪質なプログラムが添付された偽の注文確認メールが出回っているとして注意を呼びかけた。注文の確認書に見せかけた添付ファイルを開くと,別の悪質なプログラムが勝手にダウンロードおよびインストールされてしまう。

 メールには,2482ドルのソニーVAIOの注文を受け付けたとする内容が英語で記述されている。そして,詳細については添付された「order_37679041.exe」を開いて確認してほしいとしている。拡張子が「exe」から分かるように,このファイルは実行形式の悪質なプログラム。F-Secureのセキュリティ・ソフトでは「W32/Small.DXC」として検出されるという。

 Small.DXCは,実行されるとインターネットから別の悪質なプログラムをダウンロードして実行する,いわゆる「ダウンローダ」と呼ばれるプログラムの一種。メールの内容にだまされてorder_37679041.exeを開くと,攻撃者の意図したスパイウエアなどを仕込まれてしまう

 オンライン・ショップの確認メールに見せかけた偽メールは,以前から出現している(関連記事:「ご注文のiPodを発送しました」,トロイの木馬を添付した偽メールに注意)。覚えのないメールに添付されたファイルは,ファイルの種類にかかわらず,決して開かないようにしたい。

これと同様なものに、おめでとうございます。当たりました!ってなものもある。

あれ?何だろう?って思っている間に、クリックしてしまう。

この手のものは、以前からあり、ちょっと注意深い人だとクリックしない。

用心深いというか、信用しないから、クリックしないのだ。

この手の問題においては、それは良いこと。他の場合はわからない(笑)

当選おめでとう!系のものも、何に当選したのか?わからないけれど、何か良いものに当たったなぁ・・・ってなものが多い。

プラズマテレビが当選しました!送料を振り込んで下さい。のようなものは、結構ある。

通常の懸賞なんかでも、送料は自己負担だったりするので、2-3万くらいだと振り込んでしまうものだ。

なんたって、プラズマが当たっちゃったのだから・・・

振込と同時に、送り先である個人情報まで、喜んで入力してしまう。

たしか5-6年前の話だが、iMacの懸賞サイトで個人情報だけ持って行かれた事があった。これは誰も当選しなく、iMac欲しい人リストとして1万人だか2万人ほどの情報を持って行かれた。

やはり、おいしい話しはないのだ。

しかし、これはネットに限った事ではない。

よく店頭なんかで、くじ引きで携帯やスカパー!なんかが無料で当たるものがある。

最近はあまり見かけない感じがする。

99.9%位の確率で当選する。他のクジもこのくらい高確率だと嬉しいのだが・・・

勢いで、おめでとうございます!なんて言われちゃって、鐘を鳴らされちゃったりすると、一瞬嬉しくなり、おお!当たった!なんて思う。

しかし、よくよく聞くと無料は無料だが、契約期間の縛りがあったりして、本当に無料が安く付くのかわからない。

どうもインターネットが絡むと、先の当選よりも疑わないようだ。

実際に、疑わなくても当たっているケースもあるから、間違いやすいのも事実。

メール来た、当たりましたと、喜んだ

今一度、こんな場合は、疑ってみるしかないのかもしれない。

| | コメント (0) | トラックバック (0)

2006年10月15日 (日)

欲しくないオマケ付き

マクドナルド賞品のMP3プレーヤーがウイルス感染ITmediaエンタープライズより

日本マクドナルドは10月13日、同社が8月に実施したキャンペーンで賞品として配布したMP3プレーヤーの一部がウイルスに感染していたことを明らかにした。

  このキャンペーンは8月4日から31日まで実施された。当選者の1万名には、9月29日からMP3プレーヤーが発送されたが、その一部がウイルス「WORM_QQPASS.ADH」に感染していた。プレーヤー本体をPCに接続すると、PCもこのウイルス(ワーム)に感染する恐れがある。

 ウイルス感染原因はまだ調査中。なお、賞品のMP3プレーヤーは香港のマーケティングストア社より納品されたものという。

最近はコンビニなんかでも人気があるものに、食玩がある。

食玩とは、古い言い方だとグリコのオマケのように、キャラメルにオマケがついてきた。個人的には好きだったもの。

今では玩具がメインになり、中身は1枚とか、アメ1個など。その分オマケはとてもオマケに見えないようなもの。

もう、それはオマケではなく、少数のプレミアム商品のようになっている。

ペットボトルの飲み物でも、お茶なんか買うときに、ついオマケがついていると買っちゃうものだ(笑)子供の頃からオマケに釣られるのは変わっていないようだ。

いらないオマケ付きハードディスク
最近のコンピュータやインターネット系の事件やトラブルはビックリするモノが多い。ポータブルハードディス...

ちょうど1年前くらいにも、オマケ付きの話がありブログに書いたことを思い出した。

欲しくないものまで付いてくる。これは誰もが欲しくないはずのもの。

マクドナルドは昔から個人的には好きだ。

最近では聞かなくなったが、”ポテトはいかがですかぁ?”・・・

セットメニューが増えたから、言わなくなったのかもしれない。

笑い話で、ハンバーガーを20個買いに行った人に、”店内でお召し上がりですか?”なんて、マニュアル通りに聞いたなんて話もある。20個も食える人は、小錦くらいじゃないだろうか?

欲しくなくても付いてくるもの。しかし今回も前回も、オマケに問題はあるが、本当に問題はオマケなのだろうか?

このコンピュータウィルスは、オマケでなくても、他でももらっちゃ可能性があるものだから、単にその対策をしているだけで、オマケは機能しなくなる。

日常生活で言えば、電車の中で風邪をうつされたとか、トイレでおつりが来ちゃったようなもの。

日本の国民性として海外と比べて、狩猟民族と農耕民族なんてよく言われること。

外からの敵に対して、どうしても農耕は狩猟よりも弱い。

これ仕方ないこと。だからこそ、敵から身を守ることを強く意識しなければ、自己防衛はできない。

| | コメント (0) | トラックバック (0)

2006年10月13日 (金)

日本語詐欺的電算機安全道具?

タイトルにちょっと?かなりの無理がある(笑)

日本語のUIを持つ詐欺的セキュリティソフト「DriveCleaner」INTERNET Watchより

Drive Cleanerは、システムをスキャンしているように装うアニメーションと、偽のスキャン結果を表示することで、トライアル版のインストールを強要する。トライアル版をインストールしたユーザーに対しては、システムが危険であるかのようなスキャン結果を表示し、正規版の購入を促す。

日本語のインターフェイスを持つ詐欺的なソフトウェアとしては、最近では「SystemDoctor 2006」が出回っており、ウェブルート・ソフトウェアが9月に警告していた。

いろんな種類のものが出回ってきた。

結局、共通している部分は、

1.善意な感じから手をさしのべ、

2.危ないと脅かし、

3.買え!

って感じだ。

マッチポンプ式、ビジネスモデルがまさにこれ!

セキュリティソフトの押し売り注意!
心理的弱点を狙って押してくる!これって?詐欺かな?と思ってしまう。しかし、クリックする画面の何処かに、とても小さく何か書いてある。インストールに関する責任...

こんな感じで、心理的弱点を狙う。

わからないから仕方ないのだが、そこを狙ってくるとこが、嫌らしい。

不自然な日本語が目立つこのキャプチャー図は、何とも言い難いが、このマンガの人を見ると、どうも**の人っぽく思うのは、私だけだろうか?

不自然な日本語は、ネットの翻訳を使った時のような感じだ。

どれだけそれっぽくしても、日本語がおかしくても・・・

私の気になる1カ所は、ただ1つ。

このマンガの人は、どこの人だろう?

やっぱ、描く人に近くなるのだろうか?

よく人形なんかを作ると、作った人に似るらしい。

勝手な思いこみの1つでしかない話。でも気になっちゃうのだ(笑)

| | コメント (0) | トラックバック (0)

2006年10月11日 (水)

Security2.0?

シマンテック、「Security 2.0」戦略製品およびサービスを発表CNET Japanより

Symantecの最高経営責任者(CEO)、John Thompson氏は、ウェブキャストもされた同イベントで、「Security 2.0は新しいサービスや新しいキラーアプリのことではない。ソフトウェア、サービス、そして提携を組み合わせて顧客にとって最も重要な資産、つまり彼らの情報とやりとりを守ることだ」と語った。

セキュリティの戦場はもはや、コンピュータ上だけでも、企業ネットワーク上だけでもないと、Thompson氏は語っている。オンラインにある情報と、そこでのやりとりを守るには、一段と洗練されたセキュリティプロセスや技術が必要だという。

オンライン経済のポテンシャルに言及し、「これらをすべて機能させるために重要なことが1つある。信頼だ。信頼は、情報が守られ、やりとりが安全で、自分自身や自社に対するリスクが最小限に抑えられていると、つながった世界のなかの全員が感じたときに初めて生まれる」と述べている。

Web2.0にはじまり、最近では何でも2.0になっている。

数字だけ1→2に上がっても、意味がないのではないかと思ったりもする。

シマンテックは、昔から使わせてもらっている。ノートン先生が個人的にファンだったりする。

信頼は、情報のCIAでもよく言われる1つだ。

C: Confidentiality(機密性)

I: Integrity(完全性)

A: Availability(可用性) の3つ。

信頼は、このCに含まれる。

もちろんこれは重要なことであり、基本でもあったりする。

それ以上に大切な事がある。

人に数字なんかつけたくないが、Human2.0というか、情報リテラシー2.0なんてのが良いかもしれない。

そもそも、なぜセキュリティの対策が必要で、守らなければならないのか?

何となくはわかっていても、必要性はわかっていても、本質はどうなのか?

ここで言うセキュリティは、情報セキュリティにする。

セキュリティ対策は、災害から身の安全まで相当に幅が広い。

情報のセキュリティは、1つの尺度として

漏洩した場合の金銭的価値とか、

損害が生じた場合のコストとか、

数値化し難い、企業ブランドの失墜など・・・

情報の価値だけで言うと、その情報を扱う立場や利用する立場、問題が発生した場合の立場など、立ち位置によって変化してしまうのだ。

客観的に判断するには、全体が見えない限り仮説でしかない。

技術進歩が先行し、人の情報リテラシーがまだまだ1にも達していないと思う。

これをもっとわかりやすく追求していきたい。

| | コメント (0) | トラックバック (0)

2006年10月 9日 (月)

Googleカレンダーで情報流出?

【警告】Googleカレンダーで情報流出?大西 宏のマーケティング・エッセンスより

大西さんのブログをいつも楽しく読ませて頂いている。

この【警告】Googleカレンダーで情報流出?には、驚いた!

最近は随分と減ったのか?誰も気にしなくなったのか?ブラウザから個人情報が一覧出来るページなんてものがあった。単に技術的な設定ミスが原因。

通販サイトなどの個人情報と購買データなどが、一番大きく事件として取り上げられるのだが、実はあまり知られていない漏洩もあった。

最近の話ではないが、今でもあるのかもしれない。私が知らないだけ。

出会い系サイトでの携帯アドレス流失などがあった。数年前は携帯メールアドレスが電話番号だった頃もあり、アドレスと電話番号の両方を1データからGETできた。

何とも凄かったのが、アダルト通販サイトのデータが漏れちゃったのを見たことがある。中身は、買った商品名・値段・数量・送り先・連絡先・メールアドレスなどであった。

これは商品名が何とも凄くてここでは書けない(笑)

個人情報+購買情報で、プライバシーに触れるような情報になる。

が、意外と表に出てこないのだ。

このときに興味深かったのが、co.jpなどの会社アドレスで申し込んだ人がいたことだ。別に会社アドレスがイケナイ訳じゃないが、こんな風に漏洩すると、普通のプロバイダーメールやフリーメールアドレスとは訳が違う。

モノがモノだけに、就業時間中にこんなの買って良いの?なんて、くだらない話にまでなりかねないからだ。漏洩データには申し込みの日時が入っていたのだ。

ここまで書いたのものは、自分ではどうにもならない相手側の問題だった。(買った行為は別にして)

で、Googleカレンダーだが、自分で自分の情報を全世界共有な形で、書いてしまっている。Googleが漏洩した訳じゃない。

自分だけの情報や行動予定であれば、誰にも迷惑や損害はないだろう。

例えば、コンビニに行く。寝る。犬の散歩・・・まるで小学生の日記のようだ(笑)

しかし、予定表に入れる予定が上のような事は書かないだろう。特にビジネスマンの場合。

仕事の予定とか、個人の予定とか、家族の予定とか。。。

自分のパソコンだけで見ている分には、他の誰かが見れる?なんて考えないだろう。

これは今回のカレンダーだけでなく、物理的に別のパソコンなどから見てみると簡単にわかるのだ。

情報漏洩と同じく、あれ?見えてるよ!なんて言われてから、本人ははじめて気づく。

この危険な情報をみんなに教えましょう!なんて言うと、チェーンメールになりそうでこれも脅威・・・

| | コメント (0) | トラックバック (0)

2006年10月 8日 (日)

セキュリティ標語・49選

| | コメント (0) | トラックバック (0)

セキュリティ標語

| | コメント (0) | トラックバック (0)

2006年10月 7日 (土)

SNSでの個人情報公開には危険が伴うという認識が必要、米調査

SNSでの個人情報公開には危険が伴うという認識が必要、米調査INTERNET Watchより

調査によると、SNS利用者の57%は犯罪の犠牲者になることに対して不安を感じているが、一方で利用者の74%はメールアドレスや氏名、誕生日などの個人情報をSNSで公開しているという。また、成人利用者の83%が、他人のプロフィールページから未知のファイルをダウンロードしたことがあるとしている。
 このほか、子供がSNSを利用している両親の51%は子供のプロフィール公開を制限しておらず、36%は子供のSNS利用について全く注意をしていないとして、子供達のプロフィールが危険な状態にあると警告する。
 また、SNSの利用者のうち48%は18歳以上、成人利用者のうち53%は35歳以上で、SNSの利用者は若年層には限られないとしている。 NCSAのRon Teixeira氏は、「SNSの利用者は若年層以外にも広がっているが、ユーザーはSNSで個人情報を公開することには危険が伴うということに対する認識が必要だ」とコメントしている。

SNS監視で子供を守る
SNS監視ソフトでわが子を守れるか...

人はなぜブログやSNSの書き込み内容を信じるのか?
ブログやSNSの情報に信憑性を感じ...

「SNSを利用してスパイウエアを配布する手口が登場」
スパイウェアは”本来の明確な目的”を...

SNS系の過去記事になる。

これは米国での話だが、米国だけの問題ではなく、日本でも同じ事。

SNSに限らず、ブログについても同じようなものだ。

特にSNSに関しては、個人情報を公開している・・・って、SNS本来の目的から言えば、当然のこと。

しかしSNSを利用し、その情報を悪用する事は利用者が増えれば、これも当然起きてしまうこと。

個人的に思うことはSNSよりもブログで、結構な内容を書いていることが気になる。

それは、SNSに実名で参加している人よりも、ブログを実名で参加している人は多くない。

しかし、実名でなくとも関係者は知っている。誰が書いているのかを・・・

まぁそんな事はどうでも良いのだが、ブログを書くのには何も必要ない。

講習もなければ、情報リテラシーを知らなくても書けてしまう。

だから、ここまで普及したのだ。普及したからこそ、面白くもなってきている。

が、反面で普及したら、その脅威も出てくるのである。

書いてる本人は実名でなくとも、無人島に暮らす人のブログでない限り、登場人物はいる。その人もイニシャルや、隠語で書かれていることが多いが、書いている本人以外の人の事を書いている。

これはストーカーでなくとも、充分にいろんな事が見えてくるもの。

個人が個人や仲間内で楽しむ分には、これもありだ。

ブログが好きな、1人のユーザーとして、私もいる。

こんな事は書きたくないが、これも現実にある脅威なのだ。

とても楽しい、インターネットが使えることが、ネットのもたらしてくれた恩恵なのだから、もっと楽しく安全に使いたいものだ。

| | コメント (0) | トラックバック (1)

2006年10月 5日 (木)

HP CEOは本当に知らなかったのか--情報漏洩

HP CEOは本当に知らなかったのか--情報漏えい調査会見への疑問:CNET Japanより

2006年2月、Hurd氏は、HP社内の情報提供者を突きとめる意図でCNET News.comの記者に偽の電子メールを送信してその反応を見るというばかげた手段がとられたことを許可した・・・

もっと奇妙なのは、部下から送られてきた、HP内で実施された調査結果を報告するメモをHurd氏が読み損ねたと言っている点だ。「読み損ねた」とはどういうことか・・・

ウォール街は、今回の件ができるかぎり早く収束することを心の底から願っている。当然だ。彼らの興味は企業倫理の問題などではなく、マネー製造機たる企業につつがなく経営を維持させることだからである・・・

 2005年の初めにCarly Fiorina氏に代わってCEOに任命されて以来、Hurd氏は外部と良好な関係を維持してきた。Hurd氏について書かれた彼を賞賛するプロフィール記事によると、彼は細部にもぬかりない精力的な働き手として通っている。だから、取締役が機密情報を社外に漏らしたことを知ったら彼が怒り狂うのも理解できる。しかし、その情報提供者を突き止めるために使った方法に注意を払っていないというのは、われわれが聞かされているMark Hurd氏のイメージと一致しない・・・

・・・情報提供者を突き止めるための調査を命令したあと、もう少し注意を払うべきだった。特に、調査手法の一部を知らされたあとに注意を払っていればこんなことにはならなかったはずだ・・・

近年の事件には、必ずと言って良いほどに電子メールが登場してくる。

ライブドアの事件でも、サーバが押収されメール内容の復元が行われた 。

ライブドアのサーバ その2
前回1/19日に書いたライブドアのサーバ記事について...

ライブドアの時には、メールの贋作なる言葉をはじめて聞いてビックリしたものだ。

メールの贋作=メールを印刷した紙

何もデジタルなメールを、印刷した上で贋作なんて言わなくても良いだろう。

じゃあ、デジタルなメールを転送したからって、送信情報含めていくらでも簡単に改ざん出来る。

贋作なんて言うと、骨董品の掛け軸のイメージが強いのだが、テレビでしか見たことがないけれど、薄く剥いで結構大変な事をしながら作るようである。

メールなんかの贋作(ここではこう呼んでみる)は、自分のパソコンとちょっとした事だけで充分に立派に出来上がる。

今回の偽のメールなんて、3分クッキングよりも簡単だ。

また、今回はメールのチェイサーでも話題だったようだ。

いずれも、技術的には決して新たらしくもなく、難しいこともしていない。

ただ、あまりそんな機会がなく、hpのような大企業で起きたから、なおさら話題になっている。

プリテキスティングについても同様である。

ここで学べることは、

1.ベタなアナログ的手法も多く

2.見えにくい部分ではデジタルを活用し

3.心理的に騙されやすいことを利用

悪いことが出来るスキルを持ち、悪いことをしないで、相手の手口を知るだけに留め、自己防衛のために利用する。

これって紙一重の世界になるが、私もまだここで頑張っている。

ギリギリだからこそ、守るときも強くなる。

~攻撃が最大の防御~は、知っていなければ出来ないのだ。

| | コメント (0) | トラックバック (0)

2006年10月 1日 (日)

mixiでチェーン日記@2度目

mixiでまたチェーン日記 善意が混乱招くITmediaNewsより

SNS(ソーシャルネットワーキングサービス)「mixi」で、「mixiユーザーの日本人写真家が、ロサンゼルスで行方不明。情報を提供してほしい」という内容の日記が大量に投稿されている。写真家の個人名で日記検索すると、9月28日午前11時30分現在で、1万4000件以上がヒット。多いときは1 分に2~3件のペースで増え続けている。

「mixiユーザーの日本人写真家が、ロサンゼルスで行方不明になっている。本人のmixiに、家族がアクセスしている。情報を持っている人は提供してほしい。また、この呼びかけをコピー&ペーストして広めてほしい」。投稿には写真家のmixiのURLが書かれ、一部には、写真家の家族の携帯電話番号も掲載されていた。

情報の“チェーン化”を問題視した一部のユーザーは、チェーン日記を憂うコミュニティーを作成。写真家の早期発見を願いつつ、写真家本人や、ロス情報に関係ないユーザーは、不用意にチェーン日記を広めないよう、また、日記に書いた場合も、家族の携帯番号や「コピーして広めてください」という文章は削除するよう呼びかけている。

このコミュニティーの紹介文には、以下のように書かれている。 「mixiの善意が集まった結果、善意が善意であり続けることができなくなったことがご理解いただけますでしょうか。こんな悲しいことがあるでしょうか」

今年の6月にもあった、チェーン日記の第2弾。

先月上場をし、会員数も500万人を超えた、mixiでの出来事。

チェーンメールよりも、SNSという特殊な関係の中においては、伝播する速度も速くなる。

今回の件も、前回の件も、よくあるチェーンメールも、共通の事がある。

悪意をもって、広めている人たちはいないのだ。

一番はじめに送った人ですら、悪意があったのか?わからない。日記の場合。

メールの場合は、はじめに送った人に悪意はあるだろう。それなりのシナリオを作るからだ。

コミュニティが出来上がっていくような、人が増えて活発になっていくような感じで、伝播していくと、収拾がつかなくなってしまう。

しつこいようだが、ここにも悪意はない。

悪人は、きっといるでしょう。

しかし、人は誰かの手助けをしたいという、善意を持った人が圧倒的に多い。

これは、情報漏洩においても同じ事。

性善説と性悪説の話になると、深くなるので次の機会に詳しく書くが、

悪意なく、起きてしまうこと!が多いのである。

極端な立場から見れば、悪意ある問題であれば、その部分だけで何とかなるかもしれない。

これが悪意なき場合は、収拾がつかなくなってくる。悪意がないのだから当然のこと。

それは、善悪の基準がわからずに判断のしようがない場合だ。

善悪とはっきり言えない場合もあったりするし、型に決めつける事が出来ない場合などが、これに当たる。中間があっても良いこともある。

ただ、何処に属した結果であっても、悪意なく行われた事であっても、

結果だけを見れば・・・

だからこそ知っておくべき事。知らないと何ともならない。

問題の本質は、このあたりにあるのではないだろうか?

 

参考記事としてチェーンメール送って下さい?

全ては、自己判断と自己責任になる。

| | コメント (0) | トラックバック (0)

« 2006年9月 | トップページ | 2006年11月 »