« 2006年12月 | トップページ | 2007年2月 »

2007年1月

2007年1月26日 (金)

事件な不正行為は内部で起きている!

ヤフオクの元サポート担当者逮捕、落札者になりすまして不正取引 :INTERNET Watchより

委託先企業の従業員だったようだ。カスタマーサポートでオークションの苦情対応を担当していたらしい。

ネットオークションの市場規模は野村総合研究所によると2005年で、1兆3400億円あった。ちなみに健康食品市場も同額らしく、トヨタの純利益も同額のようだ。

ようは、インターネットの取引の中でもオークションの割合はとても高いのだ。

yahooはオークションでも最大規模。利用者も売り買い含め便利な存在だ。

今回の事件では、yahooオークションのカスタマーサポートで発生した問題だが、これはyahooだから起きたのではなく、単に取り扱い高と担当する人間の数が多かったために起きたこと。

ここで考えたいのは、内部データや直接顧客とやりとりする人のセキュリティ対策になるだろう。

もちろん技術的な対策はしてあった事だろう。しかし、それだけでは見えない、それ以外の状況も考え対策を考えなければ、最終局面での防止は難しい。

孟子的に言えば、性善説で起きていることだろう。もしそうであれば、事前に巻き込まれないような体制を作ることも必要になる。

荀子的に言えば、性悪説で起きる事になるので、悪事が出来ないようにガッチリと監視体制下に置くことになる。

犯罪の防止だけを考えれば、荀子的方法が手っ取り早く早いだろう。しかし顧客を相手にサービスの提供をするのだから、そんな環境では良い仕事も出来ないだろう。

抑止効果の高いことを技術的側面と人的側面から対策することで、発生の軽減を図ることが出来るだろう。

情報セキュリティのマネジメントは、ISMSなどの社内の評価規定だけがすべてである。と言われたことがあるが、もしも本当にそれがすべてであるならば、今回の事件は防げたのであろうか?

今一度、今回の事件を元に根本的な原因を考えて頂きたい。

| | コメント (0) | トラックバック (0)

2007年1月20日 (土)

クリックにも覚悟が必要なのか?お祈りパンダ?突如現れる→実はウィルス

お祈りパンダに要注意――McAfeeがウイルス警告:IT media エンタープライズより

Fujacks

お線香を捧げ持って両手を合わせるパンダのアイコンが自分のマシンに現れたら要注意――。セキュリティソフトメーカーのMcAfeeが、ウイルス関連でこんな注意を呼び掛けている。

対策は、まず最新のパッチを適用し、Webブラウザなどのセキュリティホールをふさぐ。そして、ウイルス対策ソフトを最新の状態にアップデートするとともに、不用意に怪しいWebサイトにアクセスしないよう心掛ける。

面白いことを、よく考えるものだと感心してしまう。

何となくクリックしたくなるような、何だろう?と思うからこそ、ウィルス制作者の意図がそこにある。

よくあるパターンのウィルスは、実行ファイル(exe)だったりする。

以前にもスクリーンセーバーなどに埋め込むウィルスもあった。

ようは、実行(クリック)させるための偽装なのだ。

これはウィルスに限ったことではなく、Webでもアヤシイ系ではクリックさせるために、ワナを仕掛けている。

スパイウェアに良くあるものとして、”パソコンの調子が悪いから・・・今すぐクリック!”なんてもの多くある。実際には調子悪くなるようにさせてから、クリックしたくなるように仕向けられているだけ。

面白いアイコンなどにしても、そのリンク先やそのファイルなどを、どうやってそれ以上先に進められるか?先に進んでくれるか?興味を引けるか?ただそれだけのこと。

興味の誘因を何にするか?制作者はこれを考え、それに利用者が引っ掛かってしまう仕組みだ。

しかし、私もそうだが普通に使っていれば、多少は気にしていても見事に踏んでしまうことも結構ある(笑)

何度も書いているが、ウィルス対策については定義ファイルの更新しか方法は見あたらない。ネットに繋ぐ以上は避けられないからだ。

似たようなウィルスが今後も多く発生すると思われる。

クリックする前に・・・覚悟しますか?

私は覚悟しないので普通にクリックします(笑)

すべての行動は自己責任になるのですから、仕方ないこと。

もっと問題なのは、感染した自己責任のあとの二次的問題だ。

自己責任での範囲ならばそれでもいいが、ウィルスなどは二次的な感染や被害が発生する。と、自分以外の範囲まで迷惑や被害を及ぼしてしまうことになる。

何とも厄介な問題だが、現実である以上はその脅威を知っておくしかないだろう。

| | コメント (0) | トラックバック (0)

2007年1月17日 (水)

「プリテキスティング」を犯罪とする連邦法に署名・日本の罰則内容とここまで違うのか?

ブッシュ大統領、「プリテキスティング」を犯罪とする連邦法に署名CNET Japanより

HPで問題となった例の事件で加速された模様。以下が過去にかいたブログ

プリテキスティングとソーシャルエンジニアリング

HP CEOは本当に知らなかったのか--情報漏洩

情報漏えいのプリテキスティング・その2

情報漏えいめぐるHPの内部調査

今回、米国では最高10年の禁固刑を科すことができるようになったようだ。

 

HP、通話記録入手スキャンダルでデータ仲介会社の社員が有罪に

でHPの件では、最高で懲役5年、罰金25万ドルが科される可能性があるらしい。

ちなみに日本の場合、ここまでの法制化はされていない。

まだまだ情報関連の法制化が出遅れている。従来の法律では情報そのものが存在していないので、万一の場合は関連法律で科している。

ここまで情報化やインターネットが普及していても、国内の法整備は遅れている。

情報漏洩罪なども、これからの話だ。

この米国の事例と比較すると、日本で同じことが発生した場合の罰則は以下の通り。

電気通信事業法から抜粋

(秘密の保護)

第四条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。

2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

第百四条 電気通信事業者の取扱中に係る通信(第九十条第二項に規定する通信を含む。)の秘密を侵した者は、二年以下の懲役又は五十万円以下の罰金に処する

2 電気通信事業に従事する者が前項の行為をしたときは、三年以下の懲役又は百万円以下の罰金に処する

3 前二項の未遂罪は、罰する。

一般人であっても、2年以下の懲役又は50万以下の罰金で、電気通信事業に従事する者の場合は、3年以下又は100万円以下になる。

米国の事例と比べても軽いのではないだろうか

年数で比較すれば、2-3年(日本)が5-10年(米国)で、罰金で言えば100万円以下(日本)で、2500万円(米国・単純にドルを100円計算)になる。

簡単で単純な話で言えば、罰則強化をすれば犯罪は減る。しかしそんなに簡単な話でもない。

他の罰則とのバランスもあるのだろうが、今回の場合などで終身刑のようなものになれば、話は変わるのかもしれない。

ここで考えたいのは法律ではなく、これらの問題や危険があるとの認識を盗まれてしまう側(正当な利用者)が知っておくことだろう。

どんなに利用者が頑張っても、自分の知らないところでこんな事件は起きてしまう。

これは今回の場合に限ったことではない。他の場合でも同じようなことは多数ある。そんな方法が存在し事件になっている事実と、簡単に漏れることを認識して欲しい。

こんなことが存在することを知れば、もっと別なことでも自分のコントロール出来る部分で守ることが出来ることを知って欲しい。

コントロール出来ないこともある。コントロール出来ることからはじめてみよう!

| | コメント (0) | トラックバック (0)

2007年1月 5日 (金)

昨年末、わずか2日間で年間TOPになったウィルスとは?

エンタープライズ:年末2日間でトップに立ったウイルスとはITmediaエンタープライズより

ソフォスは、2006年12月の「月間トップ10ウイルス」を発表した。W32/Drefが発見からわずか2日間で急速に拡散した。

順位 ウイルス名 割合

1 W32/Dref 35.2%

2 W32/Netsky 22.2%

3 W32/Mytob 10.7%

4 W32/Stratio 7.8%

5 W32/Bagle 5.2%

6 W32/Zafi 4.8%

7 W32/MyDoom 3.3%

8 W32/Sality 2.8%

9 W32/Nyxem 1.3%

10 W32/StraDl 0.9%

- その他 5.8%

 同社では、「年末年始休暇明けの膨大なメールをチェックする際に感染してしまうという危険もあり、今後さらなる被害の拡大が懸念される」と呼びかけている。

新年あけましておめでとうございます。

今年もBlogを通じて情報セキュリティの役に立つような事を書いていきたいとおもっています。どうぞよろしくお願いいたします。

で・・・

年明け早々ですがウィルスの話題。年末から久しぶりに届いたメールはウィルスを検知した報告メール。

この手のメールは最近お目にかかってなかったが、数十通届いた!

予感はしていたが、そのメールのウィルスは上記のメールだった。

先日も書いたが、

恒例!年末年始のセキュリティのお約束JPCERT/CCより

メールで感染の多いウィルスの出来る事だけの対策だ。

連休明けから仕事が本格的に始まる企業が多いと思うが、これだけは最低限確認してもらいたい。

2日間で年間TOPになれるってことは、単純計算をすれば180倍の濃さになる。

180倍の濃縮されたものは農薬くらいしかないようだが、双眼鏡の場合だと月面の観測もくっきり見えるらしい。

自動車業界だと、GM・トヨタ・フォードの3社で36.2%のシェアを持つようだ。

この35%は半端なく大きな数字である。

この休み明けの仕事前には、是非確認してもらいたい。

大きな問題になる前に・・・

| | コメント (0) | トラックバック (0)

« 2006年12月 | トップページ | 2007年2月 »