« 2007年2月 | トップページ | 2007年4月 »

2007年3月

2007年3月31日 (土)

セキュリティーもパンツ偽装で泥棒を撃退!(運がつくかも(笑)

ウ○チ偽装で泥棒を撃退! : Gizmodo Japan(ギズモード・ジャパン)より

うーん・・・って、ウ○チがついている偽装パンツだ。

ネタかと思ったが、これも立派なセキュリティ対策。

つい、コレ系のネタが好きなもので(爆)反応してしまった次第である。

上記リンクに画像付きあるので是非見て頂きたい。ちょっと画像をのせるのにためらってしまった(笑)

でも、騙されないで。こちらは「ブリーフセーフ」と呼ばれる簡易金庫なんです。

ベネクロ付きのポケットに少量の現金・貴重品を隠し、茶に染まったマーキングで盗難を防ぐ、完成度の高いパンツ偽装

貴重品を隠したら、洗濯機やスーツケースに忍ばせて、泥棒の目を欺くというわけですね。旅行中だけでなく、ちょっと家を留守にする際にも効果を発揮しそう。

というものらしい。

A&J STM

以前に、このセーフティーマンという海外製の人形を見たことがあった。

左がアメリカンセーフティーマンで、右がジャパニーズセーフティーマンだ。

車に乗せたり、家の中に置いたりするらしい。

日本での使い道が当時わからなかったが、今でもよくわからないのは何故だろう?

ちなみに空気を入れて膨らますらしいです。

使ったことはありませんが、空気を入れる人形は他にもあるようです(笑)

今回のオマケ付きパンツの凄いところは、現金を隠すだけでなく、茶色に染まったマーキングで盗難を防ぐところだろう。泥棒でも触りたくないようなマーキングだ。

マーキングのイメージは、コンビニなんかで泥棒が入ったときに投げるマーカーボールくらいだろうと思ったが、こんなリアルなマーキングの存在があったとは驚きである。

ここから学べることは、結構あったりする。

間違えてはイケナイのが、簡易金庫であり、盗難を防止するものであること。

ここを間違えると、方向がおかしくなってしまう。

1.泥棒でも汚いものは触りたくない。

2.身に付けている時に強盗などに遭っても、これは大丈夫そうな感じ。身に付けるものかどうかは疑問だが・・・

3.まさかマーキング付きパンツが簡易金庫だとは思わない(普通そうだろう)

海外旅行用途などで、靴やベルトに現金を隠すものは見たことがあるが、こんなパンツははじめてだ。

一方で、身につける?持っている人にとっては恥ずかしいかもしれないが、簡易金庫である以上は、割り切らなければならないのだ。

最近のネット犯罪やスパイウェア、フィッシングなどは心理的弱点を狙ったものが増えてきている。ネットに限ったものではなく、詐欺商法においても同じようなもの。

これが心理的にどうかは疑問だが、心理的だろうが、物理的マーキングだろうが、触りたくないものであることは間違いのないことだろう。

カバンの中におもむろに入っていたとしても、盗まれることは無いだろう。

リスクとしては、ゴミとして扱われることでどこかに投げられてしまうか、どんな確立で遭遇するか解らないが、こういうものが好きな人でない限り効果はあるだろう。

11ドルとコストも安いので、簡易金庫としては良いかもしれない。

みんなが持つほどの人気商品になれば、この価値はなくなってしまう。

それは考え難いことだが・・・

カギのついていない簡易金庫なので、荷物の中に入っているこのパンツを見られても、簡易金庫であることは言ってはならないのだ。金庫の価値がなくなってしまうからだ。

海外旅行に行ったときに、もしかしたら渡航先にもよるが帰国時に別室で検疫で引っ掛かることはあるのかもしれない。まずあり得ないと思うが・・・

1つのセキュリティ対策の有効なものであることはOKであろう。

でも、きっと私は使わないだろう(笑)

| | コメント (0) | トラックバック (1)

2007年3月27日 (火)

エグゼクティブの最大関心事←ネットワークセキュリティ

エグゼクティブの最大関心事はネットワークセキュリティZDNet Japanより

調査結果によると、企業のエグゼクティブの52%が自社ネットワークにおける最重要項目として「ネットワークセキュリティ」を挙げており、統合ネットワークによってITセキュリティの脅威に対し防御力を向上できると考えていることが判明した。

セキュリティの脅威では、49%が「ハッカー」をワースト1に挙げ、ウイルスやワームからの保護が重要としながらも、3分の1は「なりすまし」を最も恐れる脅威のひとつに挙げている。またこの調査により、CSO(Chief Security Officer:最高セキュリティ責任者)」の重要性が注目されていることも判明している。

こんな調査結果があるようだ。世界規模で行われた調査のようで、1つのトレンドかもしれない。

半分ちかくが外部要因であるハッカーをあげているのには興味深いところだ。

確かにあるだろう。最近増えてきたのだろうか?

私の従来の認識と感覚では、半分はないだろう!ってのが正直な感想だ。

脆弱なネットワークが増えたのは、以前よりもネットワークに繋がるコンピュータの母数が増えた分だけの結果であろう。

一方で、以前よりも機器的や技術的にセキュリティが向上もしている。

結果の数字を大目に見ても、やはり半分の外部脅威は大き過ぎるのではないか?

いずれにしても、内外ともにネットワークセキュリティが重要になってきている現れだ。

ここで1つ考えたいことがある。

外部と内部をわけた場合に、ネットワークセキュリティだけの問題でなく通常にあり得る事を考えてもらいたい。

例えば、小売店などの盗難のにおいて外部要因は万引きなどになり、内部要因は従業員になる。航空機などに武器を持ち込む場合にも、外部要因は乗客などになり、内部は運行関係者などになる。また銀行強盗では、マスクを被った強盗が外部になり、行員の不正行為などが内部になる。

昔言われていた事として銀行強盗は、ネットワーク上で行われる事になるだろう・・・なんて話もあった。

外部に対しては結構徹底的に対策をしているものだ。

また、外部から攻撃するにはそれなりの準備やリスクがともなってくるもの。

門扉だけを頑丈にしても、内側で何が行われているのか?正視しなければならない。

逆に内側だけやっても意味がないことは言うまでもない。

まずは考えられることは最低限しなければならないが、想定外(死語かもしれない(笑)な事態でも発生するものであるとの認識を持って考えなければならない。

ルールの決まったゲームであれば、ルールを破ればゲームは成立しない。

ここで言う外部と内部については、ルールがあるのだろうか?

ルールで縛れるものだろうか?

どちらかと言えば、破ってこそ意味のあるルールって感じではなかろうか?

決まり切ったことだけでは対応しきれないってこと言いたい。

意外なことでも発生してしまう現実と、発生した場合の対応が必要になる。

そもそも意外なことはわからない?

それも1つの答えであるが、わからないから仕方ないになるのだろうか?

であれば、それも考えなければならない。

しつこく書いているが、守る側の視点だけで守るから事は発生する。攻撃側の視点にたってものを考えれば、如何に容易く出来ることが多い事かわかるだろう。

だってそれはルール違反じゃ・・・なんて事が通用しない相手なのだから、攻撃防衛を両面から考え抜いて対策案を考えることがもっとも重要である。

先日発生した、機密漏洩などもやり方にもう少し配慮があれば・・・と思ってしまう。

起きてしまった事は起きてしまったこと。だったらせめてその後対応において、やり方はいくらでもあったはず。結果論で言うつもりはない。

どうして犯人が自宅に持ち帰ったとされるデータをぶっ壊す事が出来るのだろうか?

それなりの時間を与えてしまった結果ではなかろうか?

フリーズ!してしまえば、こんな事は起きなかっただろう。

もしも、自分がやっちゃった側だった場合なら、どんな行動を起こすだろうか?

容易に答えは出てくるはずだ。

あらゆる局面を考えても、想定外の事は発生する。

ほとんど発生しない事でも、発生した場合の損害が大きければ対策しなければならない。

決して青天井にコストを使う事もないのだ。

ポイントとなるところだけに集中すればいいのだ。

どれだけ内側からのがやりやすい環境にあるのか?実際にやらなくとも自分が実行した場合にどれだけ容易く出来るのか?今一度考えてみればわかるだろう。

| | コメント (0) | トラックバック (0)

2007年3月26日 (月)

機密情報を不正に持ち出した疑い・・・米国での出来事

オラクル、SAPをスパイ行為で告発--機密情報を不正に持ち出した疑いCNET Japanより

本件はカリフォルニア州北部地区連邦地方裁判所に起こされたもので、SAPおよびその傘下にあるTomorrowNowが被告となっている。訴状(PDFファイル)では、SAPおよびTomorrowNowが、コンピュータの不正行為および悪用、コンピュータデータへの不正アクセスおよび詐欺、将来の経済的利益に対する故意の妨害などを働いていたという。

問題の「Customer Connection」サイトを調べたところ、サポートおよび保守契約がすでに切れているか、間もなく切れる顧客が同サポートおよび保守サイトにアクセスし、1万件以上の不正なダウンロードを行っていることが確認されたと、Oracleは述べている。同社はさらに、身元を偽ったと考えられるこれらすべての顧客に共通しているのは、TomorrowNowの顧客になることが決まっていたか、直前にそうなっていた点だと指摘した。

ある意味わかりやすいと言うか、バレバレな行為だったようだ。それが意図して行われたのかどうかはわからないが、結果このようになることは時間の問題だっただろう。

先日も書いたが上記のような場合は、明確な目的があって行われたことだ。

その明確な目的にとっては、、とても効率の良い情報原になった。

ここでも、が行った行為には違いのないことで、勝手に漏洩したものでもなく、ウィルスのようなものが起こした事でもない。

では、日本ではどうだろうか?

表沙汰にならない問題は・・・ある。

表沙汰にならないだけで、それなりの手打ちはおこなわれている。

隠蔽という言葉だけで済ます訳にいかない問題もあったりするのだ。

必要悪とは言えないが、そんな選択肢も1つではあったりする現実だ。

もっとも最悪な場合は、何も知らずにことは行われ、結果が見えた段階で青くなる事態のことだ。

結果も見えずに、なにもわからずにことが行われる場合もあり、これは完全犯罪と同じ。

経済バランスと同じことが情報漏洩でも起きているのだ。需要と供給のバランスで均等がとれるのだ。需要も供給もなければ何も問題は起こらないのである。

ここで言う需要とは情報を欲しがっている人になり、供給とは情報を売ってしまう漏洩側の人たちになる。

この両者は両方が儲かることになる。

一方で、この情報の中身を保有する人や中身に自身の情報が入っている人たちは、何らかの損や被害を被ることになる。

結局、誰かが損をすれば、誰かが儲かるのだ。

ここで重要なことがある。それは需要側は金銭で供給を受けるだけになる。買ってしまうだけが需要側の一次な手段になる。その後は目的である二次的に別な方法で儲けることになる。

供給側は売ることで金銭との取引になる。需要側の必要性と情報のレア加減により生もののような価格体系が作られるのだ。マグロの水揚げなんかと同じである。

供給側の人たちは、ほとんどが企業に属する人たちであり、この取引によってそれなりの金銭授受が行われる。普通に考えても通常の収入を遙かに上回るものが提示されるから、やっちゃうのである。

バランスだけで言えば、これだけでバランスが取れているように見えるが、そこが間違いだ。

供給側に行ったことに対するリスクがもれなくついてくるのだ。

リスクをとっても、それに上回るものがあれば、やはりやっちゃうのである。

この実行者にどれほどのリスクがついてくるのか、わかっていない場合がとても多くあり、こればっかりは技術的に回避が出来ない部分になってくる。

また、実行者の所属する企業は先日の印刷会社のように、損害賠償と企業イメージ失墜を免れないのだ、

大量な情報が漏れる大きな要因は、コンピュータのデジタルデータが影響をしている。昔だったらこれほどの大量なデータを持ち出すのには、紙でやった場合には大量な枚数になり非現実的なことになる。

モラルの研究を随分としたが、モラルだけで守りきれる問題とそうでない問題があること。モラルの問題は近年の労働者意識や雇用形態も影響している。

どれだけの要因が影響しようとも、現実発生してしまう、している問題を対策しない限りは、誰しもがどちら側かの人になりうる可能性が高くなってきている。

金融機関などは、扱うものが金銭的にも内容的にも大きなものになる分だけ、事が発生した場合にも大きなことになってしまう。

明確な目的は、必ずしも事前に周到に準備された問題だけではなく、環境的についやっちゃってしまう場合もある。後者のが多いもの現実だ。

弱点を知り、攻撃側と防衛側の両方を知ったものが、最強になる。歴史的にも証明されていることだ。

| | コメント (0) | トラックバック (0)

2007年3月19日 (月)

デンソーから13万5000件の機密情報漏洩~ここでも人

デンソーから13万5000件の設計資料が不正に持ち出されるスラッシュドット ジャパンより

証券会社への不正アクセスや、過去最高の863万件の個人情報漏洩、そして機密情報の漏洩事件・・・

先週1週間で発生した事件。実際には発表されただけで、先週発生した問題ではない。

2年前の個人情報保護法施行時を思い出してしまう。駆け込み的に発表した会社が多かったかからだ。

当時思ったことは、なんでこんなに起きていたの?今までどうしてたんだ?って疑問で頭の上には???が飛びかった。

今回のデンソーで起きた事件は、情報を不正に情報を持ち出していた。

情報の漏洩においては、漏れるまでわからないこと。

これは不正でも悪意でも、うっかりでも・・・事が起きてからはじめてわかること。

前にも書いたデータ漏洩=水漏れと同じ、だったら防げるはず・・・と同じく、漏れるまでは正常な状態ってこと。

水だって漏れちゃまずい事も場所もあるはず。それにはそれなりの対策をしているのだ。水とは違うが、原子力なども漏れては大変なことになるので、しっかりした対策をしている。でも・・・な事が起きてしまう。

何もしていなければ、何か起きて当たり前ではないだろうか?

もちろん技術的な漏洩対策は行っているだろう。では扱う人の対策はやっているのだろうか?

うっかりしちゃったことでも、悪意があったことでも、漏れれば漏洩。

これは両方のケースを知らなければ、何かはわからない。

今回の事件では、何も対策をしていなかったのだろうか?

とてもそんなことは考えがたい。

セキュリティに100%の対策はあり得ない。しかし100%により近くなるように対策をすることは可能だ。

出来ないこと、あり得ないこと、まさかそんな・・・それも含めて考える事がセキュリティの対策になる。

コストもかかる事なので、何を・どこまで・どのように・何から・どうしたいのか?

5W1Hと同じ事。

そろそろ人的な対策にも真剣に考えませんか?

いつまでたってもなくなりませんよ。これでは・・・

| | コメント (0) | トラックバック (0)

2007年3月16日 (金)

情報漏洩の人的対策:その1

大日本印刷の漏洩事件は、従来あった情報漏洩の歴史を変えるだろう。

私は未だに性善説が好きである。セキュリティにおいて性悪説で考えるのも1つの考え方として有効な方法であるが、そんなに悪い人ばかりが多いのだろうか?

一部の悪い人だけで、全部が性悪説で考えるのはどうなのだろうか?

しかし現実問題として、一部であってもその一部が及ぼす影響を今回の事件で目の当たりにしたもの事実だ。

そもそも二元的な性善と性悪だけで考えるところに無理はないだろうか?

良いか悪いかの2つで考えた方が、わかりやすく見えやすいから2つの両極端な思考で考えてしまうもの。

性善と性悪の考え方なんかよりも、もっと重要なことがある。

それは如何に事故を起こさないか。起きてしまっても被害を小さく出来るかだ。

何も起きないことに越したことはない。しかし何かのトリガーで起きることは起きるものである!という考え方がとても重要なことであり、現実でもある。

では、どうすれば良いのだろうか?

経営学において有名な言葉がある。組織は戦略に従う戦略は組織に従う

では、戦略の部分を人に置き換えたらどうなるだろうか?

組織は人に従う?人は組織に従う?なんかしっくりこない日本語になっている。

人は組織に従うは日本語としてはOKだ。組織は人に従うは、なんとも言えない日本語になっている。いずれも正しいのかどうか疑問?な部分も含んでいるように思える。

あくまでも文字遊びのような話で、日本語として変な気もするが、文字遊びだけでは済まない意味を含んでいそうだ。

よくある方法としては監視を行うことである。しかしそれも完璧ではないのだ。

勿論やらないよりも良いかもしれないが、コストパフォーマンスに見合うか疑問である。色んな方法を組み合わせれば有効になる場合もある。これもTPOにあわせて条件も方法も変わってくる。

例えば、弱点になりそうなものは見せたくないもの。

エロ本に例えるのは、適切な表現ではないかもしれないが、見えないから見たくなるものは人間の本性だろう。

だったら、すべてをガラス張りにして見せて、ちゃんと考えるようにすることが有効策の1つであると私は考える。

イケナイことをしっかりと周知し、それでも危険と引き替えした場合の自分に降りかかるリスクを認識すること、させること。

必ず何かをする場合、例えばモノを買う場合でも比較をするはず。

情報漏洩において引き替えにするのは、犯す危険と報酬のバランスになる。悪意を持っている場合。

現在の法整備の問題にも影響してくるだろう。情報漏洩罪がまだ検討中だからだ。情報を盗むことの罪が今は明確に決まっていない。情報の書かれた紙を盗んだとか、データの入ったメディア媒体を盗んだとか、電気の窃盗などなど・・・中身に付いての刑事罰がない。それと引き替えに、報酬が大きいことが原因になっているのだろう。

人間がうっかりしたときや悪意を抱いてしまった時に事は発生してしまう。

なので徹底的に対策側と攻撃側の立場になり、シミュレーションを行う事である。

| | コメント (0) | トラックバック (1)

2007年3月15日 (木)

「アダルトサイトに登録されていますよ」――好奇心をくすぐる新手のフィッシングは、もしかして・・・

「アダルトサイトに登録されていますよ」――好奇心をくすぐる新手のフィッシングITproセキュリティより

「キャンセルしないと料金が発生する」といった偽メールでユーザーを脅かす手口は珍しくはない。マカフィーが注目するのは、メールにユーザー名とパスワードが記載されていた点。これらを記載しておくことで、メールを受け取ったユーザーに「ちょっとのぞいてみようか」と思わせるという。ちなみに、記載されているユーザー名とパスワードは偽物。URLが記載されているアダルトサイトにログインできない。

ほとんどのフィッシング詐欺は、「アクセスしないとまずいことになる」といったネガティブな動機付けで、ユーザーを偽サイトに誘導する。ところが今回のフィッシングは、「キャンセルしないとお金を取られる」というネガティブな動機付けに加えて、「アクセスすると良いことがあるかも」といったポジティブな動機付けもしている点が特徴的であるとしている。

段々と巧みに心理的な弱点を突いてくる。敵も頑張っているようだ。

ネガティブな動機は脅迫のようなもの。恥ずかしいことなど、もしかして・・・なんてことが思い当たったりするから、つい・・・しちゃうのだ(笑)

ポジティブな動機付けにおいても、もしかして・・・なんて前向きな期待が大きくクリックしてしまう最大のインセンティブになるのだ。

これはアダルトサイトに限ったことではなく、もしかして・・・なんてことは、他でも活用出来る応用の利くものになるだろう。

もしかして・・・は、良いことも悪いことも両方含んでいる曖昧な言葉だ。

結構です・・・押し売りなどの場合に、この言葉だと両方の意味にとらえられる。

いいです・・・これも先に同じく、欲しいですorいりませんの両方の意味を含む。

こんな日本語は結構多くあり、対面して喋るコミュニケーションにおいても誤解を招きやすいのに、メールなど言葉以外のものだと余計に間違いが起きてしまう。

対面コミュニケーションにおいては、まだ修正ができる。

もしかして・・・もしかすると・・・・もしかして・・・・良いこともあるのかなぁ?

そんなにオイシイ話はないと思った方が安全だろう。これも、もしかして・・・危険なのかもしれない。

否定の否定は肯定になる。ミスコピーの再利用では裏側は表になる。

表があれば裏があるのは、インターネットに限ったことではないのだ。

| | コメント (0) | トラックバック (0)

2007年3月13日 (火)

大日本印刷の個人情報漏洩:その2

大日本印刷、DM作成のために預かった43社の個人情報864万件が流出 CNET Japanより

DNPは2月20日にも、販促用DMの作成のためにジャックスから預かった個人情報15万件が業務委託先の元社員により不正に持ち出され、インターネット通販詐欺グループに売り渡されて、49会員に667万2989円の被害が発生したと発表している。

今回流出した個人情報の中には、得意先が過去に流出を公表している事案のデータと一致するものが含まれており、これらの事案については、すでにそれぞれの得意先により安全対策が完了しているという。また、持ち出されたデータは、捜査の過程ですべて押収されており、第三者に渡った可能性は確認されていないとしている。

昨日の続き、その2になる。

金銭的な被害が現在のところ上記の667万2989円のようだ。

あくまでも現在の数字であり、これ以上少なくなることはなく損害が増加する可能性しかない。

この損害は金銭的なものに過ぎない。関係企業やDNPが受けた非金銭的なものはプライスレスだ。現時点から見て先々のことになり、イメージや信用、信頼は計りようがなく、先々の結果として現れてくる。

また、過去に情報漏洩がおきてしまった43社のデータと一致してしまったと言うことは、得意先である43社も被ってしまった、金銭的損害とプライスレスなものはどうなってしまうのだろうか?

安全対策が完了している・・・とは現在の話であって、当時の話ではない。当初から完全とまでいかなくとも安全対策があったのであれば、今回の事件はない。

また、持ち出されたデータが押収されており・・・

デジタルデータの場合、複製がどれほど簡単に出来るかはこのブログを見ている人ならば容易に想像がつくだろう。

漏れたことには変わらないとしても、紙データのようなアナログデータならば複製の度に文字は潰れ情報が劣化していく。一方でデジタルデータは劣化せずに複製ができるので、昨今の漏洩は件数が増加しているのだ。

USBメモリーなど信じられないほど安くなってきた。3,000円も出せば十分なものが買える。1ギガのものも買える時代になったのだ。

例えば、512メガクラスのUSBメモリーだと、文字数だけでいけば単純計算上は、2億5千6百万文字の情報が入り、新聞紙に変えると2万枚以上のデータが入る計算になる。

入れ物の価格で言えば、僅かに数千円の話。コンテナが数千円でも中身の話とは違いのだ。スーツケースを3万円で買ったとしても、ケースに入れる中身は同額ではない。家賃が15万のマンションに入っている自分の家財や色んなものも、同額ではない。

希に街中で見かけることがあるが、ブランドもののバッグで中身のが明らかに・・・なように見えることもあるが、それはそれ。

たった1人でも、企業や社会にこれだけの影響を与えることができるのだ。

もっと小さな問題であれば日々発生しているはずで、気がついていないことも多くあるだろう。

昨日書いたように、そこまでするのか?って程の罰則がない限り、起こってしまうこと。

悪意がなくとも、うっかりしてしまった事も含めれば、その回数たるやカウント不可能な数にのぼるだろう。

究極な人的対策こそが、企業や従業員、利害関係者まですべてが安全になる提供作りになるのだ。

絶対に忘れてはならないのは、何もしていないのに情報が漏れてしまった864万件に含まれる個人の方々なのだ。金銭損害でない部分での不安はどうやって解消出来るのだろうか?

件数も多いが、件数では計れないもののが余程重要と思うのは私だけだろうか?

| | コメント (0) | トラックバック (0)

DNPから個人情報863万件以上が流出、「悪意を持った内部者」への管理が不十分

DNPから個人情報863万件以上が流出、「悪意を持った内部者」への管理が不十分 :ITmedia エンタープライズより

YahooBBの情報漏洩が470万件と言われているが、今回は遙かに上回る件数だ。

漏洩の単位は、件数がすべてではない。漏洩した内容によっては1件でも重大だ。

この863万件は、DMなどの発送目的で預かっていた業務委託された情報で43社の顧客情報だったようだ。

大日本印刷の広報担当者は、一連のセキュリティ対策は職場への物理的な出入りや外部侵入の監視には効果があったが、内部者による犯行を防止するには十分ではなかったと述べた。

今回の事件はDNPだから発生した問題ではない。どこの企業も十分に発生する可能性が高い問題だ。

外部に対する防衛は大前提の話だ。特にインターネットなどのネットワーク周りはそうだろう。入退室管理も外部からの侵入を防ぐためのゲートだったりする。

しかし、よくよく考えて見れば内部からの脅威のが余程高いものであるのだ。

過去に何度も書いていることで、何度も同じ事を言っているなぁと思われるだろう。

今更内部のセキュリティに対して、どうこう言うつもりはない。

対極にあるものを常に考えなければならないって事だけだ。

外部があれば内部がある。情報であればコンピュータと扱う人間がいる。

必ず2つ以上のものがセットであるのだ。

2つ以上のものがあれば、その両方を見なければ、対策しなければ、一方通行のことしか出来ない。

YahooBBでも、内部から持ち出した情報だった。その時も委託先社員だったが、企業で言えば1社だけの問題だった。

今回の問題として重大な事は、預かっている43社の情報で、その先には43社の顧客がいる。顧客からすれば43社に対してすべての矛先は向かう。

このようにニューズになっても、DNPに委託していようが、どんな管理をしているところに委託していたのか?って顧客からすれば思うこと。

カード会社などは今回の漏洩で不正利用等が発生した場合、顧客に対し全額を損害するようだ。既に一部の情報がネット通販などで不正利用されている。

悪意がなくとも、何かのきっかけで悪意を持ってしまう誘惑もあるだろう。

極端な話だが、最近国内でステンレスなどの盗難が相次いでいる。誰が結んでいるのか?何とも言えないが、とある国では同じものを盗むと死刑になるようだ。

この盗難で私が怒りを思うのは、手すりなどの本当に必要な人のために設置されたものを、素材だけが欲しく盗難する連中の何も思わないこと。何も思えばそもそも盗まないのだろうけど・・・

で、何が言いたいかと言うと、盗んだら究極な罰則があればしないってこと。

トレードオフの話をよくするが、盗むことと引き替えのトレードオフに死刑のような究極な引き替えがあれば、それでも危険を犯して盗むのだろうか?

ここには、日本の情報漏洩に関する法整備が遅れていることも原因にある。

変な言い方になるが、この盗んだ社員に今回の損害すべてを追うことは、まず不可能な話だ。損害は取れるところから取るしかない。また企業の管理責任になるし、取れることは企業からしかない。これは連鎖的に一方通行で繋がっている。

人の対策が重要であることも、しつこく書いているが・・・

人的対策を考える上で弱点になることがある。それは考える人が守る側だけの視点でしか考えないから発生する。想定外でも、そんなことあるのか?ってことであっても、起きる以上は考えなければならない。そんなことは起きないだろうとか、まさかそんなことは・・・なんてことまで、狙う側から考えなければ守りきれない。

本当の有効策は、もしも自分が同じことをされたら、絶対やりたくない。

絶対にそんなことをされたら殺意も芽生えない。ような心理的対策が一番の有効策だ。

一番イヤなことをすることが、人的対策のもっとも有効な方法である。

| | コメント (0) | トラックバック (1)

2007年3月12日 (月)

脅威の“見えない化”が加速:漏えい情報のWinnyによる止まらない流通:IPA「情報セキュリティ白書」

脅威の“見えない化”が加速した2006年--IPA「情報セキュリティ白書」:CNET Japanより

先日書いた続きWinnyがアジアのユーザーの脅威に?と同じ結果がでた。

独立行政法人の情報処理推進機構(IPA)はこのほど、「情報セキュリティ白書 2007年版」(全文、PDF形式)を発表した。これは、2006年に届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報をもとにまとめたもの。

10大脅威の上位には、「Winnyによる情報漏洩」「表面化しづらい標的型(スピア型)攻撃」「悪質化、潜在化するボット」「深刻化するゼロデイ攻撃」「多様化するフィッシング攻撃」などが挙げられ、人間心理の盲点を突いた「見えない」攻撃が増えた。

1位には、漏えい情報のWinnyによる止まらない流通になっている。

あくまでも届けられたものだけで、1位になっている。ほとんど届けられているものと思われるが、そうでないものも含まれるだろう。

なぜ?止まらないのか?

止めるという概念や認識がないとしか思えない。他人事のようにしか思っていない。何の根拠もなくうちでは大丈夫!って感じだろうか。

脅威とそれが及ぼす責任すら理解出来ない人たちと、そんな大事だと思っていない使用者がいるから、なってしまうと私は考える。

結果がすべてを物語っているのではないだろうか?

昨年の報告結果に基づく内容だが、きっと今年の年末でも上位三本指くらいには入っているだろう。

Winny自体は5年も前から存在するものだ。情報漏洩が急激に増えてきたのは3年くらいだろうか。

5年前からあったもので、3年前から急激に増えてきたとしても、古い話題なのだろうか?現在でもWinnyによる漏洩で某国家機関や企業でも漏洩が起きている現実。

新しいものにも脅威はある。もちろんの話だ。

古いものだから脅威ではない・・・のだろうか?

新しいだろうが、古いだろうが、脅威は変わらない。結果として未だに発生しているのだから、対応・対策を考えなければならない。

P2PソフトはWinnyだけではないし、Winnyを使うとどうなってしまうのか?わからないから、それ以上の期待を持って利用してしまう現実がある。

Winny利用だけではないがセキュリティを考える上では、トレードオフの概念が重要になってくる。必ずしもトレードオフがすべてではないが、それらも含めて存在するリスクを見なければならない。

顕在化されたものは、対策もしやすい一方で状況としては危険な状態の寸前だ。

潜在化されたものは、ほとんどわからない。見えないからわからないのは当然の話だ。しかし危険な状況レベルで言えば、顕在化したものよりは、まだ対策する時間がある。いずれも見えるか見えないかだけの違いで、問題は抱えている事には変わらない。

責任がともなうことの責任をもっと考えなければならない。

わからない人は、自分の情報が漏れてからはじめて解るのかもしれない。

自分でどれだけ気をつけていても、どこかから自分の情報が漏れる事もあるが、1人でも気をつける事をはじめる事が増えれば・・・子供でもわかる結果は見えるはずだ。

| | コメント (0) | トラックバック (0)

2007年3月 7日 (水)

情報はどこまで復元出来るのか?

デジタルデータのフォレンジックという言葉を聞いたことはあるだろうか?

デジタル・フォレンジック:@police(警察庁)

フォレンジックと言うと難しく聞こえてしまうが、難しいことではない。

最近あった身近な事例・・・

ハードディスクに物理的障害が発生して読めなくなってしまったのだ。ちなみに私のデータではない。

よくあるWindowsの起動時障害で、中身のデータは残っているだろうと思っていたことが間違いだったのだ。

Windows上では、それなりのツールを動かしてもデータは読めず、データ復元も試してみたが駄目だった。

結局お世話になったのは、UBSから起動するKnoppix最新版。NTFSの読込も書き込みも両方出来るようになったからだ。とりあえず事なきを得た。ありがたいものが出来たものだ。

この場合は、フォレンジックでも何でもない。ただのディスク障害が原因。

日本でフォレンジックの事例はライブドアのメールサーバを当局が解析したことが最近では有名だろう。

デジタルデータは、ファイルを画面上のゴミ箱に捨てても結構キレイに復元出来るのだ。また断片的でも痕跡がある以上は出てきてしまう。

見た目には何もないようにしか見えないから、キレイに消えていると思うのは仕方ないことだけど、そこには確実に残っている。

これをデジタルでなく、アナログな話にすれば解りやすいだろう。

ボールペンなどでノートにメモを書けば筆圧にもよるが、うっすらと次のページに残るもの。鉛筆などでシャカシャカなぞれば見えてくる。誰しも経験のあることではないだろうか?

紙のゴミにしても、丸めてポイでは簡単に元に戻る。最近はやらないが、ストローの紙をジャバラのようにシワシワにして水を数滴垂らせば生き物のように動いたものだ(笑)

PDFの公式文書に黒塗りして公に出した書類が、黒塗りした部分がデジタル処理で塗られただけだったので、コピー&ペーストで丸見えだった事例も結構ある。

ようは、見えにくい世界のデジタルワールドでも、普段目に見えるアナログワールド?(仮想空間でない現実)でも、同じことしか起きてない。

データは何もハードディスクの上だけではなく、インターネット上に流れるデータもフォレンジックの対象になる。企業ではメールやネットの履歴管理をしていると思うが、企業外でも同じことはできる。

最近では無線LANも以前よりも増えてきた。街中でも使える場所も増えてきた。

一応無線LANにもセキュリティ対策が施されているが、セキュリティの対策がされていないアクセスポイントも多くある。

コンピュータだけでもこれだけの様々な方法でGET出来てしまう。

過去記事にも書いているが、私は耳がダンボな訳じゃないが、良く聞こえてくるのだ(笑)

情報のすべてが揃っていなくとも、内容の推測は容易に出来るもの。

もちろんデジタルデータに限ったことではない。完全に復元出来なくとも断片は残るのだ。しっかりプロセスを踏んで対策されていれば、この限りではない。

フォレンジック出来ることの裏側にも注目してもらいたい。元に戻すことができるのであれば、元に戻せなくすることも出来るってことを・・・

情報セキュリティの対策を考える上で、必ず対極にある物事を見つめればそこにヒントが多くあるのだ。

これらの手法は真偽と善悪の微妙なバランスに存在する。

悪用厳禁なのだ。悪用されてしまうような漏洩のがもっと早めに手を打たなければならないことは、言うまでもないはずなんだけど。。。

| | コメント (0) | トラックバック (0)

2007年3月 1日 (木)

Winnyがアジアのユーザーの脅威に?

Winnyがアジアのユーザーの脅威に? Kaspersky Labがマルウェア動向報告書:ITmedia エンタープライズより

カスペルスキーは、かなり優秀なアンチウィルスソフトだ。

種類別では、悪質プログラム全体の中でトロイの木馬が91.9%を占め、前年より2.79ポイント増加。ウイルス/ワームは4.7%で1.3ポイント減り、脆弱性悪用コードなどその他のマルウェアは3.51%で同1.49ポイント減少した。ただ、2007年はこの種のマルウェアが増えると Kasperskyは予想している。

同社の予想では、2007年は引き続き個人情報を盗み出すトロイの木馬が増える見通しで、ウイルス作者とスパマーが共謀し、感染コンピュータを使って組織的な攻撃を仕掛けたりスパムを送信する傾向が続くと見られる。

攻撃には今後もブラウザの脆弱性と電子メールが主に使われる見通しだが、日本で人気が高いWinnyは2007年、アジアのユーザーにとって深刻な脅威になる可能性があると同社は指摘。

Winnyによる脅威は今にはじまった訳ではないが、相変わらず減っていないようだ。

yahoo!ニュース-ウィニーによる情報流出でも、まだまだこんなにある。

Winnyはイケナイ!とか、使わない!なんて話もよく聞く。もちろん間違ってはいない。しかし、ことの本質は本当にそこなのだろうか?

Winny以外でも同じような機能を持ったソフトは他にもあるし、Winnyを使わなくてもWinny上にファイルをばらまいてしまうウィルスもある。

使わなければ大丈夫!的な感じになっているようだ。

そもそも、なぜ?こうなってしまうのか?・・・

自分が使わなければ、流出しないのか?・・・

基本的なインターネット教育がなく、インターネットだけが進化している。Webなんか2.0になっている(笑)

例えば会社の名刺に今どきは電子メールのアドレスは書いてある。電子メールなんて言葉すら死語かもしれない。メールって言葉だけで通じてしまうのだ。

社員教育なんかでも、電話の取り方なんかはやっているはず。

しかし、メールの取り扱いなどは大手の会社以外にはやってないだろう。

でも、名刺には電話もメールも書いてある。明記する以上は最低限のことは押さえなければならない。出来ないのならば書くこと自体が無責任なことだ。

メールによるアドレス漏洩も減ってない。to・cc・bccの使い方すら解らないで使っている人も多くいる。

インターネットに繋がっているパソコンを操作するってことも、使用者には自分の画面しか見えないから、その先で何が起きたり、起こったりするのもワカラナイ。

こんな状態であれば、Winnyがどうのこうの・・・って話以前のことだろう。

企業には企業の責任があり、個人にも個人の責任がある。

キッチリとわけなければ問題の解決にもならない。

わけるにも、そのモノサシと線引きが不明確だと、なにも解決しない。解決どころか問題が発生するまでわからないのだ。

まずは最低限のインターネット教育をしなければ、問題はなくならない。例えしたとしても脅威はどんどん増えていくのだ。まったくしなければ、危険が増えるだけのこと。

何もしないセキュリティ対策という考え方もある。

どちらを選ぶか・・・答えは各自もっているのだ。

| | コメント (0) | トラックバック (1)

« 2007年2月 | トップページ | 2007年4月 »