« 2007年7月 | トップページ | 2007年9月 »

2007年8月

2007年8月24日 (金)

「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデルのトレードオフとは?

「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデル:スペシャルレポート CNET Japanより

2007年4月にJared DeMott氏が設立したVulnerability Discovery and Analysis Labs(VDA)は、製品中に発見されたセキュリティバグを開発元のソフトウェアベンダーに通知する。この点は他のセキュリティ研究者と変わらない。

次にVDAは、発見したバグや同社のコンサルティングサービスに対する支払いをベンダーに要求する。さもなければ、バグを第三者に売るか、あるいはセキュリティ上の脆弱性について詳細を公表するとベンダーを脅迫する。これはすべて、VDAがビジネスモデルの一環として行っていることである。

National Security Agencyなどで働いていたDeMott氏は、自身のビジネスモデルを「先鋭的」と表現する。しかし他のセキュリティ研究者の目にはまるで「恐喝」に見える。どちらにしてもこのビジネス手法は、ソフトウェアベンダーやセキュリティ会社で働くバグハンターのこれまでの仕事の流儀からは大きく逸脱している・・・

先鋭的?恐喝?仕事の流儀?

これらは、果たして本当にそうだろうか?

このビジネスモデルを否定するつもりは全くない。むしろ彼らが言うように先鋭的だろう。

恐喝が良いとはもちろん思っていない。しかし、どの立場に立って、誰のために、何をするべきか?方法の一つとしては、有効かもしれない。

セキュリティにも、ソフトウェアにも、人間がすることにも、バグは存在する。バグのない何も間違いのないものは、何一つないと思う。

この話において、当事者は3人だ。

1.バグのあるものを作ってしまった人

2.バグのあるものを使っている人

3.バグを発見した人

通常ならば、1と2だけの話だろう。

1の立場で言えば、バグであっても認められない時もある。もちろん修正のための誠意努力はするだろうが、バグと認められない、認める訳にはいかない都合もあるだろう。

3の立場で言えば、そのバグを見つけてあげたのだから、金銭の要求をするのは当たり前って感じだろう。見つけるための努力もセンスも手間もあってこそ、バグの存在を明らかに出来るからだ。

2の立場で言えば、どうでも良いから、どっちでも良いから、バグがあるのならば早期に安全な策を講じてもらいたいもの。

物事には、誰かが得をすれば、誰かが損をするものだ。

しかし、1も3も本当に利用者のことを考えているのだろうか?

バグという瑕疵を見つけた、その状態を明らかにして作った側に提供もしている。

情報セキュリティに限らず、情報とはこんなものだ。聞くまではわからない。解っていれば作った側もバグと認めないまでも対応策は考えるだろう。事が被害が大きくなる前に・・・

その進め方において、金銭を要求するから恐喝だと言えるのだろうか?

これが単なる脅かしなだけだろうか?

ビジネスモデルはどうでもいいが、バグが見つからなければ良いのだろうか?

まったく違う話になるが見つけたって部分だけで言えば、例えば金の鉱脈を見つけたとしよう。石油でもいい。

見つけた場所は、見つけた人が金銭に変えられる情報になり、それを欲しがっている人にも貴重な情報だ。

この情報は場所になる。特定の場所が情報になる。知らなければお互いに金銭に換える事はできない。

見つけた人が自分で掘っちゃう場合は話が変わってしまうが、情報を売るのであればこうなる。

ポジティブな情報だから良いのだろうか?Win-Winになれるから良いのだろうか?

では、バグを見つけた対価は、作った側にとって見つけてくれなければ払うことも、考えることもないネガティブな事なのだろうか?

私はずーっとセキュリティはバランスさえ取れれば、成立するものだと考えてきた。

しかし、行き着いた答えは、トレードオフだった。

バランスがとれて、全員にとってハッピーな事はあり得ない。これが行き着いた答え。

情報ってものは金銭的価値がコロコロ変わるもの。コンサートなどもライブって生の音楽を提供している。これも一種の情報だ。ダフ屋が持っているチケットも開演直前が値のピークになり、次第に下がっていく。終わってしまえばただの紙。

金が動くからビジネスが成立する。ビジネスが成立するから金が動く。

このビジネスモデルは乱暴な方法かもしれないが、見つかってしまったもの、見つけてしまったものが、バグであれば直すしか選択肢はない。その時間的猶予が短いだけ。

利用者にすれば、直してくれなければセキュリティが弱い状態が続くし、そんなものセキュリティ商品としてダメである。

だから早く対応しなくてはならない事になる。そう考えるとこのビジネスモデルは痛いとこを突く、うまく考えられたものかもしれない。

見つけちゃったほうも、見つかっちゃったほうも、早く手を打ってもらいたい。

それなりの責任があるのならば、利用者にセキュリティを提供しているのだから・・・

セキュリティに携わる端くれとしても、誰に本当に必要なものを提供するのか、改めて考える機会を頂いた。

トレードオフしなければ案配のいい、都合いいバランスはない。

だから、セキュリティってなに?

| | コメント (0) | トラックバック (0)

2007年8月21日 (火)

どうすれば?個人情報に対する意識を高める

どうすれば個人情報に対する意識を高められますか?スラッシュドット ジャパンより

最近、暴露ウイルスや情報媒体の紛失、不正アクセスなど様々な要因によって個人情報の漏洩事件が起きています。
情報漏洩対策は、情報を扱う組織全てで早急に対応すべき業務だと思いますが、対策が不十分なせいか、情報漏洩事件の件数は減少しているようには思えません。特に、「暴露ウイルスに感染する可能性の高いマシンに個人情報を保存する」「個人情報をブログ等に掲載する」等が原因で発生した事件については、多くの類似事件がニュース等で取り沙汰されているにも関わらず、未だに同じ原因での情報漏洩が起こっており、「個人情報を漏らした組織は,キツい社会的制裁を受ける」という認識もまだまだ一般的ではないように思います。
そこで/.Jの皆さんにお伺いしたいのですが、皆さんが所属している組織では、情報漏洩に対してどんな啓蒙活動を行っていますか? また、皆さんが個人情報を扱う際に注意していることは何ですか?

いつも興味深い記事を読ませてもらっている。

今回も興味深いテーマだ。テーマもさることながら、机上の空論でない実態のコメントが参考になる。

是非、読んでいただきたい。

では、どうすればいいのだろうか?

乱暴な言い方になるが、一言で言えば

実際に被害者or加害者になる!

これしかない。

本当は、そうなる前に知っておきたいことだし、知っておきべきこと。社会的な責任は企業にも個人にも及ぶのだ。

いずれも、自分自身が体験しないと意識は高まらない。

また、コンピュータに限ったことでもないことも知るべきこと。

確かに、コンピュータによる大容量のデータが扱えるようになった影響は大きい。

インターネットによる情報伝達のスピードが、なかった頃よりも格段に上がったことも事実。

ブログやプロフなどで、トラブルに発展するケースも増えている。

・じゃあ、これらが原因のすべてだろうか?

・情報自体は、昔から存在していたのでは?

・コミュニケーションの方法が無機質になったからか?

啓蒙なんて誰も聞きたくないし、興味がないこと。私は引き続き行っているが・・・

なぜ興味がないのか?すべては対岸の火事にしか思えていない日本人の歴史的な情報に関する接し方の問題だ。

情報の価値や判断に、普遍化した基準はない。これは、受けて側が判断するし、発信側の意図が必ずしも伝わるとは限らないから。

逆説としては、発信側に意図もないのに、受け手側が掘り出し物発見になるケースもある。

実態のない情報ってものを、どのようにとらえるか?考えるか?その判断基準となるようなケーススタディをしないとわからない。これを啓蒙と呼ぶ。

自分に直接的な影響があることであれば、誰しも興味を持たざるを得ない。自分のことだから。

例えば、社内で内緒話をするときに普通の大きさの声で話すだろうか?

会話をしている相手だけとの共通言語である、隠語などを使わないだろうか?

意外と盲点になる場所は、トイレだったりする。男性トイレに限れば、小便をしながら結構重要な話をしているものだ。

過去のブログにも書いてあるので、興味のある方は見ていただきたい。

個室に人はいるもので、私なんか何度も個室で偶然に聞いてしまったものだ。

それでも話す時は、個室のドアが全開で誰もいないことが解っているときだけに限っている。

その内緒話を、なんで社外に出ると普通の声で隠語も使わずに話すのだろう?

これも過去に書いているので、興味のある方は・・・

で・・・

耳かきでキレイにして、過去ブログと同じことをしていただきたい。その為にわざわざしなくとも大丈夫。

いくらでも機会はあり、場所も何処でもいい。こんなところで使いたくないが、ユビキタスそのもの。

それで・・・啓蒙どうしますか?

| | コメント (0) | トラックバック (0)

2007年8月17日 (金)

スパムや脅迫、大量破壊兵器も――仮想世界の厳しい現実

スパムや脅迫、大量破壊兵器も――仮想世界の厳しい現実ITmedia エンタープライズより

Symantecによると、Second Lifeのような仮想世界がユーザーの実生活にも被害をもたらしかねない状況になっている。

オンラインゲームやSecond Lifeのような仮想世界でスパムなどの悪徳ビジネスが増大し、ユーザーの実生活にも被害をもたらしかねない状況になっている。Symantecがブログで報告した。

Symantecによると、実生活と同じく、仮想社会でもルールを守らない者は存在し、脅迫やいじめらに遭ったり、金銭を要求されて従わなければ仮想グッズが破壊されることもある。Second Lifeでは大量破壊兵器も見つかっているという。

場合によってはオンラインゲームアカウント販売の方がクレジットカード番号を盗むよりも実入りが良く、ゲーム内スパムなどのビジネスは増大。その宣伝のために次々と新しい手口が考案されているという。

オンラインゲームのWorld of Warcraftでは数週間前、死んだノーム(精霊)が空から大量に降ってきて、あるURLを構成するという「事件」があった。これはスパマーがメッセージをばらまこうとして仕掛けたものだとSymantecは解説する。

ブラジルでは先月、人気ゲームGunBoundの男性プレーヤーがリアルライフのデートに誘われ、女性に会えると思って出かけて行ったところ、地元の暴力団が待ち構えていて銃を突きつけられ、ゲームのスコアを暴力団のアカウントに移すよう要求された。その後この暴力団は警察に逮捕されたという。

オンライン世界は安全な逃避の場ではなくなりつつあることを、ゲーマーも認識する必要があるとSymantecは警鐘を鳴らしている。

以前より脅威を感じていたことだ。実はこれ現実社会よりも、この仮想社会のがこわいと思っている。

インターネットはボーダレスなもので、ビジネスからエンターテインメントに至るまで、社会インフラの重要な一つになった。

ネット以前には考えられないような、海外の文献を調べたり、情報の検索も容易になった。ウィキペディアなどは便利に使わせてもらっている。

ビジネスシーンにおいても、メールがなくなると連絡手段がなくなり、不便になることは容易に想像できる。

一方で、必ずしも便利が一番でもなかったりするが、便利に慣れてしまうとギャップとして不便になった時に、便利さを知るものだ。

一時は、インターネットはユートピアなものであると、思っていた頃もあった。

この仮想社会は、現実社会の延長にあり、現実に出来ないようなことも仮想では出来ちゃったりする。

どうも、現実と仮想の隔たりというか、使う側の認識が足りない。

まるで、海外旅行にいったお上りさん観光客のように、羽を伸ばしてしまう。旅の思い出で済めばそれもあり。

インターネットでも思い出で済むことであれば、それもよし。

脅威を煽る訳ではないが、仮想における現実を知ってもいいだろう。知るべきである。

現実の延長に仮想があるので、欲望系などは爆発してしまう。

それもその中だけで完結するのであれば、問題ないこと。だから仮想世界なのだから・・・

この一見、ウィルス対策に似ている流れを整理すると・・・何度も書いているのでしつこいが(笑)

1.ウィルスが出現する。

2.対策更新ファイル(ワクチン)が出来、それで万事休すとなる。

この順番が間違うと、社会問題になってしまう。1より先に2が出たら・・・賭博じゃないのだから。

これを、今まで書いたものに当てはめると・・・

1.現実社会の延長に仮想社会がある。

2.仮想世界では、現実世界で出来ないことが簡単にできる。だから仮想なのだ。

これも、順番が間違うとどうなるだろうか?

仮想世界のことが、現実世界と区別がつかなくなり、仮想を現実にしてしまうことになる。

これが、どういうことになるかというと・・・

書くのも、考えるのも、あまりしたくないほどの、現実がある。容易に想像できるのでしていただきたい。

例えば、幽霊の存在が仮想であるとするならば、見てしまったり体験してしまうのは現実なのか?怖いことには変わりない。

では、通り魔は現実にいる。事件にもなっている。刺されれば現実に血も出る。

仮想の幽霊にあってしまうことよりも、現実の通り魔に刺されることのが、余程怖い。現実だからだ。

先の記事にあるような、仮想の延長に現実がきたらどうなってしまうのだろうか?

一つの考え方として、重要なことであると考えている。

| | コメント (0) | トラックバック (0)

2007年8月14日 (火)

都合で決まる個人情報の定義

今日の夕刊に気になった記事が2つあった。

いずれも医療機関での出来事。

1つは、個人情報だから開示できないって記事。記事の内容は、日経の夕刊を見ていただきたい。私がここで書けるような話ではなく、本当にひどい話だ。医療事故に関する記事だった。読んでいて怒りがこみ上げるような内容だった。

2つ目は、院内から個人情報の入ったPCが盗難されたって記事。どれほど厳重に管理していたのか不明だが、私の知る限りずさんな管理をしている”場所”は多くある。ここがそうだったのかわからないが、結果として盗難にあった。仮に盗難に遭っても物理的なハードウェアとしてのPCならば、また買えばいいだけ。しかし、患者の情報が入った状態にあったことを考えれば、管理体制が出来ていたか?非常に疑問である。

シンクライアントのような端末であれば、中身までは持って行くことは出来ない。集中的に管理された情報センターの情報が盗まれたのであれば、話は変わる。それでも管理体制に問題は出てくるが、問題が激減することは明白である。

人の出入りが多く、施錠もしてなければ持って行かれて当たり前。しつこいようだが、PCだけなら買えばいい。中身にどれほどのデータが入ったものを使っているのか?よくよく考えなければ、使う資格はない。

1つ目の医療事故に関する内容は病院側の都合で”個人情報だから開示できない”って話だ。列車事故があった時の病院側の対応で個人情報を開示出来ないって話もあった。これも様々な意見はあるが、個人情報の開示に関する同じことであっても、今回のケースとは若干違うように思える。

今回のケースでは、単純に病院側の勝手な自己都合により”個人情報の開示を拒否した”問題だ。都合の悪い話は、個人情報だから・・・って開示を拒んで良いのだろうか?誰を中心に考えているのか?医療機関にとって大切なことは、お客様である患者に健康にならずに病気になってもらい、またのご来院をお待ちしています!なのだろうか?

2つ目のケースでは、盗難を回避できるだけのセキュリティ対策が本当にされていたのだろうか?

このケースに限らず、回避できるだけのセキュリティ対策に上限はない。扱っている中身をよくよく考えれば、方法はいくらでもあったはずだ。この管理をしていたのは番犬でもなく人間なのだから・・・

この管理をしていた人の病院が持っているような情報が盗難されたPCに入っていたらどうだろうか?

自分の個人情報を超えた、自分の医療情報が入ったものであれば管理方法もかわっていたはずだ。

自分に関係のない、仕事で使う情報って見方をしていたとしか思えない。医療機関に限らず個人情報でも企業の機密情報でも、自分に関係ないとこうなってしまうのだろうか?

結局、都合が悪いと”個人情報だから・・・”と拒否し、管理体制がどんな状態であっても、盗難に遭いました!って都合のいい話はあるのだろうか?って、実際にあったから書いている。

こんな事件は今までもあったのだろう。ここ数年は何でも報告さえすれば良い風潮になってきている。

盗難・・・紛失・・・

医療機関に限らず、行政機関においても同じことだし、民間企業であっても同じこと。

その中に自分自身の情報が含まれていても、個人情報の定義は都合で決まるのでしょうか?

はっきり言えば定義なんてどうでもいい話で、もっとするべきことってあるんじゃないか?と思うのだ。

こういう話は、勝手に都合だけで決めてはイケナイことを関係者の方々は肝に銘じていただきたい。

| | コメント (0) | トラックバック (0)

2007年8月 7日 (火)

そんなに簡単にパスワードを聞くか?

こんな私でも情報セキュリティに携わる端っこにいる。

パスワードの大切さもよく解っているつもりだ。

最近では、文字だけでないパスワードのようなものまである。写真の組み合わせだったり、人名の組み合わせだったりと、いろんな組み合わせで一致させる。パスワードは名前の通り、文字の組み合わせだから、解りやすい文字や頭文字の組み合わせがよく使われる。だから、パスワードを解析する辞書には普通の辞書のような文字が並ぶ。アニメキャラクターの辞書ってのもあるくらいなのだ。

不規則な文字列は覚えられないので使われ難いが、パスワードの強度としては強くなる。

人間が覚えられるパスワードの文字数は、脳科学的には7-8文字が限界らしい。不規則でない文字であれば、それ以上も楽に覚えられるだろう。私はそうしている。

では、何種類のパスワードを使うだろうか?10も20も使っている人がいるのだろうか?

もちろん、職種によってはそれ以上も必要で、パスワード管理ツールなどで管理しているだろう。

ここでは、自分の記憶で覚えられる話をしている。

通常の範囲は何とも不明確だが、私は数個のパスワードを忘れない組み合わせで利用している。

そんなものではないだろうか?現実問題としては・・・

最近、私自身が体験した信じられない出来事。

とあるパソコンメーカーの話。

経緯は***が***して***だったのだ。詳しく書けないとこは勘弁してほしい。

パソコンには電源を入れた起動時に、パスワードの設定ができる。また起動直後のパソコンのハードウェア設定画面(BIOS)に入るために、パスワードの設定も出来るものもある。

色々とあり、メーカーとのやりとりでパソコンを戻したのだ。

忘れた頃に連絡があったのが最近。その連絡内容は、BIOSのパスワードを教えてくれ!だったのだ。

起動時のパスワードは解除した覚えがあるが、BIOSのパスワードを解除したかの覚えがない。

でもパスワードが掛かってるらしいから、そうなのだろう。

何が信じられないかって、パスワードを電話で聞き出そうとする”その行為”だ。

ソーシャルエンジニアリングとまでは言わないが、同じようなこと。

10年前なら、プロバイダーに電話連絡してその場でパスワードを教えてくれた時代もあった。

ほとんどがプロバイダーの設定したパスワードで、自分で決めたわけではない。

しかし今時は、こんなことも簡単にできない。こんな場合は郵送で送られた書類に面倒なやりとりをした後に、書面にてパスワードが送られてくる。当たり前のこと。面倒ではあるが・・・

BIOSに使っているパスワードも、ほかで使っているパスワードの一部だ。先に書いたとおり、そんなに記憶出来るものではないからだ。

これを、電話口で簡単に答えるほど甘くはないのだ。情報セキュリティに携わる端っこにもいる以上は。

このメーカーの質問は、初対面の相手に対して”今日のパンツは何色だ?”と聞いているのと変わらない。

あくまでもお願い事だから、同意の上で教えてくれ!と、訳のわからない理由を連発していた。

もしも、その理屈が通るのであれば、同意の上でパンツの色を聞くのか?同意しないから教えない?

そもそも、同意以前の問題ではないだろうか?聞いてみなきゃ解らないのだろうか?

とりあえず、聞いてみるのだろうか?駄目もとで・・・

メーカーは、個人情報の関係もあり聞いても厳重な管理の下に・・・と言っていた。

パスワードは、個人情報の枠を超えたプライバシー相当に該当するものと私は考える。

そこまで言うならば、電話で教えても良いと言ったのだ。そんなに引っ張るような話ではないが、”その行為”があまりにも常識を外れたことだったからだ。

ここで、聞いてしまう責任ってのがあることを忘れてはならない。相手が聞きたくもないのに、私が一方的に言うこともできる。例えば、”私は殺人をしてしまった”と。もちろんしたことはないが、聞いてしまった相手はどうだろうか?

一方的に聞かされてしまうこともあるのだ。

同意の上で聞くのであれば、聞く責任をもっと考えるべき。もしも何かあった場合には、そんなもの知っている人は限定されるのだから、トラブルに巻き込まれるリスクは避けられない。

**情報って個人も含め、教える側にも、聞く側にも、双方に責任が生じることを改めて認識していただきたい。

引き続き、この件は追いかけることにする。

| | コメント (0) | トラックバック (0)

2007年8月 5日 (日)

ここだけの話・・・

「ここだけの話だけど……」、MSN Messenger経由でマルウェア拡散ITMediaエンタープライズより

F-Secureによると、「MSN Messenger」経由でマルウェア感染が広がっている。
2007年07月31日 10時23分 更新

セキュリティ企業のF-Secureは、Microsoftのインスタントメッセージング(IM)
ソフト「MSN Messenger」(Windows Live Messenger)経由でマルウェア感染が広
がっていると伝えた。

このマルウェアは、MSN Messengerに登録されているコンタクト宛てにメッセージ
を送信する。内容は「Psssssst .... just between me and you, please accept」
(シーッ、ここだけの話)、「Looking for hot summer pictures ? well here they
are !!」(ホットな夏の写真を探しているならここ)などの文面で、リンクのクリッ
クを促している・・・

ここだけの話・・・

うーん、何ともくすぐられるような話。聞いてみたくなる衝動にかられる(笑)

ワイドショーや女性週刊誌などを見ていても、ん?と思うことがあったりする。

が、私もそれを見てるから知っているのだ(爆)疑問に思うよりも、知りたい欲が動いてしまう。

しかし本当に”ここだけの話・・・”ってあるのだろうか?
まったくないとは言わない。実際にそんなことも多くある。

正確に正しい数字を計ったことはないが、圧倒的に”ここだけの話・・・”は少ない
だろう。

ここだけの話・・・実は・・・誰にも言っちゃだめ・・・みんな知らないけど・・・

なんだかこれって、最近でも新聞紙上を賑わしたりしている事件と変わらないのでは
ないか?

ネット系の犯罪や詐欺など色々とあるが、その本質はネットに限ったことではない。

単にネット空間を使っただけの、古典的な手口。

それでも、聞きたい、知りたい、見たい・・・って思うもの。それが人間の心理なの
だから
仕方ない。

抑えられない衝動があるのも、ネットに限ったことではないって事を何となくでも
知っとくだけ。
それだけでも、多少は良いだろう。

掘り出し物や見っけモノ、トラップや落とし穴。背中合わせに常にあるもの。

聞いてしまう責任と、聞きたくなってしまう誘惑。

言いたい側も、誰かに伝えたい人間の根本欲求がここにある。

情報セキュリティと遠くない話だ。

それでも聞きたい”ここだけの話・・・”

| | コメント (0) | トラックバック (0)

« 2007年7月 | トップページ | 2007年9月 »