セキュリティの最近のブログ記事

　最近、ブログを書くのを止まってます。いかんなぁとは思うものの、気持ちに余裕がないんですよね。・・・なんか毎回書いているような気もしますが。

　さて、最近気になる話が twitter 上で流れています。それが「リブラハック事件」。不起訴処分になりましたから、事件と言って良いのかわかりませんけど。これは私が住んでいる岡崎市の中央図書館「ｌｉｂｒａ」がｗｅｂ上で公開している新着図書検索システムに、あるプログラマが（プログラムを使って）アクセスして、リブラのｗｅｂサーバをダウンさせたとして、愛知県警に逮捕されたというものです。

　そのプログラマが事件の概要をｗｅｂページで公開されています（Librahack）。これについて twitter 上で議論が続いているんですね。その議論が togetter でまとめられています。

　私自身としては、技術者と言うのはおこがましいような気がしますけど、一連の流れを読むと「えっ、なんで？？？」と思ってしまいます。実際にプログラマが作ったプログラムでサーバが死んでいますので、責任がないとは言えないんでしょうけど、「１秒間に１回」程度のアクセス速度で落ちてしまうサーバのほうがおかしいんじゃないかと。ＬＡＮ環境で動作しているのではなく、ｗｅｂ上に公開されているサーバですから、アクセスが集中する可能性だって否定できません。お隣の国でよくやる「Ｆ５アタック」のほうがもっと早いような気がします。

　もう一つ、なんでこのプログラマが逮捕されたんでしょう。私がサイトの管理者であれば、特定のＩＰアドレスからのアクセスを遮断して「終了」とするはずです。それを警察に被害届を出したというのはなんとも不思議な話です。これはプログラムを納品した会社に瑕疵があるのではないかとも思っちゃいます。

　少なくとも私の市民税、ほんの少しでしょうけど、納めた税金が図書館での事件です。もう少しワッチしてみたいと思っています。

　今日のワイドショー、ほとんど「のりピー事件」一色ですね。まあタレントが薬物やっていたというのは社会的な影響が大きいという側面は否定しませんけど、もっと他のことを放映する気持ちはない・・・んでしょうねぇ。視聴率が高くなるだろうし。

　で産経新聞のページを見ていたら、『１１万７０００件の流出確認　アミューズ通販利用の個人情報』（リンク先はＩＺＡ）という記事を見つけました。
　保険会社のアリコもつい最近情報流出があったばかりです。こういう事件はワイドショー向きではないのかも知れませんが、一般消費者に対して啓蒙していくことを考えたらワイドショーでも取り上げる必要があるんじゃないかとも思います。あっ、でもコメンテーターが変なコメントを出しそうで恐いところもありますが。

　個人情報の流出に関して、罰則がないことを知っている人はどのくらいいるんでしょうか。産経新聞に『相次ぐ個人情報流出...「情報窃盗罪」がなく立件に壁』という記事があります。この記事を読んでもわかるように、民事では損害賠償請求できますが刑事事件として立件することは出来ないんですね。
　ところが、「個人情報保護法」という法律があるものだから、情報流出で刑事事件に出来ると勘違いしている人が多いこと。これは法律名が間違った印象を与えています。個人情報保護法はセミナーで話さなければいけなかったので、かなり勉強しました。罰則規定はあるのですが、これは主務大臣からの改善命令に応じない個人情報取扱事業者に対するもの。
　この法律のせいで、名簿をつくることができずに大変苦労するところが本当に増えました。

　ただ、個人情報の取扱いにはかなり気を付けないといけないのは間違いない話ではあります。刑法でしっかり定めないといけないですね。これも時代の流れに法律が追随できてない１例なんでしょう。

　『根本特殊化学（株）って知ってました？？？』の続き欄に書いた「社会保障カード」についてです。

　不勉強な私はそういう構想があることを知りませんでした。記事を読んだんですが、原則賛成です。年金問題はアメリカで言う "Social Security Number(Card)" があればあんな大きな問題にならなかったはずなんです。記事にも「いい悪いはべつとして、個人情報の一元的管理はほかの主要国もすでにやっていること」とあるように、日本もすぐにでもやらなきゃならない話のはずです。
　昭和４０年代までだったら、事務作業もほとんど手書きでしたし、作業量もそれほど多くなかったはずです。でも今はかなりの部分で「電子化」されており、作業量もかなり多くなってきています。現状では個別システムがまったく連携なく動作しているのですから、それを統合化するというのは太陽が東から昇るのと同じくらいのことだと思います。

　確かに情報漏洩は大きな問題だと思います。でも情報漏洩が恐くて導入しないというのは「羮に懲りて膾を吹く」のような感じがします。

　上では「電子化」という単語を使いました。電子化は情報化ではありません。情報化とは今までの業務を見直すことが含まれるのです。この見直しがなければそれは単なる「電子化」なのです。

　与党も野党も、「国民主権」・「公僕」という２つの言葉の意味を理解しているのであれば、もっと建設的な議論をしなくてはいけないはずなんですが。

　ＩＴＭｅｄｉａに『「GENOウイルス」は今年最大級の脅威に？』という記事が。この名前知ってましたか？。私はよく見に行くサイトがこれに罹ってしまい、数日間アクセス不能になっていたので、名前だけは知っていました。

　その罹ってしまったサイトに情報があり、『通称「GENOウイルス」・同人サイト向け対策まとめ』という wiki サイトがリンクされていました。いや、結構悪質なウィルスみたいですね。

　今のところ、私のところでは問題なさそうなんですけど、きちんと対応しなくちゃいけないですね。今巷で流行っている「新型インフルエンザ」よりも凶悪かも知れません。まあ、ウィルスといっても人に感染することはないんですけど。

　コメントのサインインが面倒なのですが、スパムコメントが増えるのも嫌なので captcha（画像文字を表示してそれを入力させる）を設定したのですが、何故か画像ファイルが表示されません。最初に画像が存在しないアイコンが表示されるのですが、すぐにそれも消えてしまいます。

perlの Image::Magick はきちんとインストールされている（はずです、一応チェックツールもパスしていますし）のにも係わらず。ソースを見てみると javascript で画像をロードして、すぐにアンロードしているみたいなんですね。これが悪さをしているんでしょうか？？？

　う～～ん、不思議な症状です。これってソースが悪いのかそれともレンタルサーバ側に問題があるのか、その切り分けもできていないんですよねぇ。

　今日は午前中知り合いの会社に行ってきました。社長さんが言うには、「諸般の事情でネットバンキングをすることになったがうまく設定できない」とのこと。初期設定さえうまくやれればノートラブルと思ってました。

　で、マニュアル通りに進めていきます。電子証明書発行まではうまく行ったのですが、その先のログインが出来ません。雰囲気としては証明書ファイルがらみみたいです。がウィルス検知ソフトを無効にするなどやってみたのですが、全く症状が変わらない。
　しかたなく、銀行に連絡してみるとごちゃごちゃ言います。結局証明書ファイルに問題がある、それはＤＥＬＬのＰＣでよく現れているなんてことを言ってます。文書番号を教えてくれたので、その文書を見てみました。

　なんてことはない、ユーザにリード権限が設定されていないだけでした。セーフモードにしてからリード権限を設定すると問題なく先に進めるようになりました。でもなんでリード権限が与えられなかったんでしょう。普通に考えたらログインユーザかつファイルを作成したユーザに権限が与えられないとは・・・。
　銀行の担当者はｄｅｌｌのＰＣ特有の症状だと言っていましたが、どうなんでしょう。まさかｄｅｌｌだけそんな変なことになるとは思えないんですが。

　先日、ある人から「windowsのオープニング画面のパスワードを忘れたときにはどう対処するのか」を聞かれませ板。その人が困っているのではなく、その人も別の人から聞かれたとのことで、こちらも話を聞いたときには「まあ、パスワードは忘れない教訓として、初期化したら」と軽く答えたのですが、ちょっと気になってググってみました。

　調べてみるとパスワードをハッキングするソフトがあるんですね。あるというのは予想できていましたが、それを簡単に検索できることがちょっと恐いなと。GIGAZINEというネットマガジンに堂々と掲載されているんですからね（その記事への直接リンクは貼りません。「xp パスワード忘れ」で検索してみて下さい）。

　確かにパスワードを忘れたときって本当に焦ります。だからと言ってハッキングソフトって最後の手段というか、知る人ぞ知るになっていないとセキュリティとしては大問題です。Microsoft としては、そうなる前の対応策があります。administrator権限を持つ別のユーザでログインする方法と、予めＦＤとかＵＳＢメモリに情報を取っておく方法の２種類があるんです。
　ということはそういった対策を講じておくのが本来であるべきです。中小企業は専任のシステム担当者がいないことが多いですから、そういう予防策を採ることがほとんどないのではないでしょうか。なんとなく考えさせられた話でした。

　ま、本来なら最初に聞かれたときにきちんと答えられてかつきちんとクライアントに対して予防策を実施していることがが私に求められていることなんですけどね。

　今日、ＩＰＡからのメールで Becky! Internet Mail Ver2.48.02 以前のバージョンにセキュリティ警告がありました。私も使っているので慌ててバージョンを見ると引っ掛かってます。早速ダウンロードして、Ver.2.50 にアップしました。
　脆弱性は開封確認に同意したとき、悪意のあるプログラムが実行される場合があるとのこと。私は開封確認を送らない・・・ってか送りたくないので大丈夫なんですが。今までＩＰＡからのメールはほとんど斜め読みだったんですが、ちょっとびっくりです。

　開封確認ってＲＦＣに定義してあったんですね。無駄なことだと思うんですが。スパムメールに開封確認がついていて、自動的に送る設定になっていたら、このメールアドレスは活きていることを知らせることになってしまいます。
　開封確認で検索してみると、やはりみなさん「無視する」ことが多いようですね。なんとなく一安心です。

　アルファルファモザイクというサイトで『IDとパスワード知ってたら誰でもログインできるって危険なんじゃないの？』というエントリーを見つけました。

　どこかで読んだような気もする（いわゆるコピペ）のですが、クライアントを含めケーススタディとして取り上げることができるのではないかと。このエントリーだけだと前提条件が少なすぎて議論がとんでもない方向に飛んでしまいますが。
　前書きとして例えば、「システム開発部長であるにもかかわらず、何も理解できていない部長」とあれば、ダメな部長の話になります。ところが「長年システム開発に従事しており、部内で認められている部長」であれば、協力会社社員のコミュニケーション能力の話になります（まあ、進捗会議でそんな話を振る部長にも問題がありますけど）。

　セキュリティにのみターゲットを絞ると
　・部長が言っているＩＤとパスワードだけでは問題がある
ことは判らないではありません。もっと対策を練る必要があるのは間違いない。問題はどこまでセキュリティを高めるために費用を掛けることができるかになるかと。この費用はシステム構築費用だけではなく、社員のリテラシーやセキュリティ意識を高めるための費用も含むことになります。
　経営陣や管理職は、コストを抑えつつもシステム側にセキュリティを高めるように求めることが多いような気がします。そりゃ、システム構築費用が安くなればなるほどありがたいと思うのは当然です。でもいくらシステムにセキュリティ対策を施しても、操作する側である「人の意識」を変えない限りはリスクは低くなりません。
　パスワードを意味のない文字列にしたところで、ＩＤとパスワードを書いた付箋をディスプレイに貼ってあれば意味がない。社員に「そんなものは貼るな。守れないやつは解雇」ぐらいは言っておかないと。セキュリティの一番大きな穴は実は「人」なんです。

　話を元に戻して、ケーススタディを１つ。
　Ａ社のシステム開発進捗会議。Ａ社システム開発部長の発言。ちなみに前回の会議では
「上のほうから、
　まだ開発が終わらないのか、
　費用が高すぎるんじゃないか、
　セキュリティをしっかりしろと言われてるんだよ。」
と言っていた。
「君たちさ～、ログイン画面でユーザ認証って言うけど、
　IDとパスワード知ってたら誰でもログインできるって事だよね？
　それってどうなの？危険なんじゃないの？」

人気blogランキングへ

　Livedoor ニュースに『「指導する側」のIPA職員がWinnyでウイルス感染、個人情報が流出。』というニュースが。

　いやはや、ＩＰＡってそういうことがないように啓蒙活動をやってきたところですから、面子丸潰れというところでしょうか。セキュリティというのはやはり性悪説で対処していかないといけないということが再認識されたというところでしょうか。
　基本的には「君子危うきに近寄らず」なんですよね。だからインストールしないのが一番。そういうことを口を酸っぱくしてまで話していたと思うんですが・・・、ＩＰＡって。

　性悪説にたっていろんな対策をするというのは経費がかかってしまいます。特に企業では生産活動からはずれることに対してはなかなかお金が出ないですから、頭の痛いところです。また個人で所有しているＰＣをすべてチェックすることは不可能ですからねぇ。

　今回の件、セキュリティ対策の重要性を理解しているはずであろうＩＰＡの職員からデータが流出したことが一番の問題です。多分その職員は退職せざるを得ないでしょう。よく知っているから、「自分だけは大丈夫」と過信したのでしょうか。
　これを他山の石として自分も肝に銘じないといけないですね。

人気blogランキングへ