セキュリティの最近のブログ記事

 毎度毎度「間が空きました」が枕詞になりつつありますね、面目ない。

 最近、スパムメールの中でタイトルに「ご注文ありがとうございます・・・」とか「Re:例の件、至急連絡・・・」というものが届くようになりました。PCでのメールソフトはこういうスパムを99%近くはじいてくれるので問題ないのですが、移動中とかにスマホでメールチェックをすると、こういうタイトルが目に飛び込んで来て、ちょっとドキッとしますね。
 この手のメールは大体
 ・文章がほとんど入っていなくて、あるサイトのURLが入っている
 ・差出人のメールアドレスが意味のない文字列になっている
ことがほとんどです。
 メール本文に記載されているURL、多分アダルトサイトか、ひょっとしたらマルウェアが仕込まれているサイトなんじゃないかと。そういうことが真っ先に考えられるので、私自身そのURLを踏むことはしませんが。

 かつてはこういうメールって、英語の文章が多かったような気がします。英語だとほぼ間違いなく無視するんですが、これが日本語で書いてあると「えっ、なんか注文したっけか?」とか「例の件!?、なんのことだ」とメール本文を見てしまいますよね。
 ちょっと頭を働かせれば、スパムメールと判るんですが。

 ともあれ、無用なアクセスをしてマルウェアなんかに引っ掛かると大変ですので、この手のメールは即刻削除して下さい。でもスパムメールって本当に多いです。私はシェアウェアの Becky! を使っているので、簡単にフィルタリングできます。ところが windows に付属しているメールソフト outlook express とか outlook はフィルタリングの機能が低くいので、どうしても受信トレイに入ってしまいます。まあ付属ソフトだから仕方ないとも思うのですが、フィルタリングに正規表現が使えないのは本当に不便ですね。
 結局のところきちんと対応したいのであれば、付属のソフトは使うなということになりますか!? まあ、スパムメールが一掃されるのが根本的な解決なんですが、それは無理ですからねぇ・・・。

 今日は朝から(と言っても結構ゆっくりではありますが)自動車免許の更新に行ってきました。おかげさまでもう30年以上無事故無違反でしっかりゴールド免許です。

 で今回の免許証からICカードです。更新の申請書に暗証番号を入力する欄が2つあり、最初こりゃなんじゃ?と思ったのですが、詳細情報の閲覧用だったんですね。

 免許証は4桁の暗証番号を2つなのですが、多分この番号は次の更新時しか使わないんでしょうね。そのときまで覚えていることができるんでしょうか。警察では暗証番号が記入された紙(感熱紙)を裸で渡されたのですが、こういう扱いって大丈夫なんでしょうかねぇ・・・。更新講習の講師は「感熱紙なので、別に控えておいて下さい」なんだそうです。

 暗証番号とかパスワード、どうしています?全部バラバラにする人もあれば面倒なので一緒にしている人もいるでしょう。私は数種類のものを使い分けているのですが、あまり使わないものはどのくらい覚えているかどうか不安です。
 IDとパスワードを覚えるソフトも結構出ていますので、みなさん困っているんでしょうね。一番間違いが少ないのは指紋や網膜パターンなんでしょうが、そこまでする必要があるのかとも。でもまあ、銀行のキャッシュカードはそのくらいした方がいいのかも知れませんね。

 たまたま免許更新で暗証番号が必要になったことで、少し思ったことを書いてしまいました。

 昨年7月に盗難に遭った自転車が市の保管所にあるという通知が来ました。警察に盗難届を出していたので、警察から書類をもらわないといけないということで、岡崎警察署の刑事課に出掛けました。
 一昔前だったら、「あん!?、何しに来た!?」というような対応もあったかと思いますが、担当の方は非常に親切で、すばらしい対応になっていたと思います。市役所や郵便局の対応がどんどん良くなってきており、その影響かなとも思いました。

 一つだけ気になったのが、部屋全体が狭いところで、かつ課員のみなさんが使っている机のスペースが狭いこと。書類の山になってるんですね。これって、非常にまずいんじゃないでしょうか。個人情報や犯罪情報など外部に漏れてはまずいものが、簡単に見られる可能性が高いですし、紛失したって、それがいつでどこからかが判らないように思えます。
 情報漏洩はコンピュータの中から漏れる可能性よりも、紙媒体のほうが確率が高いのです。あの机の状況では、書類が紛失してもどのような状況で起こったのか判断できませんし、誰かが盗み見たとしても、見ていること自体が判らないような気がします。

 まずは机の上を整理すること。情報漏洩防止の第一歩はそこから始まるのです。

 と書いている私の机が汚くて整理されていないというのが、一番いけないことなんですけどね。

 最近、ブログを書くのを止まってます。いかんなぁとは思うものの、気持ちに余裕がないんですよね。・・・なんか毎回書いているような気もしますが。

 さて、最近気になる話が twitter 上で流れています。それが「リブラハック事件」。不起訴処分になりましたから、事件と言って良いのかわかりませんけど。これは私が住んでいる岡崎市の中央図書館「libra」がweb上で公開している新着図書検索システムに、あるプログラマが(プログラムを使って)アクセスして、リブラのwebサーバをダウンさせたとして、愛知県警に逮捕されたというものです。

 そのプログラマが事件の概要をwebページで公開されています(Librahack)。これについて twitter 上で議論が続いているんですね。その議論が togetter でまとめられています。

 私自身としては、技術者と言うのはおこがましいような気がしますけど、一連の流れを読むと「えっ、なんで???」と思ってしまいます。実際にプログラマが作ったプログラムでサーバが死んでいますので、責任がないとは言えないんでしょうけど、「1秒間に1回」程度のアクセス速度で落ちてしまうサーバのほうがおかしいんじゃないかと。LAN環境で動作しているのではなく、web上に公開されているサーバですから、アクセスが集中する可能性だって否定できません。お隣の国でよくやる「F5アタック」のほうがもっと早いような気がします。

 もう一つ、なんでこのプログラマが逮捕されたんでしょう。私がサイトの管理者であれば、特定のIPアドレスからのアクセスを遮断して「終了」とするはずです。それを警察に被害届を出したというのはなんとも不思議な話です。これはプログラムを納品した会社に瑕疵があるのではないかとも思っちゃいます。

 少なくとも私の市民税、ほんの少しでしょうけど、納めた税金が図書館での事件です。もう少しワッチしてみたいと思っています。

 今日のワイドショー、ほとんど「のりピー事件」一色ですね。まあタレントが薬物やっていたというのは社会的な影響が大きいという側面は否定しませんけど、もっと他のことを放映する気持ちはない・・・んでしょうねぇ。視聴率が高くなるだろうし。

 で産経新聞のページを見ていたら、『11万7000件の流出確認 アミューズ通販利用の個人情報』(リンク先はIZA)という記事を見つけました。
 保険会社のアリコもつい最近情報流出があったばかりです。こういう事件はワイドショー向きではないのかも知れませんが、一般消費者に対して啓蒙していくことを考えたらワイドショーでも取り上げる必要があるんじゃないかとも思います。あっ、でもコメンテーターが変なコメントを出しそうで恐いところもありますが。

 個人情報の流出に関して、罰則がないことを知っている人はどのくらいいるんでしょうか。産経新聞に『相次ぐ個人情報流出...「情報窃盗罪」がなく立件に壁』という記事があります。この記事を読んでもわかるように、民事では損害賠償請求できますが刑事事件として立件することは出来ないんですね。
 ところが、「個人情報保護法」という法律があるものだから、情報流出で刑事事件に出来ると勘違いしている人が多いこと。これは法律名が間違った印象を与えています。個人情報保護法はセミナーで話さなければいけなかったので、かなり勉強しました。罰則規定はあるのですが、これは主務大臣からの改善命令に応じない個人情報取扱事業者に対するもの。
 この法律のせいで、名簿をつくることができずに大変苦労するところが本当に増えました。

 ただ、個人情報の取扱いにはかなり気を付けないといけないのは間違いない話ではあります。刑法でしっかり定めないといけないですね。これも時代の流れに法律が追随できてない1例なんでしょう。

 『根本特殊化学(株)って知ってました???』の続き欄に書いた「社会保障カード」についてです。

 不勉強な私はそういう構想があることを知りませんでした。記事を読んだんですが、原則賛成です。年金問題はアメリカで言う "Social Security Number(Card)" があればあんな大きな問題にならなかったはずなんです。記事にも「いい悪いはべつとして、個人情報の一元的管理はほかの主要国もすでにやっていること」とあるように、日本もすぐにでもやらなきゃならない話のはずです。
 昭和40年代までだったら、事務作業もほとんど手書きでしたし、作業量もそれほど多くなかったはずです。でも今はかなりの部分で「電子化」されており、作業量もかなり多くなってきています。現状では個別システムがまったく連携なく動作しているのですから、それを統合化するというのは太陽が東から昇るのと同じくらいのことだと思います。

 確かに情報漏洩は大きな問題だと思います。でも情報漏洩が恐くて導入しないというのは「羮に懲りて膾を吹く」のような感じがします。

 上では「電子化」という単語を使いました。電子化は情報化ではありません。情報化とは今までの業務を見直すことが含まれるのです。この見直しがなければそれは単なる「電子化」なのです。

 与党も野党も、「国民主権」・「公僕」という2つの言葉の意味を理解しているのであれば、もっと建設的な議論をしなくてはいけないはずなんですが。

 ITMediaに『「GENOウイルス」は今年最大級の脅威に?』という記事が。この名前知ってましたか?。私はよく見に行くサイトがこれに罹ってしまい、数日間アクセス不能になっていたので、名前だけは知っていました。

 その罹ってしまったサイトに情報があり、『通称「GENOウイルス」・同人サイト向け対策まとめ』という wiki サイトがリンクされていました。いや、結構悪質なウィルスみたいですね。

 今のところ、私のところでは問題なさそうなんですけど、きちんと対応しなくちゃいけないですね。今巷で流行っている「新型インフルエンザ」よりも凶悪かも知れません。まあ、ウィルスといっても人に感染することはないんですけど。

 コメントのサインインが面倒なのですが、スパムコメントが増えるのも嫌なので captcha(画像文字を表示してそれを入力させる)を設定したのですが、何故か画像ファイルが表示されません。最初に画像が存在しないアイコンが表示されるのですが、すぐにそれも消えてしまいます。

perlの Image::Magick はきちんとインストールされている(はずです、一応チェックツールもパスしていますし)のにも係わらず。ソースを見てみると javascript で画像をロードして、すぐにアンロードしているみたいなんですね。これが悪さをしているんでしょうか???

 う~~ん、不思議な症状です。これってソースが悪いのかそれともレンタルサーバ側に問題があるのか、その切り分けもできていないんですよねぇ。

 今日は午前中知り合いの会社に行ってきました。社長さんが言うには、「諸般の事情でネットバンキングをすることになったがうまく設定できない」とのこと。初期設定さえうまくやれればノートラブルと思ってました。

 で、マニュアル通りに進めていきます。電子証明書発行まではうまく行ったのですが、その先のログインが出来ません。雰囲気としては証明書ファイルがらみみたいです。がウィルス検知ソフトを無効にするなどやってみたのですが、全く症状が変わらない。
 しかたなく、銀行に連絡してみるとごちゃごちゃ言います。結局証明書ファイルに問題がある、それはDELLのPCでよく現れているなんてことを言ってます。文書番号を教えてくれたので、その文書を見てみました。

 なんてことはない、ユーザにリード権限が設定されていないだけでした。セーフモードにしてからリード権限を設定すると問題なく先に進めるようになりました。でもなんでリード権限が与えられなかったんでしょう。普通に考えたらログインユーザかつファイルを作成したユーザに権限が与えられないとは・・・。
 銀行の担当者はdellのPC特有の症状だと言っていましたが、どうなんでしょう。まさかdellだけそんな変なことになるとは思えないんですが。

 先日、ある人から「windowsのオープニング画面のパスワードを忘れたときにはどう対処するのか」を聞かれませ板。その人が困っているのではなく、その人も別の人から聞かれたとのことで、こちらも話を聞いたときには「まあ、パスワードは忘れない教訓として、初期化したら」と軽く答えたのですが、ちょっと気になってググってみました。

 調べてみるとパスワードをハッキングするソフトがあるんですね。あるというのは予想できていましたが、それを簡単に検索できることがちょっと恐いなと。GIGAZINEというネットマガジンに堂々と掲載されているんですからね(その記事への直接リンクは貼りません。「xp パスワード忘れ」で検索してみて下さい)。

 確かにパスワードを忘れたときって本当に焦ります。だからと言ってハッキングソフトって最後の手段というか、知る人ぞ知るになっていないとセキュリティとしては大問題です。Microsoft としては、そうなる前の対応策があります。administrator権限を持つ別のユーザでログインする方法と、予めFDとかUSBメモリに情報を取っておく方法の2種類があるんです。
 ということはそういった対策を講じておくのが本来であるべきです。中小企業は専任のシステム担当者がいないことが多いですから、そういう予防策を採ることがほとんどないのではないでしょうか。なんとなく考えさせられた話でした。

 ま、本来なら最初に聞かれたときにきちんと答えられてかつきちんとクライアントに対して予防策を実施していることがが私に求められていることなんですけどね。

2013年4月

  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        

アーカイブ

お気に入りリンク

OpenID対応しています OpenIDについて

人気ブログランキング

最近のコメント

最近のトラックバック

Techonrati

Technorati search

» リンクしているブログ