保守用パソコン盗難でPHSの位置情報流出の危機 121
ストーリー by Oliver
そのノートいまどこ? 部門より
そのノートいまどこ? 部門より
Anonymous Coward曰く、"21日の共同通信配信のYahoo!ニュースによると、NTTドコモの保守業務委託先がノートパソコン等の盗難に遭い、盗まれたパソコンには、顧客情報57,000件のほかに、PHSの位置検索サービス「いまどこサービス」のパスワード110件などが含まれていたという。共同通信は「パスワードが悪用されれば、第三者がPHS所有者の場所を検索できる可能性があった」としているが、NTTドコモの発表文によれば、PHS番号と緯度経度情報の組の125件も含まれていたようで、ドコモは、「この情報の多くは、それぞれが何の情報であるかを表示しておらず、英数字の羅列情報になっており、また、パソコンにはパスワードが掛けてあることから、解読は容易にはできない状態」としている。"
位置情報が取れるなら (スコア:2, すばらしい洞察)
と素直に思った
#現物盗られたような事件はどうも対処が難しいでしょうね
Re:位置情報が取れるなら (スコア:2, すばらしい洞察)
盗まれても大丈夫なのではなく (スコア:2, すばらしい洞察)
「パスワードや暗号化が完璧だから盗まれても被害はすくない」
なのではなく
そうやって保守用のパソコンなんかが盗まれることが問題っていうのを考えないのだろうか。
顧客情報漏洩に関しても言えるんだけどなぜ盗まれても
「名前と年齢だから大丈夫」等々・・と論点を変えて逃げるのだろうね
パスワードが解析されないにしても企業イメージの低下にもなるし
もうちょっとしっかりして欲しいですね
#きっと、可能性っていうのはその辺に落ちているんだけど
#気がつかない物じゃないかなと思う。
Re:盗まれても大丈夫なのではなく (スコア:5, すばらしい洞察)
言い替えればパソコンのように小さくて移動が容易な物はいずれ盗まれるものだと仮定し、 「盗まれやすい物の中に大事な情報を置かない」 という方針で対策をすれば安く確実ということです。 この方針をシステム化すれば、全国全てのオフィスで統一した 対策が実現できます。
「盗まれるような状況下(物理的位置等)に(ノートパソコンなどを)置かない」 という指針ではその対策状況は全国でばらばらになり、 各人の意志に依存した恣意的対策となります。 それに依存していては安全対策として不完全です。
パソコンが盗まれるわけがないと思い込んで、
パソコンが盗まれた場合の対策を取らない方がもっと問題です。
パソコンが盗まれることを前提にしっかり対策しておけば、
パソコンが盗まれてもさしたる問題ではありません。
大事なのはパソコンという器ではなくて、その中で扱われるデータです。
Re:盗まれても大丈夫なのではなく (スコア:2, 興味深い)
その「データ」が盗む手段として盗聴とかされたら、どうだろうか。
たとえば、事務所内は防犯対策、情報漏えい対策しっかりしているようで、MDFとかビル外の電話施設に関しては
無防備な所が多かったりとか。
そこまでやったらきりがないと言うのもありますが。
/* Kachou Utumi
I'm Not Rich... */
Re:盗まれても大丈夫なのではなく (スコア:1)
> パソコンが盗まれてもさしたる問題ではありません。
理屈の上ではそうなんだけどね。
たとえ暗号化されているデータでも、誰とも知らぬ人間の手に渡るのを気持ち悪がる人は少なくないと思う。確率がどれだけ低くても、力任せにやれば解ける可能性があると言われるとなおさら。
盗まれても大丈夫、な体制にするのは重要だけど、やっぱり、まず盗まれないようにするのが「お客の安心感」を維持する上で重要なのでは。
Re:盗まれても大丈夫なのではなく (スコア:2, 参考になる)
> に渡るのを気持ち悪がる人は少なくないと思う。確率がどれ
> だけ低くても、力任せにやれば解ける可能性があると言われ
> るとなおさら。
端末が端末に徹するというのは
ローカルにデータを保存しないことから始まりますよね
常にオンラインで読み書きし
終了したらセッションを切る
それ以降は盗まれてもデータは入っていない
全然気持ち悪くありません
Re:盗まれても大丈夫なのではなく (スコア:2, おもしろおかしい)
社内の片隅で動いてるサーバに保存しても・・・。
保守 (スコア:2, おもしろおかしい)
この手の「オオボケ」が最近日本では増えてますな。
パスワード (スコア:1, すばらしい洞察)
の一文に、一瞬ほう? と思ったが、考えてみれば
これたぶん、Windowsログオンのパスワードだよね。
当たり前のことをさも対策とってたかのように言うんじゃない。
# しかもパスワードがブランクだったりしないだろうね
-- Tig3r on the hedge
Re:パスワード (スコア:3, 参考になる)
昔の World PC Expo で、IBM が ThinkPad のこのファイルを表示させよう、みたいな企画やっていました。 そのときの説明では、このようなセキュリティ対策ができるんだそうで。
金かけて HDD のサルベージとかすれば、HDDのパスワードを突破することはできるけど、そのあとは難しそう。
Re:パスワード (スコア:3, 参考になる)
ThinkPad だと、HDD まるごと暗号化したときの鍵は、セキュリティチップの中に入っている [ibm.com]らしいから、まずここを突破できないと思う。
Re:パスワード (スコア:2, すばらしい洞察)
Windows のログオンパスワードだろうが、BIOS のパスワードだろうが、HDD 抜き出して、Linux マシンに mount すれば、中身は丸見えです。
むらちより/あい/をこめて。
Re:パスワード (スコア:2, すばらしい洞察)
っていうのは、こういう事件が起こったときの気休め効果のある状況説明の定石として認識されてきてるんじゃないでしょうか。
最近のこれ↓もそうだったし。
http://headlines.yahoo.co.jp/hl?a=20040910-00000036-san-soci [yahoo.co.jp]
Re:パスワード (スコア:2, 興味深い)
メモ帳で開けば見れるっつーの。
これで「個人情報の漏洩対策は万全」といっているのですから、なんだろうなあと思う次第です。TVCMを常にしているようなところでもこんな扱いなのですから、他は言わずもがな、だと思っています。
#こんな例もあるよ、ということでAC
Re:パスワード (スコア:1, 興味深い)
万一HDD抜かれた場合に対して
重要なファイルはNTFSの暗号化を掛けとけと言われています。
Re:パスワード (スコア:3, 参考になる)
それはちゃんとした暗号化だから生の鍵を盗まれるとか相当に
高性能なコンピュータで解読を試みるとかされない限りは大丈夫。
参考:
EFS ファイルを開くと破損しているように見える [microsoft.com]
Re:パスワード (スコア:2, 参考になる)
Syskeyモード2(鍵の暗号化)か3(フロッピーに保存)を使えば安全だそうな。
Re:パスワード (スコア:3, 興味深い)
攻撃手法を知っている人には数年前から知られている有名な手法だと思うので、書きます。
Windows 2000 の古いバージョン(SP版)の場合は、
EFSを使っていても、SAMの強制書き換えでEFSの暗号化を解除できるようですね。
Offline NT Password & Registry Editor [eunet.no]
また、SIDを指定して新しいユーザを作成するツールも存在するので、
ドメインに参加していない場合等は、そちらの方から攻められる可能性もありますね。
Re:パスワード (スコア:1)
もしそこまでしていたら、明らかに個人情報を盗む目的に泥棒してないか?
Re:パスワード (スコア:1)
。。。。。。。。。もしもその泥棒さんが、たまたまここを読んでいたら。。。
# うんにゃら幇助罪でタイーホですか? (;_;)/
むらちより/あい/をこめて。
Re:パスワード (スコア:2, 興味深い)
俺の記憶が確かなら、現在データそのものを盗むことに罪はないので、
HDDの取り外しかたを教えたなら幇助になるかもしれませんが、
データの抜き出しかたなら何ら問題はなかったと思います。
ただ、不正アクセス禁止法幇助にならないために、
最初にその方法が「あなたにアクセス権が有るが、パスワードの紛失などの事情によりアクセスできないときの方法」
であるとの前置きはあった方がいいかもしれません。
1を聞いて0を知れ!
Re:パスワード (スコア:1, 興味深い)
高く売りつけるんじゃない?
マニアじゃあるまいし。
Re:パスワード (スコア:1)
Re:パスワード (スコア:2, 参考になる)
Windows 2000 以降の NTFS であれば、ファイル/フォルダ単位での暗号化が可能です (参考 [atmarkit.co.jp])。「パソコンにはパスワードが掛けてある」とか言っている辺り、この辺の処置が施されていたかどうかはあんまり期待できないですが (^_^; 。
むらちより/あい/をこめて。
Re:パスワード (スコア:1, 興味深い)
ノートパソコンの説明書によると、パスワードをかけると別のパソコンに取り付けてもパスワードを入れないと読めないそうだ。パスワードはBIOSパスワードと共通になっていた。
パスワードロック対応HDDでしか動きませんだそうです。
仕組も知らないし、試して見た事もありません。たぶん起動しないだけだろうから、ファームを書き換えれば読めるのかもしれませんね。
とは言うものの盗難対策には十分な気がします。
Re:パスワード (スコア:1, 興味深い)
Re:パスワード (スコア:1)
Re:パスワード (スコア:1)
And now for something completely different...
Re:無根拠な憶測を流すほうもどうかと... (スコア:1)
反省して、文を
「当たり前のことをさも対策を採ってたかのように発表したのかもしれないねぇ」
と訂正します。
-- Tig3r on the hedge
経緯度は東京タワーと都庁(オフとぴ) (スコア:2, 興味深い)
さらに、データの件数が多ければ、緯度の35やPHS番号の070のように変化の少ないパターンで、推測の精度が上がりますし。
想定は、以下の通りでした。
Re:パスワード (スコア:2, おもしろおかしい)
大事なものを盗まれただめなやつについて話している場所ですよ。
norimu
シナリオ1 (スコア:1)
なので、好き者に供覧され多数によりアタックされる。
# 出所を伏せておくとありそうかな?
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:実は。。。。 (スコア:3, おもしろおかしい)
前提で書かれているとしか思えないものばかりなんだろう?
Re:実は。。。。 (スコア:3, すばらしい洞察)
頼むから・・・・ (スコア:1, 参考になる)
(暗号しているしないに関わらず)。
関係ないけど
最近どっかのテレビ番組でやってましたね
1987年以降のカードには、暗証番号も記録されていると・・・
その昔は、預金残高も記録していましたが・・・・
Re:頼むから・・・・ (スコア:3, すばらしい洞察)
御意。
そもそも、こういう情報はDBに格納されているでしょうけど、それをわざわざダウンロードして何をしようと思っていたんでしょ? > 保守業務委託先
顧客情報57,000件というんだから、「ちょっと作業用として」という言い訳は通用しないような...。もしこれが「作業用必要」な工程なら、そんなプロセスを採用していること自体、セキュリティ上問題だと思う。
# ftpでパソコンにダウンロードして、それを手で
# 別のシステムに転送&反映? (ありがち)
Re:頼むから・・・・ (スコア:1)
たぶん何も考えることなく安易に持って帰ったんだと思われます。
ふつ~、保守で何かやるにしても一般顧客の実情報なんて使いません。まずはあらかじめ用意されている複数のテスト用情報を使い、最終的には実情報とまったく同じにDB上に作られたダミー情報でチェックなどを行います。さらに突っ込んでやる場合は、何かあっても「あ、ごめ~ん、やっちまったい☆」で済まされる自分や関係者の正規情報を使って行います。何万という多数の情報が必要だとするならばそのテスト用チェック用を準備しておかなければいけないだけの話で、一般顧客情報を持ち歩いてなんて流出してくれと言わんばかりのマヌケな行動だとしか思えません。
#むしろ、家や仕事先で他人(顧客)の行動を盗み見るためなのじゃないかと勘ぐってしまいます。
_| ̄|○ (スコア:3, おもしろおかしい)
以降ではなく 「以前」でした・・・・・。
ちなみにうちのお母さん最強です!!
なぜなぜ、キャッシュディスペンサーで暗証番号を間違え続け
カードを吸い取られて事で動転し
職員を呼ぼうと呼び出しボタンを押したつもりが・・・・
館内警報のブザー・・・・・さすがだぜい!!<母曰くその時銀行全体に緊張感が走ったそうです
Re:頼むから・・・・ (スコア:2, 興味深い)
1987年以前、ではなくて??
たしか1987年頃におきた事件だと思うのですが、盗んだor拾ったキャッシュカードの磁気ストライプに鉄粉のようなものを振りかけて、そのパターンから暗証番号を読み取って現金を引き出すという事件があって、それからはカードに暗証番号を記録しなくなったと思っていたのですが。
Re:頼むから・・・・ (スコア:5, 参考になる)
つまりカード犯罪者は捨てられていた利用明細の紙などから実在する銀行口座の情報さえわかれば、実物のキャッシュカードを一度も手にしないてもカードを偽造することが可能でした。
(銀行が利用明細を必ず持ち帰るように案内したり、不要な利用明細の回収箱を置いたりしているのは当時の銀行側の対策の名残り)
この問題は国会でも取り上げられ [ndl.go.jp]、それが一方では電磁的記録不正作出及び供用罪の新設 [asahi-net.or.jp]、他方ではキャッシュカード暗唱番号のゼロ化(暗号番号照合のオンライン化と既存のカードに記録されていた暗唱番号の自動消去)につながっていったと記憶しています。
Magna-see (オフトピ) (スコア:3, 参考になる)
通帳やカードの磁気データはもちろん、オープンリールの テーブに記録されているデータくらいであれば、ビット単位で 読めるようになります。拡大鏡は必要ですけどね。
Magna-seeは仕事柄、結構よく使います。通帳の磁気データが読めなくなったので調べてほしいとか頼まれるケースがありますので。試してみると、丸い形に見事に磁気が消えていたりして、磁石を押しあてただろう、とういうのがはっきり読みとれるケースがほとんど。
ここからはほんとにオフトピ。
以前は、オープンリールに記録されているデータパターンを読んでトラブルシュートしたこともありました。テープの記録密度から当該のデータが記録されている場所を予想して、その周辺にmagna-seeをふりかけ、データを読みました。結局、データ終了のマークが 記録されていなくて、そこより後ろに記録されていた以前のデータが読まれてしまっていたのが原因だったりしたんですが。
年寄りのお思い出話です。
Re:関係ないけど (オフトピ -1 してちょ) (スコア:2, 興味深い)
正確には知らんけど、少なくともそのころ以降(3次オンなのかなぁ?)の都銀のキャッシュカードには暗証番号は記録されておらず、またその暗証番号を記録しないようにする変更が全都銀13行(当時)で完了して初めて「実は以前は...」という話が巷間に流れるようになった(すなわち解禁された)と記憶しています。
ATM に暗証番号を間違えて入力しても、金額やら何やらすべての入力を終えてからホストと通信を始め、その後でエラーを表示するでしょ?
# 1991 年頃、「カードには暗証番号が記録されているんだぜぇ。」
# と自慢げに語っていた奴がいたが、既に相手にされていなかった。
Re:関係ないけど (オフトピ -1 してちょ) (スコア:3, 参考になる)
1暗証番号を入力
2金額入力
2.5暗証番号をホストに問い合わせ
3出入金orエラー表示
で、2と2.5は同時にやって、待ち時間を短縮してるはず。
#通信は最後だけじゃない
Re:頼むから・・・・ (スコア:2, 参考になる)
ただし、カード自体の有効期限が定まっていなかった為、今でも昔の死蔵された書式のカードを差し込めば、
使えるようになっている為、逆に言えば、他人の利用明細書から入手した口座番号を元に昔のフォーマットで
書き込んだ偽造カードが利用できる可能性があります。
#試しようがないので
しかし、最近のATMでは、カードの表面のエンボスを記録したり、デジカメでカードの表面を撮影したりと
磁気帯のデータだけでなく、物理的なカードの履歴も取っているので、下手な事はやらない方がいいでしょう。
もっとも、それらの不法なカードの利用状況がリアルタイムで監視されていないのも問題ですが。
クレジットカードの場合、ISO規格の絡みがあるので、0暗号方式のような書換シーケンスは無いと思います。
特に、海外での古い機械でも使えないといけない関係もある。
もっとも、これは経験談ですが、カード発行会社によってISOのTYPE1とTYPE2が混在してて、国によっては
その国内で問題ないのに海外で使える使えないというトラブルもたまにありますが。
イタリアVISAがTYPE2だったので、某所でトラブルがあったなんて事もありましたので。
/* Kachou Utumi
I'm Not Rich... */
ふむふむ (スコア:1, おもしろおかしい)
それを解くのが楽しみなんだよね。いいからぼくのところにもってきなさい。
# とか。
Re:顧客情報を (スコア:2, 参考になる)
「会社に置いてあったのが盗難された」らしいですよ。
-- Tig3r on the hedge
Re:顧客情報を (スコア:3, 興味深い)
認証カードをかざさないと扉が開かないような、セキュリティーがしっかりしていそうなビルでも、こういうことって結構あるように思います。関係者でもカードを忘れてきちゃう人は後を絶たないし、出勤時間やお昼休みなんかは特に、他の人の出入りに合わせて扉をくぐっている人は多くいます。
# 実際、某社ビルへ一週間お手伝いに行ったときなんかは、認証カードなんて用意してもらえなかったから、他の人と行動を共にしたり、タイミングを見計らったりwして何とか凌いでました。
研究所チックな職場でも、「以前のお仲間さん」が何食わぬ顔してやってきて、ふつーに機密情報を流出させちゃうなんてことがあったりします ( ̄x ̄;;)。この手のソーシャル・クラッキングが、実は一番厄介なのですよ。。。
ノートパソコンを見知らぬ人が持ち出すのを見て、「あれ?」と思うことはあっても、なかなか声を掛けたりすることって、できなかったりしませんか?
# おいらはなるべく気をつけたいですが。。。
むらちより/あい/をこめて。
Re:顧客情報を (スコア:1)
# とか言ってみたかっただけ
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:PCならば (スコア:1)
でもアレも認証してる時間と操作してる時間がイコールじゃないから使い方次第でクラックされちゃうわけです。
(認証かけた状態で席を離れるとか…普通はやりませんが)
本当に本人が作業してる瞬間のみ認証がかかるようなデバイスってできないものなんでしょうか?
例えばマウスに静脈認証組み込んで正に「操作している瞬間」のみパスする、みたいな。
まぁそれだとキーボードを同時に使えなくて不自由するんで、足の指紋や静脈で認証かけるとか。
体の情報がコピーできないわけじゃないし、もっとトータルに考えないといけないものではあるけれど
ついついアレゲっぽいものから考えてしまうんアレゲなサガ…。