パスワードを忘れた? アカウント作成
8946 story

保守用パソコン盗難でPHSの位置情報流出の危機 121

ストーリー by Oliver
そのノートいまどこ? 部門より

Anonymous Coward曰く、"21日の共同通信配信のYahoo!ニュースによると、NTTドコモの保守業務委託先がノートパソコン等の盗難に遭い、盗まれたパソコンには、顧客情報57,000件のほかに、PHSの位置検索サービス「いまどこサービス」のパスワード110件などが含まれていたという。共同通信は「パスワードが悪用されれば、第三者がPHS所有者の場所を検索できる可能性があった」としているが、NTTドコモの発表文によれば、PHS番号と緯度経度情報の組の125件も含まれていたようで、ドコモは、「この情報の多くは、それぞれが何の情報であるかを表示しておらず、英数字の羅列情報になっており、また、パソコンにはパスワードが掛けてあることから、解読は容易にはできない状態」としている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 位置情報が取れるなら (スコア:2, すばらしい洞察)

    by maty (3877) on 2004年09月22日 17時45分 (#625929)
    そのノートパソコンも位置情報が取れるようになってればよかったのに・・・・・
    と素直に思った

    #現物盗られたような事件はどうも対処が難しいでしょうね
  • by aquaforest (17246) on 2004年09月22日 18時03分 (#625942)
    大事なのはそれ以前に「盗まれるような状況下に置かない」こと

    「パスワードや暗号化が完璧だから盗まれても被害はすくない」
    なのではなく
    そうやって保守用のパソコンなんかが盗まれることが問題っていうのを考えないのだろうか。
    顧客情報漏洩に関しても言えるんだけどなぜ盗まれても
    「名前と年齢だから大丈夫」等々・・と論点を変えて逃げるのだろうね

    パスワードが解析されないにしても企業イメージの低下にもなるし
    もうちょっとしっかりして欲しいですね
    --


    #きっと、可能性っていうのはその辺に落ちているんだけど
    #気がつかない物じゃないかなと思う。
    • by Anonymous Coward on 2004年09月22日 19時04分 (#625968)
      大事なのはそれ以前に「盗まれるような状況下に置かない」こと
      ATMでさえ重機でまるごと盗まれる時代です。 全国津々浦々にあるドコモのオフィスの中にある全ての端末を 絶対に盗まれないように対策することはコストがかかり過ぎる上に不完全です。 不可能な夢に多額の予算をかけるより、 ここで発想の転換をし、 端末は端末に徹して、盗まれても本体ハードウェアだけの被害で済むようにすれば、 安く確実な対策となるでしょう。

      言い替えればパソコンのように小さくて移動が容易な物はいずれ盗まれるものだと仮定し、 「盗まれやすい物の中に大事な情報を置かない」 という方針で対策をすれば安く確実ということです。 この方針をシステム化すれば、全国全てのオフィスで統一した 対策が実現できます。

      「盗まれるような状況下(物理的位置等)に(ノートパソコンなどを)置かない」 という指針ではその対策状況は全国でばらばらになり、 各人の意志に依存した恣意的対策となります。 それに依存していては安全対策として不完全です。

      そうやって保守用のパソコンなんかが盗まれることが問題っていうのを考えないのだろうか。

      パソコンが盗まれるわけがないと思い込んで、
      パソコンが盗まれた場合の対策を取らない方がもっと問題です。
      パソコンが盗まれることを前提にしっかり対策しておけば、
      パソコンが盗まれてもさしたる問題ではありません。
      大事なのはパソコンという器ではなくて、その中で扱われるデータです。
      親コメント
      • >大事なのはパソコンという器ではなくて、その中で扱われるデータです。

        その「データ」が盗む手段として盗聴とかされたら、どうだろうか。

        たとえば、事務所内は防犯対策、情報漏えい対策しっかりしているようで、MDFとかビル外の電話施設に関しては
        無防備な所が多かったりとか。
        そこまでやったらきりがないと言うのもありますが。
        --

        /* Kachou Utumi
        I'm Not Rich... */
        親コメント
      • > パソコンが盗まれることを前提にしっかり対策しておけば、
        > パソコンが盗まれてもさしたる問題ではありません。

        理屈の上ではそうなんだけどね。
        たとえ暗号化されているデータでも、誰とも知らぬ人間の手に渡るのを気持ち悪がる人は少なくないと思う。確率がどれだけ低くても、力任せにやれば解ける可能性があると言われるとなおさら。

        盗まれても大丈夫、な体制にするのは重要だけど、やっぱり、まず盗まれないようにするのが「お客の安心感」を維持する上で重要なのでは。
        親コメント
        • by Anonymous Coward on 2004年09月22日 19時59分 (#625995)
          > たとえ暗号化されているデータでも、誰とも知らぬ人間の手
          > に渡るのを気持ち悪がる人は少なくないと思う。確率がどれ
          > だけ低くても、力任せにやれば解ける可能性があると言われ
          > るとなおさら。

          端末が端末に徹するというのは
          ローカルにデータを保存しないことから始まりますよね

          常にオンラインで読み書きし
          終了したらセッションを切る
          それ以降は盗まれてもデータは入っていない
          全然気持ち悪くありません
          親コメント
  • 保守 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2004年09月22日 22時42分 (#626062)
    「保守」してたパソコンが「保守」できなかったわけですね。
    この手の「オオボケ」が最近日本では増えてますな。
  • パスワード (スコア:1, すばらしい洞察)

    by Tig3r (17335) on 2004年09月22日 16時30分 (#625859) 日記
    「パソコンにはパスワードが掛けてあることから」
    の一文に、一瞬ほう? と思ったが、考えてみれば
    これたぶん、Windowsログオンのパスワードだよね。

    当たり前のことをさも対策とってたかのように言うんじゃない。

    # しかもパスワードがブランクだったりしないだろうね
    --
    -- Tig3r on the hedge
    • Re:パスワード (スコア:3, 参考になる)

      by masaru (2119) on 2004年09月22日 19時20分 (#625975) ホームページ

      昔の World PC Expo で、IBM が ThinkPad のこのファイルを表示させよう、みたいな企画やっていました。 そのときの説明では、このようなセキュリティ対策ができるんだそうで。

      • BIOSでのパスワード
      • ATA の機能を利用した、HDDのパスワード
      • Windows のログイン
      • ファイルシステムの暗号化

       金かけて HDD のサルベージとかすれば、HDDのパスワードを突破することはできるけど、そのあとは難しそう。

      親コメント
    • Re:パスワード (スコア:2, すばらしい洞察)

      Windows のログオンパスワードだろうが、BIOS のパスワードだろうが、HDD 抜き出して、Linux マシンに mount すれば、中身は丸見えです。

      --
      むらちより/あい/をこめて。
      親コメント
      • Re:パスワード (スコア:2, すばらしい洞察)

        by lyricfathom (16513) on 2004年09月22日 17時35分 (#625914)
        「盗まれたけど素人にはわからないだろうし、PCにはパスワードかけてあるよ。」
        っていうのは、こういう事件が起こったときの気休め効果のある状況説明の定石として認識されてきてるんじゃないでしょうか。
        最近のこれ↓もそうだったし。
        http://headlines.yahoo.co.jp/hl?a=20040910-00000036-san-soci [yahoo.co.jp]

        親コメント
        • by Anonymous Coward on 2004年09月23日 7時36分 (#626189)
          たとえば、バイトをしていたとき、個人情報を含んだ通信ログを見るためにはパスワードを必要とするPCを使っていたのですが、そのパスワードというのはログビュワーを起動させるために必要なパスワードで肝心のログは平分のままHDD内に保存されているなんてことがありました。
          メモ帳で開けば見れるっつーの。


          これで「個人情報の漏洩対策は万全」といっているのですから、なんだろうなあと思う次第です。TVCMを常にしているようなところでもこんな扱いなのですから、他は言わずもがな、だと思っています。

          #こんな例もあるよ、ということでAC
          親コメント
      • by Anonymous Coward on 2004年09月22日 17時03分 (#625886)
        NTFSの暗号化は意味無し?
        万一HDD抜かれた場合に対して
        重要なファイルはNTFSの暗号化を掛けとけと言われています。
        親コメント
        • Re:パスワード (スコア:3, 参考になる)

          by Anonymous Coward on 2004年09月22日 17時48分 (#625932)
          >NTFSの暗号化は意味無し?

          それはちゃんとした暗号化だから生の鍵を盗まれるとか相当に
          高性能なコンピュータで解読を試みるとかされない限りは大丈夫。

          参考:
          EFS ファイルを開くと破損しているように見える [microsoft.com]
          親コメント
        • Re:パスワード (スコア:2, 参考になる)

          by Anonymous Coward on 2004年09月22日 22時39分 (#626060)
          Syskey および EFS の脆弱性に関する情報 [microsoft.com]
          LSA Secrets には、ユーザーの EFS キーなど、暗号化キーの内容を含めた機密データが保存されています。Syskey モードの違いによって、アタッカーが LSA Secrets 内のデータを解読できるかどうかが決定します。
          ~略~
          (Syskey がモード 1 の場合、)アタッカーがローカル ユーザーとしてログオンすれば、Windows 2000 によって LSA Secrets が解読され、ユーザーの EFS 暗号化ファイルを解読できるようになります。

          Syskeyモード2(鍵の暗号化)か3(フロッピーに保存)を使えば安全だそうな。

          親コメント
          • by Anonymous Coward on 2004年09月23日 0時28分 (#626116)
            公開してしまって良いのか迷いましたが、
            攻撃手法を知っている人には数年前から知られている有名な手法だと思うので、書きます。

            Windows 2000 の古いバージョン(SP版)の場合は、
            EFSを使っていても、SAMの強制書き換えでEFSの暗号化を解除できるようですね。
            Offline NT Password & Registry Editor [eunet.no]

            また、SIDを指定して新しいユーザを作成するツールも存在するので、
            ドメインに参加していない場合等は、そちらの方から攻められる可能性もありますね。
            親コメント
      • by hogetsuyoshi (14204) on 2004年09月22日 17時05分 (#625889)
        普通の泥棒じゃそれは出来ないだろう。

        もしそこまでしていたら、明らかに個人情報を盗む目的に泥棒してないか?
        親コメント
        • 。。。。。。。。。もしもその泥棒さんが、たまたまここを読んでいたら。。。

          # うんにゃら幇助罪でタイーホですか? (;_;)/

          --
          むらちより/あい/をこめて。
          親コメント
          • by greentea (17971) on 2004年09月23日 5時13分 (#626174) 日記
            ># うんにゃら幇助罪でタイーホですか? (;_;)/
            俺の記憶が確かなら、現在データそのものを盗むことに罪はないので、
            HDDの取り外しかたを教えたなら幇助になるかもしれませんが、
            データの抜き出しかたなら何ら問題はなかったと思います。

            ただ、不正アクセス禁止法幇助にならないために、
            最初にその方法が「あなたにアクセス権が有るが、パスワードの紛失などの事情によりアクセスできないときの方法」
            であるとの前置きはあった方がいいかもしれません。
            --
            1を聞いて0を知れ!
            親コメント
        • by Anonymous Coward on 2004年09月22日 18時36分 (#625954)
          普通の泥棒ならその手の業者に
          高く売りつけるんじゃない?

          マニアじゃあるまいし。
          親コメント
    • ポストイットにパスワードを書いて [google.co.jp]貼ってあったりして。
      --
      And now for something completely different...
      親コメント
  • by parsley (5772) on 2004年09月22日 16時34分 (#625860) 日記
    >「この情報の多くは、それぞれが何の情報であるかを表示しておらず、英数字の羅列情報になっており、また、パソコンにはパスワードが掛けてあることから、解読は容易にはできない状態」

    なので、好き者に供覧され多数によりアタックされる。

    # 出所を伏せておくとありそうかな?
    --
    Copyright (c) 2001-2014 Parsley, All rights reserved.
  • by Anonymous Coward on 2004年09月22日 16時34分 (#625861)
    こういった端末に個人情報を記録しないで欲しい。
    (暗号しているしないに関わらず)。

    関係ないけど
    最近どっかのテレビ番組でやってましたね
    1987年以降のカードには、暗証番号も記録されていると・・・
    その昔は、預金残高も記録していましたが・・・・
    • Re:頼むから・・・・ (スコア:3, すばらしい洞察)

      by koduckin (15749) on 2004年09月22日 17時42分 (#625926)
      > こういった端末に個人情報を記録しないで欲しい。
      御意。

      そもそも、こういう情報はDBに格納されているでしょうけど、それをわざわざダウンロードして何をしようと思っていたんでしょ? > 保守業務委託先

      顧客情報57,000件というんだから、「ちょっと作業用として」という言い訳は通用しないような...。もしこれが「作業用必要」な工程なら、そんなプロセスを採用していること自体、セキュリティ上問題だと思う。

      # ftpでパソコンにダウンロードして、それを手で
      # 別のシステムに転送&反映? (ありがち)
      親コメント
      • by Sakura Avalon (12557) on 2004年09月22日 18時14分 (#625947)
        >そもそも、こういう情報はDBに格納されているでしょうけど、それをわざわざダウンロードして何をしようと思っていたんでしょ? > 保守業務委託先

        たぶん何も考えることなく安易に持って帰ったんだと思われます。
        ふつ~、保守で何かやるにしても一般顧客の実情報なんて使いません。まずはあらかじめ用意されている複数のテスト用情報を使い、最終的には実情報とまったく同じにDB上に作られたダミー情報でチェックなどを行います。さらに突っ込んでやる場合は、何かあっても「あ、ごめ~ん、やっちまったい☆」で済まされる自分や関係者の正規情報を使って行います。何万という多数の情報が必要だとするならばそのテスト用チェック用を準備しておかなければいけないだけの話で、一般顧客情報を持ち歩いてなんて流出してくれと言わんばかりのマヌケな行動だとしか思えません。

        #むしろ、家や仕事先で他人(顧客)の行動を盗み見るためなのじゃないかと勘ぐってしまいます。
        親コメント
    • _| ̄|○ (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2004年09月22日 19時42分 (#625985)
      関係ないけど・・・と書いたドアホウです
      以降ではなく 「以前」でした・・・・・。

      ちなみにうちのお母さん最強です!!
      なぜなぜ、キャッシュディスペンサーで暗証番号を間違え続け
      カードを吸い取られて事で動転し
      職員を呼ぼうと呼び出しボタンを押したつもりが・・・・
      館内警報のブザー・・・・・さすがだぜい!!<母曰くその時銀行全体に緊張感が走ったそうです
      親コメント
    • by Anonymous Coward on 2004年09月22日 16時50分 (#625873)
      >1987年以降のカードには、暗証番号も記録されていると・・・

      1987年以前、ではなくて??

      たしか1987年頃におきた事件だと思うのですが、盗んだor拾ったキャッシュカードの磁気ストライプに鉄粉のようなものを振りかけて、そのパターンから暗証番号を読み取って現金を引き出すという事件があって、それからはカードに暗証番号を記録しなくなったと思っていたのですが。
      親コメント
      • by PATATI ET PATATA (8388) on 2004年09月22日 17時50分 (#625935)
        早い話が当時はキャッシュカードの磁気ストライブ部分に暗唱番号がそのまま記録されていて、預金引き出し時の暗唱番号の照合はATMがオフラインで行っていたのが問題の核心だったわけですが、当時の事態は実はもっと深刻で、そこらの磁気ストライプつきカードに実在する銀行口座の情報と適当な暗唱番号を書き込み、ATMに差し込んで、自分で書き込んだ通りの暗唱番号を入れれば現金が引き出せてしまう状態でした。

        つまりカード犯罪者は捨てられていた利用明細の紙などから実在する銀行口座の情報さえわかれば、実物のキャッシュカードを一度も手にしないてもカードを偽造することが可能でした。
        (銀行が利用明細を必ず持ち帰るように案内したり、不要な利用明細の回収箱を置いたりしているのは当時の銀行側の対策の名残り)

        この問題は国会でも取り上げられ [ndl.go.jp]、それが一方では電磁的記録不正作出及び供用罪の新設 [asahi-net.or.jp]、他方ではキャッシュカード暗唱番号のゼロ化(暗号番号照合のオンライン化と既存のカードに記録されていた暗唱番号の自動消去)につながっていったと記憶しています。
        親コメント
      • by kishii (15864) on 2004年09月23日 14時20分 (#626266)
        ふりかけた鉄粉のようなもの、というのは、多分、 Magna-Seeか何かでしょう。細かい(多分)鉄粉が溶けているというか混ざっている溶剤です。磁気を帯びているものにふりかけると、溶剤が揮発した後、磁気のパターンそのものの形で鉄粉が残って目で見えるようになる、というもの。
        通帳やカードの磁気データはもちろん、オープンリールの テーブに記録されているデータくらいであれば、ビット単位で 読めるようになります。拡大鏡は必要ですけどね。
        Magna-seeは仕事柄、結構よく使います。通帳の磁気データが読めなくなったので調べてほしいとか頼まれるケースがありますので。試してみると、丸い形に見事に磁気が消えていたりして、磁石を押しあてただろう、とういうのがはっきり読みとれるケースがほとんど。
        ここからはほんとにオフトピ。
        以前は、オープンリールに記録されているデータパターンを読んでトラブルシュートしたこともありました。テープの記録密度から当該のデータが記録されている場所を予想して、その周辺にmagna-seeをふりかけ、データを読みました。結局、データ終了のマークが 記録されていなくて、そこより後ろに記録されていた以前のデータが読まれてしまっていたのが原因だったりしたんですが。
        年寄りのお思い出話です。
        親コメント
    • 1987年以降のカードには、暗証番号も記録されていると・・・
      以前でない?
      正確には知らんけど、少なくともそのころ以降(3次オンなのかなぁ?)の都銀のキャッシュカードには暗証番号は記録されておらず、またその暗証番号を記録しないようにする変更が全都銀13行(当時)で完了して初めて「実は以前は...」という話が巷間に流れるようになった(すなわち解禁された)と記憶しています。
      ATM に暗証番号を間違えて入力しても、金額やら何やらすべての入力を終えてからホストと通信を始め、その後でエラーを表示するでしょ?
      # 1991 年頃、「カードには暗証番号が記録されているんだぜぇ。」
      # と自慢げに語っていた奴がいたが、既に相手にされていなかった。
      親コメント
  • ふむふむ (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年09月22日 20時06分 (#625996)
    > パソコンにはパスワードが掛けてあることから、解読は容易にはできない状態

    それを解くのが楽しみなんだよね。いいからぼくのところにもってきなさい。

    # とか。
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...