アカウント名:
パスワード:
読売 [yomiuri.co.jp]や、excite [excite.co.jp]にも記事が載っていますが、漏れたのがATMの設計書とか仕様書なわけで、 そういうのも渡されない下請けの会社っていうのはあり得ないと思うんですけど、
個人情報が含まれていない情報を、個人情報保護法 [kantei.go.jp]では扱いませんし、 ここで議論すべきはwinnyで流出したという点だと思うのですが、いかがでしょう?
さらにWinnyの場合、利用者自らが進んで危険地帯に足を踏み入れている点で、ウイルスメールなどとは心理的状況が異なる。勝手にやってくるウイルスメールと違い、「自らダウンロードしたファイルゆえ、積極的に開こうとしてしまう」… とにかく心理的攻撃がすごいのだ。同じような長い名前のフォルダーが並んでいて1個だけウイルスとか(図18)。お宝探しに夢中なときに、絶対ダブルクリックしないと言い切れるだろうか? ZIPファイルを「すべて展開」せずに、Windows XPの「圧縮フォルダ」として閲覧すればアイコンなどの偽装は見破れる(図21)。だが手慣れたWinnyな人々は、圧縮ファイルをさっさと展開してしまう。圧縮フォルダのウインドウでは、写真表示モードが使えないからだ。中にある写真の内容を確認するには一つひとつ開く必要があり、面倒でやってられない。 ウイルス対策ソフトを使っていれば、ウイルスをダブルクリックした途端に警告が出るはずだ――こういう考えも Winnyな人々の心理を理解していない。…Winnyネットワークで公開されているファイルにはウイルスを含むものが非常に多く、Winnyな人々はそれを承知でファイル探しに没頭しているのが現実だ。 …夜が明けて楽しみにパソコン画面を見たら、[アンチウィルスの]警告画面でダウンロード作業が中断していたときの心境たるや……。結局、Winnyな人々にとってウイルス対策ソフトは天敵なのだ。
さらにWinnyの場合、利用者自らが進んで危険地帯に足を踏み入れている点で、ウイルスメールなどとは心理的状況が異なる。勝手にやってくるウイルスメールと違い、「自らダウンロードしたファイルゆえ、積極的に開こうとしてしまう」…
とにかく心理的攻撃がすごいのだ。同じような長い名前のフォルダーが並んでいて1個だけウイルスとか(図18)。お宝探しに夢中なときに、絶対ダブルクリックしないと言い切れるだろうか?
ZIPファイルを「すべて展開」せずに、Windows XPの「圧縮フォルダ」として閲覧すればアイコンなどの偽装は見破れる(図21)。だが手慣れたWinnyな人々は、圧縮ファイルをさっさと展開してしまう。圧縮フォルダのウインドウでは、写真表示モードが使えないからだ。中にある写真の内容を確認するには一つひとつ開く必要があり、面倒でやってられない。
ウイルス対策ソフトを使っていれば、ウイルスをダブルクリックした途端に警告が出るはずだ――こういう考えも Winnyな人々の心理を理解していない。…Winnyネットワークで公開されているファイルにはウイルスを含むものが非常に多く、Winnyな人々はそれを承知でファイル探しに没頭しているのが現実だ。 …夜が明けて楽しみにパソコン画面を見たら、[アンチウィルスの]警告画面でダウンロード作業が中断していたときの心境たるや……。結局、Winnyな人々にとってウイルス対策ソフトは天敵なのだ。
今時の Unlha32.DLL や UnZip32.DLL、Unrar32.DLL なんかを見るとわかりますが、不自然にスペースが多いファイルや基準フォルダを超える親フォルダの参照をしているファイルは展開しない、というオプションがあったりします。
この手のオプションを利用しているアーカイバを使用していれば、知らないうちに防げるパターンもいくつかあると思いますよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
孫受けのセキュリティをどう調べるんだ? (スコア:5, すばらしい洞察)
何やっているか調べるわけ無いだろ。
Re:孫受けのセキュリティをどう調べるんだ? (スコア:2, 興味深い)
セキュリティ専門の調査会社の人を交えて・・・。
まぁ、対外的なポーズなのは見え見えでしたが、それでもウチの社員への圧力くらいには成ったでしょう。
そこの某大手通信キャリアさんは定期的に個人情報保護の規約を交わすのですが、その度にこちらの個人情報を持っていくの微妙な気持ちです・・・。(理屈は判るが納得し難いです)
「宿題脳」の恐怖 (スコア:5, おもしろおかしい)
小学生のうちから勉強は学校で済ませるという習慣を身に着けておかないと、大人になっても変わりませんし、仕事を持ち帰ることに何の疑問も抱かないのです。
このような思考停止に陥った脳を「宿題脳」と定義します。今まで「宿題脳」を持った労働者は、自宅における時間外労働を好んで引き受けるため、社会にとって有益でありましたが、インターネットを介した情報漏えいが社会問題となっている昨今においては、もはや有害でしかないのです。
将来を担う子供たちを、このような「宿題脳」にさせないためにはどうすればよいか?答えは簡単です。「宿題」をなくせば良いのです。悪いのは全て学校の「宿題」なのです。
具体的な個人情報は含まれておらず (スコア:4, すばらしい洞察)
今注目を集めているのは個人情報の流出だけど、
個人情報さえ含まれてなければ良いのかと小一時間。
Winny さえ止めりゃ良いとか、問題の本質から目をそらしてばっかだな。どいつもこいつも。
Re:具体的な個人情報は含まれておらず (スコア:4, すばらしい洞察)
スキミングに悪用される可能性がある情報なら、数人の個人情報
が漏れるよりも大問題のような気がする。
#すでにスキミングし放題という話もあるけど。
Re:具体的な個人情報は含まれておらず (スコア:3, 参考になる)
#とある原稿がボツになったAC
自衛隊の機密情報も個人情報じゃないしなぁ (スコア:2, すばらしい洞察)
屍体メモ [windy.cx]
Re:誰が目をそらしたのか? (スコア:3, すばらしい洞察)
Re:誰が目をそらしたのか? (スコア:2, おもしろおかしい)
モデレートにケチつけるときはマイナス覚悟しましょう。
Re:誰が目をそらしたのか? (スコア:1)
Re:誰が目をそらしたのか? (スコア:2, すばらしい洞察)
まあ、わざわざ皮肉や荒し口調を使うんだから、
-1モデされても文句は言えんでしょ。
それが嫌なら普通の日本語使えばいいんだし。
他人を不愉快にしない、っていう教育を受けてないのって不幸だね。
もうあれじゃない? (スコア:4, すばらしい洞察)
どんなに注意したって、現実問題として自宅に仕事を持ち帰る人はなくならない。
万が一の被害を考えたら、案外一番現実的、かつ安上がりにすむ方法かも。
Re:もうあれじゃない? (スコア:5, おもしろおかしい)
#スラドには、そういう最先端な勤務形態の方が何人かいらっしゃるようですが。
Re:もうあれじゃない? (スコア:5, おもしろおかしい)
エロ以外が欲しい奴もエロがあると疲れてその他には手が回らなくなる。
どうよ?
#遅刻の原因は昨晩3:00にダウンした【萌え】メイドたんハァハァ【エロ】.aviとか特定されちゃいますが(笑
昔のスタイルに返ろう (スコア:4, 興味深い)
各人に配るのは何もインストールできなきゃダウンロードもできないシンクライアント。
おウチから接続したきゃVPNを支給でいいじゃん............
ってのが各ベンダーから出てきましたね。
Re:昔のスタイルに返ろう (スコア:1, おもしろおかしい)
これからは、ディスクレス・Xターミナルの時代だ!!
# こうして時代はめぐる
Re:昔のスタイルに返ろう (スコア:4, 興味深い)
GPで.exeがお仕着せのもの意外禁止にしてあるらしく、FlashとかJavaで小物そろえる羽目になったとか悲鳴が…
セールストークでは「どこの拠点でも、IDカードを入れるだけで同じ環境になりますよ!各個人固定の席は必要ありません!」
…Officeと2003だけありゃ済むのは営業だけで、エンジニアはそれじゃすまないのにぃぃぃって悲鳴がそこかしこから・・・
# 自社がそうなったらストレスでつぶれるのでAC
Re:もうあれじゃない? (スコア:3, すばらしい洞察)
利用して(以下略)という結果が目に見えています。
中途半端だと無意味だが、 (スコア:3, 参考になる)
ちゃんと手を打てば何とでもやりようはあるはず。
「そこまでやらなくても使用者が注意すれば...」なんて言って、
半端な設備投資をすると、返ってコストに見合う効果が見込めなくなる。
会社支給のマシンなら入れるアプリケーションを制限する事は可能だろ。
それに、それこそ情報漏洩防止ソリューションの出番ではないかと。
例えば、HitachiSoft「秘文」、NEC「InfoCage」、
この系統で他にも有ったら教えて。
Re:中途半端だと無意味だが、 (スコア:2, 参考になる)
インテリジェントウェイブ「CWAT」
この辺も追加で。
なかなか難しいとは思いますが機能比較とかがほしいですね。
Re:中途半端だと無意味だが、 (スコア:1)
とりあえず一番最初に来た営業に全部任せてはどうですか?
販売店として仕事で比較したけど、どれもドングリだし、
細かいことを言い出せばどれもオビ/タスキです。
#IDでいいのか?いいや!:-)
Re:中途半端だと無意味だが、 (スコア:1, 参考になる)
SKの中の人の書き込みかどうかはわかりませんが・・・↓
29ch - 【winny情報漏洩】日立ソフト裏絆53【会社は沈黙?】 [makimo.to]
Re:中途半端だと無意味だが、 (スコア:2, おもしろおかしい)
# メル鯖さんたら読めずに食べた
しかたなく暗号化しないファイルを送り直して貰いましたが...いやたいしたファイルじゃなかったんですけどね。
Re:もうあれじゃない? (スコア:2, 興味深い)
Winnyとか入れなくてもウィルスが勝手にP2P網を構築するとか、
今後出てもおかしくないと思うけど。
P2Pボットネット (スコア:3, 興味深い)
P2Pのボットネットなら既にありますよ。
暗号化とP2P駆使する新手のボットネット [itmedia.co.jp]
これに最近使ったファイルを自動的にボットネットに
流出させる機能がつけば、親コメントの恐れるような
ものになるかと。
これまでのボットネットはDDoSや迷惑メール送信、
フィッシングサイト運営に使われて来ましたが、
今後はこれが新たなトレンドになるかもしれないですね。
Re:P2Pボットネット (スコア:2, すばらしい洞察)
侵入先のPCから情報を収集して、攻撃者の元へ届けるマルウェア、既にたくさんあるでしょう?
Winny を介したそれの画期的なところは、
情報の質など気にせずファイルを手当たり次第垂れ流すことと、
送信先を限定せず、Winny ユーザー全員に平等に公開してしまう点にある、
とそういう見方もあります。
後者は通信のインフラとして Winny を利用するための副作用であって、
マルウェア作者がわざわざそのような機能を実装するとは思えません。
となれば、盗んだ情報の伝達手段にP2Pを用いるか否かは、
ターゲットとされる我々にとって本質的な違いとは言えないでしょう。
もちろん送信先、つまり攻撃者の居場所を擬装しやすくなる効果はあると思いますが。
また既に何度も指摘されていることですが、Winny を介した流出は、
その事実と内容を攻撃者でなくても検知可能であるという点で、まだマシなのですよ。
本当に怖いのは情報流出が明るみになることではなく、
流出した事実に気付かないまま、誰かの手によって悪用されてしまうことです。
Re:もうあれじゃない? (スコア:2, すばらしい洞察)
ケースを多数聞いたことがありますが。
自宅の防犯対策まで会社で面倒をみますか?
ちなみに、ファイルの暗号化は盗難対策にはなりません。暗号かけてあっても盗難されたら
流出扱いです。お詫び会見の際に、「暗号化してあるので悪用の恐れは低い」という言い訳が
追加できるだけ。
# 大体、パスワードをPCに貼り付けている人もいるし。
Re:もうあれじゃない? (スコア:2, おもしろおかしい)
1.デスクトップ(省スペースタイプ)
2.ノート
3.モバイルノート
…から選べる事になってはいるが、1は選択禁止って言われた。
頻繁に家に仕事持ち帰る人は3を選ばせられている。
(特に管理職)
Re:もうあれじゃない? (スコア:2, 興味深い)
クビにして損害賠償請求して、迷惑かけた人に還元でしょ当然
それをするだけの価値がある情報なんだし
そのくらいのリスクを背負う行為だと仕事を持ち帰る人は自覚するべきだと思うな
それと、自宅で仕事できるためのPCを用意するくらいなら
最初から自宅のみで仕事させる人を雇った方がいい
その方が渡す情報を制御できるから安全性は高い
安上がりな方法ってのは、きちんとした社員教育とムリのないスケジューリングでしょう
最悪でも、持ち帰れる仕事とダメな仕事の区別さえつけば持ち帰るような状況に陥っても低めのリスクで切り抜けられるし
きちんとした社員教育って大切だと思う
(そういう教育受けた記憶とかないけどね)
Re:もうあれじゃない? (スコア:2, すばらしい洞察)
持ち帰らざるを得ない状況に追い込んだ会社としては
持ち帰って仕事していたことは、叱れないので
注意とするぐらいしかないのではないでしょうか?
Re:もうあれじゃない? (スコア:1, すばらしい洞察)
自宅に会社の仕事を持ち帰って続きをこなすのは・・・
(家で残業するようなもので)暗黙の了解で賃金未払いを認めるようなもの。
タイムカードの記録に残らない闇残業だよね。
さらに家に持ち帰った仕事が要因で、翌日の業務に支障が出るような体調になったら(実質で副業をしているようなもので)副業禁止規定に反する。
/**********************************************
で、今日もデスマーチにつき
闇残業でいこう。ぇっ、タイムカードの退社を押してから
闇残業して、さらに終わらなかった分を家でやっているから闇闇残業だってぇ。賃金払わなくってすむと
Yummy!!なのでもうヤミィられません。とか、残業時間が多くなると聞かされる長い説教がイヤで闇残業にシフトてか。
ただ貧乏は考える暇もなしに金銭シンドローム環境でも働くだけ
*********************************************/
大槻昌弥(♀) http://www.ne.jp/asahi/pursuits/ootsuki/
Re:もうあれじゃない? (スコア:1, すばらしい洞察)
昨今の漏洩対策は別にWinny対策って訳ではないですよ。
(実際そうなってる後手なとこが多いのは承知の上で。)
おっしゃるような対策って、
バケツの水漏れをバケツを修理して防ぐのではなく、
バケツから漏れた水をうける茶碗を用意して済ますようなもんで、
所詮既に外の漏れちゃってるもんどうしようと一緒です。
想像してみよう、chrootしたWinnyを (スコア:3, 興味深い)
ユーザが(少なくともコンピュータから見れば)意図的、明示的にウィルスのプロセスを起動しているわけで、そうなるとシステム的な防御ってのは難しいんだな、と改めてキンタマ系ウィルスの厄介さを認識した。
ただし、Winnyプロセスを別のユーザのプロセスとして動かし、さらにWinnyがアクセスするファイルが格納されているディレクトリに対して適切にACLを設定すればかなり被害は抑えられるのではないだろうか。Runasを使うというのも手だし、たとえばWinnyという制限ユーザを作成し、Winnyを使うときには必ずそのユーザでログインするとか。まぁ手っ取り早くはマシンをもう一台用意したりVMwareのような仮想化ソフトを使うのがいいんだろうけど、OSのライセンスがもうひとつ必要になるのが欠点。
chroot とか setuid みたいなことは Windows では一般的でない(OSがサポートしてない?)けど、Vistaではできるようになってるといいのにな。
屍体メモ [windy.cx]
Re:想像してみよう、chrootしたWinnyを (スコア:3, 参考になる)
chroot は無理ですけど「別のユーザとして実行」はできますね。
NTFS 限定ですが、ほとんどのディレクトリにアクセスできないユーザを一つ作っておいて、得体の知れない(問題を引き起こしかねない)アプリケーションはそのユーザで実行させれば、ユーザ権限昇格の穴を付かれなければ、変なことをされても被害は抑えられるかもしれません。
ついでに普段使うユーザから、そのアプリケーションの実行権限を奪っておけば、うっかり自分の権限で実行してしまうミスを防げます。
# Winny に限定すると、ついでに Down フォルダまるまる実行権限を奪っておけば、落ちてくるであろうトロイの木馬の実行もある程度防げるかもしれませんね。
## しかし、そこまでやるなら VMware 使うかな……
孫請け会社と当人の責任で済ませてはいけない (スコア:3, 興味深い)
まぁこの業界そんなの日常茶飯事ですが。
企業と個人のだーいじな情報を取り扱うこの業界がこんな土建屋構造で良いのでしょうか。
真っ先に子会社化されるシステム部門の悲劇ですかね。
Re:孫請け会社と当人の責任で済ませてはいけない (スコア:2, すばらしい洞察)
読売 [yomiuri.co.jp]や、excite [excite.co.jp]にも記事が載っていますが、漏れたのがATMの設計書とか仕様書なわけで、
そういうのも渡されない下請けの会社っていうのはあり得ないと思うんですけど、
個人情報が含まれていない情報を、個人情報保護法 [kantei.go.jp]では扱いませんし、
ここで議論すべきはwinnyで流出したという点だと思うのですが、いかがでしょう?
Re:孫請け会社と当人の責任で済ませてはいけない (スコア:1, すばらしい洞察)
Winnyだけ注目しても、盗難やら他のウィルスに引っかかる可能性もあるわけですから、部外秘のデータの扱いが杜撰である事には何ら変わりありませんね。
この場合、専用PCを配布しても意味ないですね。
重要データをいい加減に扱っている限り、売り飛ばす奴は絶対にいます。
ICカードにしてセキュリティを強化しても、この現状ではあまり意味が無いでしょう。
大本をきちんと対策しなければ、常に後手に回ることになってしまいます。winnyなどの表層にとらわれることなく、情報管理の徹底が必要でしょう。
#個人情報が含まれていないからといって、問題無いとばかりは言えないでしょう。特にセキュリティに関係する場合は。
杓子定規にコンプライアンスを振りかざす発注元 (スコア:3, 興味深い)
いつまで経っても現場には接続仕様書が来ない。
こんな場合でも何故か納期は曲げてもらえないため、
現場では"非合法"に仕様書を入手するということを普通に行う。
そんなんで流出した場合は発注もとの自業自得だと思う俺。
危険 (スコア:3, すばらしい洞察)
たいした問題じゃない、みたいな風潮にまでなってる
現実が恐ろしいね。
漏れることがあたかも当たり前みたいな現状は
そうとう麻痺してしまっているね、感覚が。
どんな情報であれ、出るはずの無い情報が不正な
方法で公になったこと自体が問題である、という
認識がまったくない現われですね、この発表は。
木を見て森を見ず、ってやつか?
ATM Winny 個人情報 (スコア:2, おもしろおかしい)
Re:ATM Winny 個人情報 (スコア:2, 参考になる)
Re:ATM Winny 個人情報 (スコア:2, 参考になる)
三井住友の信頼性に影響は? (スコア:2, 興味深い)
ちょっと銀行全体が信用できない感じに。
いくら堅牢なシステムを作っていてもシステムに関わる情報が漏れているようじゃナァ。
三井住友と直接の契約はありませんが、周囲には「三井住友はセキュリティがいいらしい」と話してしまったこともあるID
Youthの半分はバファリンでできています。
今後の影響だが (スコア:1)
既にラジオ○イフ等で明らかにされているので、
いまさら問題では無い。
とかだったら嫌だなぁ。
Re:次に流出するのは? (スコア:1)
Windowsのソースコードだとかっこ悪そう(w
# 不謹慎かもしれないけどID
Re:感染するのは (スコア:2, すばらしい洞察)
解凍しないと中身に何入っているか確認できない解凍ソフトもあれば、WinRARみたいに解凍するまえに中身確認できる(変な.exeあるかどうかとか)んだけど、なぜそういうことは周知されないのだろう。
Re:感染するのは (スコア:5, 興味深い)
トラップの例 [nikkeibp.co.jp]とか見てたら「絶対踏まない」なんて自信なくなりました(私はWinny使ってないけど).以下引用(強調部は私による).
使ってる人が好き好んで危険地帯に足を突っ込んでいる(そしてマルウェアの作者はユーザの心理を突いて攻撃してくる)以上,どんなに技術的な対策を採ったとしても,地雷を踏むのは半ば必然でしょう.安全を守るための道具ですら邪魔となりかねないんだし.
「Winny(等)のユーザ心理」を前提とした対策でない限り,「○○を使えばいいのに」ってのはあんまり役に立たないと思います.
Re:感染するのは (スコア:4, 参考になる)
今時の Unlha32.DLL や UnZip32.DLL、Unrar32.DLL なんかを見るとわかりますが、不自然にスペースが多いファイルや基準フォルダを超える親フォルダの参照をしているファイルは展開しない、というオプションがあったりします。
この手のオプションを利用しているアーカイバを使用していれば、知らないうちに防げるパターンもいくつかあると思いますよ。
Re:感染するのは (スコア:2, 興味深い)
>(実行じゃなくて見る)
>それほど大きな差は無いと思うんですけど。
解凍してから中身見ようとしてフォルダに偽装されてるexeを踏んじゃう人が居るから広がってるんですよ。
Windows標準のままだと登録済みの拡張子は見えないわ、シングルクリックで実行されちゃうわ、ですから。
Winnyウィルス感染予防Tool [asahi-net.or.jp]とか偽装解除 [vector.co.jp]とか入れておくと気休め程度にはなるんじゃないですかね?
ところで、ATMでキャッシュカードの磁気情報を読み込むための手順書っていうから、
1.ATMで操作したいメニューを選びます
2.ATMのカード差込口にキャッシュカードを差し込みます
3.キャッシュカードがATMに引き込まれて磁気情報が読み込 まれます
4.処理が完了するまでお待ちください
5.処理が完了するとATMからキャッシュカードが返却されます
とか書いてる手順書だと思ったのは私だけ?(^^;
Re:感染するのは (スコア:1, 興味深い)
一番インパクトがあったものはジャンプのスキャン
画像書庫なんですが。
昔は晒しあげが目的だったんでしょうが、思いがけない副作用が
あると判明したので、最近は一般人向けの方に
いろいろばら撒かれてるような気がしますよ