JAXAから研究員応募者70人分の個人情報が漏洩 87
ストーリー by yosuke
甘いのはわかってるけど 部門より
甘いのはわかってるけど 部門より
hide.jikyll 曰く、
ITmediaの記事によると、4月20日にJAXAの調布宇宙航空センターの執務室内に何者かが侵入し、研究員応募者70名分の個人情報(名前、住所、電話番号など)が入ったノートPCが盗まれたそうだ。
最近の情報漏洩事件は、サイトの脆弱性を突かれた、URL直打ちで見える場所に機密情報が置いてあった、ノートPCやUSBメモリなどを置き忘れたという類のものが多く、今回のような物理的な盗難というケースは少ないように思うのだが、皆さんはセキュリティワイヤの利用などの対策は施されているだろうか?
まあ、最近はセキュリティワイヤくらい付けてるのがデフォルトなのかとは思うのだが。なお、プレスリリースによると、機微な技術情報は含まれていなかったとのこと。また、個人情報の該当者の方々には可能な限り連絡を取っているようだ。
#個人的には、せっかくの一般公開日にこのような行動を取った人間に対して猛省を促したい。
順序 (スコア:5, おもしろおかしい)
Re:順序 (スコア:1, すばらしい洞察)
Re:順序 (スコア:3, 参考になる)
犯罪が発覚していても、警察がまだ犯人が誰なのか特定していない段階なら、自首 [wikipedia.org]になりますよ。
Re: (スコア:0)
公開日みたいなセキュリティの甘い日が狙われるのは良くある話。
公開するならきちんとそこまで考えて客の誘導をしなさいな。>JAXA
Re:順序 (スコア:1)
室名からして、重要な情報があるようには感じないのですが。
その日に犯行を行うって点では計画的だった可能性はありますね。
Re:順序 (スコア:2, 興味深い)
何となく迷い込んで、何となくノートPCが置いてあって、何となく回りに人目は無いみたいだし、何となく手にとって見たらそのまま出て行けた、ってところじゃないかな。
Re:順序 (スコア:3, おもしろおかしい)
盗みに入ることですよね。>フォーマル
問題のプライオリティが違う (スコア:5, すばらしい洞察)
なんてことより
>>月20日にJAXAの調布宇宙航空センターの執務室内に何者かが侵入し
のことのほうが問題だと思うんだけど。
PCのセキュリティやコンプライアンス云々以前の、警備体制や防犯対策の問題でしょ。
パソコン泥棒による窃盗事件じゃん。
「個人情報」と「漏洩」の単語並べて喚起する問題と違うと思う。
Re:問題のプライオリティが違う (スコア:4, 興味深い)
あたかもJAXAが単純に情報漏洩を犯したかのような誤解を招きかねないタイトルがついているのは、
タレコミ人および編集者が、事実よりもセンセーショナルな印象づけの方を重視しているということの現れなんでしょう。
昨今は「盗難」よりも「情報漏洩」と呼んだ方が人の耳目を引いて話題になりますからね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:問題のプライオリティが違う (スコア:1, 興味深い)
それこそRF IDを取り付けるとかして対策したいところですね。
児童の上履き/靴に仕込むよりはまっとうなRF IDの使い方でしょう。
(そんなことする予算があるなら,古いパソコンを更新してくれと
いう意見はこの際無視)
「開かれた」研究機関で物理的な盗難を防ぐのは結構面倒なことだと
思います。 管理を徹底するならそれこそ銀行・証券関係のシステム
開発やってる会社やデータセンターみたいに出入り口にID改札機(?)
取り付けて,入退場時の身体検査までするしかないですよ。
Re:問題のプライオリティが違う (スコア:4, 参考になる)
>開発やってる会社やデータセンターみたいに出入り口にID改札機(?)
>取り付けて,入退場時の身体検査までするしかないですよ。
JAXAはゾーン管理していて執務室に入るにはIDカード認証通さないと
入れないシステムになっているはずなのですが。
機密情報あるところは更に厳格。
#元○○なのでAC
Re:問題のプライオリティが違う (スコア:2, おもしろおかしい)
元泥棒?
Re: (スコア:0)
Re:問題のプライオリティが違う (スコア:1)
パソコン盗難に伴う学生の個人情報漏洩について [keio.ac.jp]
Re: (スコア:0, 興味深い)
いくらそのPC上に機密情報が無くても、該当研究者は
これからアプローチを受けることになる。
お小遣い稼ぎと思って誘惑に乗ると、もう二度と日本に戻れないだろうし、
否応なしに連れて行かれるかもしれない。
実害は無くても、これ以後長年に渡ってその懸念と供に生きる羽目に
なったんじゃあ、当の被害者の精神的損害は測りしれないだろう。
Re: (スコア:0)
まあそれでも軍事転用な技術ではあるけどね。
連絡がありました。 (スコア:5, 参考になる)
JAXAに応募する際にはネット上とエントリーシート(手書き!!)の2つに必要事項を記入するのですが、エントリーシートの情報を転記していたノートPCが盗難されたとのこと。
追って書面で詳細を報告してくるそうです。
合否の結果を変更することとは別問題と言われました。(泣)
Re:連絡がありました。 (スコア:1, すばらしい洞察)
人間性をチェックするひっかけテストなのにー。
Re:連絡がありました。 (スコア:1, 興味深い)
対策としての暗号化 (スコア:3, 興味深い)
http://www.truecrypt.org/ [truecrypt.org]
1.暗号化したボリューム
2.暗号化したデバイス(ドライブまるごと)
3.ブートセクタも含めたシステムごとの暗号化
の3通り。更に隠しボリューム機能があり、
何物かに脅されてパスフレーズを入力させられる状況になった時に隠し通せるとか。
ファイル削除後の残留磁気対策機能まであったり、
どこのスパイ映画だよと思っていましたが、JAXAあたりは必要かもね。
暗号化されていても漏洩 (スコア:4, 参考になる)
漏洩したが、暗号化していたので、情報を取り出すことは難しいだろう、といった発表にしかなりません。
経産省のガイドラインで、そのように明文化されています。
http://motivate.jp/archives/2006/06/post_92.html
いいえ、その部分は平成19年3月30日に改正されました (スコア:3, 参考になる)
Re:暗号化されていても漏洩 (スコア:2, すばらしい洞察)
これって昔から不思議だったんだけど、ちゃんとしたパスワードを設定して実質
解読される恐れがない場合にも、暗号化していないのと同じように漏洩として
報道・非難されるのはおかしいんじゃないのかな、と思います。
暗号化するインセンティブが小さくなってしまうのではないかと。
物理的に媒体を盗まれても、情報として漏洩する心配をなくしておくのも重要
だと思うので。
Re: (スコア:0)
最悪の事態を想定して動いてもムダという発想はどうかと。
VPN、SSHやSSL含めて個人情報の取り扱いについては
一切ネット使ってませんって企業はあるのかね。
Re:対策としての暗号化 (スコア:2, 興味深い)
そういうときは「メモリースティック」と呼ぶと通じることがあるぞ、マジな話。
# 某IT企業における実話だけどID。
Re:対策としての暗号化 (スコア:3, 興味深い)
アメリカ人も,イギリス人も,ドイツ人も,フランス人もメモリースティックって言うよ。
むしろ日本で,ソニーのあれを知っている人だけそう呼ばないのではないかと。
Re:対策としての暗号化 (スコア:1)
まあ、小学生なら「USBメモリ」って言っても通じないというのも無理ないな。
うちの会社のパソコンは、 (スコア:3, 参考になる)
そのくらいは簡単に構築できるのにな。
ってか、「データはサーバー側に置く」ってだけでもパソコン盗難における情報漏洩は防げると思うけどな。
まぁ基礎がなっていないシステムじゃ無意味だけども。
だからあれほど (スコア:1, おもしろおかしい)
え、違うの?
良くしてもらったのに (スコア:1)
情報漏えいの例 (スコア:1, 参考になる)
それは古い例の情報漏洩事件。
今何かと話題のファーストサーバという会社が作って提供したCGIを使った
ACCSでの情報漏洩事件がそうですね。
>ノートPCやUSBメモリなどを置き忘れたという類のものが多く、
これは少なくはないのは確か。
電車の吊り棚に置き忘れたとか。
>今回のような物理的な盗難というケースは少ないように思うのだが、
いいえ。少なくありません。
ノートPCに限らず、デスクトップ機でも同じですし、ノートPCの場合は
車上荒らしで盗まれるという事件がとても多い。
>皆さんはセキュリティワイヤの利用などの対策は施されているだろうか?
セキュリティワイヤは、無いよりマシな程度です。
事務所に侵入して盗み出していく窃盗犯の前では無力です。
ケーブルカッターでサクッと切断して持っていかれるでしょう。
中の情報が目当てであれば、本体筐体の破壊なんて気にしないので、
ムリヤリ引き離して割って持っていくでしょう。
セキュリティワイヤが有効なのは、ショップの展示品とか、お店屋さんで
使っててレジの横とかにおいてる場合とかですね。
誰もいない夜間の事務所では役に立ちません。
それにしても、最も多い情報漏洩の原因であるWinnyは無視なのはなぜでしょう?
Re:情報漏えいの例 (スコア:4, 参考になる)
いずれにせよ、完璧な対策なんてのは無いでしょうから、程度の差こそあれ、どの対策も「無いよりマシ」。そういった対策を複数使って有効性を向上させるって方法はあってしかるべき。そう考えると、ある一つの対策が「無いよりマシ」程度だからといって、それを一概に否定してしまうのはどうかと。
Re:情報漏えいの例 (スコア:2, すばらしい洞察)
だったら、「事務所」でも同様に運用すれば、セキュリティワイヤも有用、ってことですね。
ならば、「事務所」の場合に「無いよりマシ程」と有用性を否定(もしくは、過小評価)するのは不適切ですね。セキュリティワイヤは、人がいないと使えないんですよね?
あなたのコメントでは、「事務所」の場合も「ショップ」や「お店屋さん」の場合も、人がいなくなる「営業時間外は金庫に入れるなり」の対策はできるのに、「事務所」の場合はセキュリティワイヤの有用性が否定されていて、「ショップ」や「お店屋さん」の場合は有用性は否定されていない。
だとすると、「ショップ」だか「お店屋さん」には人がいなくなることが無いんだろうな、と考えました。
どうでしょう?
Re:情報漏えいの例 (スコア:2, すばらしい洞察)
ただ、普通でないからこそ、わざわざ上のように明示しなければ、説明できないのではないか、とも思います。おや、最初と論調が変わってますね。#1334762 [srad.jp]には、以下のように書いてありますよ。この「無力」ってのが言い過ぎだったのでは?
#金庫だって、ごっそり盗み出されれば無力っちゃ無力ですし。
Re:情報漏えいの例 (スコア:1, すばらしい洞察)
>セキュリティワイヤーをするのはほとんど意味がありません。
大企業の作業拠点などは、要員の出入りが激しく作業人数も100人を
越える場合が多々あります
大学の生徒全てを覚えていますか?とか企業社員全員を覚えて居ますか?
とか言われても多分「それは無理」って言う人のが大多数でしょう
つまり前提条件である
>不特定多数が随時出入りするわけではない事務所
が崩れているわけです。
そしてこういう作業場は大企業等では良くあることでしょうし
中規模な企業でもそこそこ存在するでしょう
そう言う場所でもセキュリティワイヤーを切断して持って行く行為は
異常行為として止められますから
さすがにそう言う場では無くても大丈夫とは言われません
有って当然、無かったらヤバイでしょと言う事になります
不思議 (スコア:1, 参考になる)
宇宙だからさ (スコア:1)
:いやwinny経由での流出だったらJAXAだろうがなんだろうが叩くけどw
ワイや! (スコア:0)
Re:ワイや! (スコア:2, 参考になる)
・ノートPCはワイヤなし。重要な情報もなし。
・外付けHDはワイヤあり。重要な情報はここに暗号化して持つ。復号化のキーは、物理的に別媒体に。
・DVDに暗号化したままバックアップ。
・暗号化はTrueCryptを利用。
・復号化のキーは地理的に別にバックアップ。
しています。
Re:ワイや! (スコア:1)
外付けHDDのガワって、簡単に破壊できてしまいませんか?
もちろんそのために暗号化しているのでしょうが、それならワイヤの必要がないように思えます。
Re:ワイや! (スコア:2, 参考になる)
帰宅時は、セキュリティワイヤを外し、ロック可能な所に収納しています。
盗まれた時の損失を考えると、ノートPCもワイヤつけるモノだと思いますよ?
Re:ワイや! (スコア:2, おもしろおかしい)
人をワイヤで固定しているのかと思った。
# 茶々なので AC
実際の話 (スコア:1, 興味深い)
Re:ワイや! (スコア:2, 興味深い)
なんとかならんのかなこれ
Re:ワイや! (スコア:1)
Appleは大昔からセキュリティワイヤがつけられるようになっていたから、そうだとしたら重要なインターフェースの変更では?
現時点で実際どうかは分かりませんが、所謂thin clientで「盗られてはいけないデータは入っていない」という使い方を想定しているとか、それとも生体認証+暗号化のような持って行かれても破られない(破られにくい)技術を前提にするようになったんでしょうか。
Re:ワイや! (スコア:1)
# HDD暗号化して、さらに個々のファイルも暗号化して、さらにシンクライアント状態で業務データほぼゼロのノートPCでも、なくすとセキュリティ事故ってなってものすごく怒られる。会社ってそんなもん。
Re:ワイや! (スコア:1)
一般公開中と書いてるから、ちょっと置いて目を放した隙に・・ってことかな?
まったく油断も隙もない世の中だ。
the.ACount
Re:ワイや! (スコア:1, 参考になる)
デスクトップより格段に盗まれやすいですから。
異動やレイアウト変更、なにより設置設定が容易ということで
いわゆるデスクノートも企業では多いですし
ノートにワイヤはごくごくあたりまえの使い方です。
うちではモバイルは別途申請して貸し出しを受けるので
常設機ならノートでもワイヤつけない事例はまずないです。
Re:ワイや! (スコア:3, 参考になる)
あれは、ただの飾りなんじゃないんですか?
ごく普通にロックの付け外しをしてたら、割れちゃいましたよ。
メーカーさんに「強度不足では?どの様な強度設計になってるか教えて欲しい」と訊ねたら、「貴方に教える義務はない」って言ってましたねぇ、ソ○ーさん?
発信機 (スコア:0)
とりあえず発信機とかGPSとか、そんな感じのものを仕掛けておくぐらいはしましょうよ。
一定期間使わないとどこかへ自動的に接続して、何か残すみたいなのでいいんじゃないかな。
ブラウザのデフォルトURLにシリアルIDっぽいのを仕掛けておくのもありじゃないかと。