カテゴリ:情報保護・セキュリティ( 69 )

個人情報流出:市民1万人分(秋田県湯沢市)

個人情報流出:市民1万人分、ウィニー感染 秋田・湯沢市 毎日新聞 2005年4月15日 3時00分

 秋田県湯沢市(人口約5万7000人)の市民の5分の1にあたる1万1255人分の名簿が、インターネット上に流出していたことが14日、分かった。湯沢市は「平成の大合併」で旧湯沢市を含む4市町村が合併し3月22日に誕生したばかりで、合併の賛否を問う市民アンケート対象者の名簿だった。担当職員が公用パソコンでファイル交換ソフト「ウィニー」を使用し、新種ウイルスに感染したことが原因とみられ、大量の個人情報が漏れた事態を重視した同市は今月11日付でこの職員を訓告処分にした。

香ばしぃなあ。役所のパソコンでwinnyですか。何に使ってたんでしょうね(笑)

 いいですね~お役所は「深くおわび申し上げ」て「再発防止の取り組みに万全を期」すとかって決まり文句のコメントを出して、「訓告処分」ですむんですか(笑)

 ホント、皮肉から逸脱するけど本気で羨ましいわ

 基本的に性悪説でモノを考える時代だ。
 セキュリティホールの最大の穴はいつも人間だし、大半が「内部犯行」である。
 一般企業だったら、プロトコルやポートやルーティングなどのネットワーク関連の調整とか、一般人にはパソコンの管理者権限与えないで勝手にソフトのインストールはできないようにするとか、まあ、一般的にイロイロやる必要がある。

 最近あまり聞かないが、「GIGO」という言葉があった。「コンピュータには、クズを入れるとクズが出てくる」という意味だが、「コンピュータには、クズを入れるとスーパークズが出てくる」というのが実態には即している。
 いまどきのコンピュータは使い方間違えると、自爆テロなみに周囲に被害をまきちらす。

 なんでもかんでもネットワークに繋いで、ソフトいっぱい入れて…確かに「便利」だろうが、その「便利」というのは誰のための「便利」なのかというのは考えてみないといけない。

 世の中にはあえて「不便」にしておくという選択もあるのである
[PR]
by SIGNAL-9 | 2005-04-15 11:37 | 情報保護・セキュリティ

新的抗日方式

「13億人ワン切りテロ、中国「反日」激化 」ZAKZAK

中国の反日掲示板やチェーンメールには日本人を懲らしめる「新的抗日方式」として、複数の日本企業のフリーダイヤルが列挙された。サイトは「13億人が、1日1回かけるように」「小日本をたたきつぶせ」と呼びかけている。

 ZAKZAKの記事だが(笑)、確かに「新的抗日方式」でググると、その現物があちこちの中国サイトに転載されているのが確認できる。
 記事にもあるとおり、日立、ソニー、シャープに松下、NECあたりの電話番号が晒されているが、作戦通り実行されたとして、フリーダイアルが使えなくなる事で業務に大幅に支障を来たすとも思えないし、こういう物的証拠があれば電話会社もおいそれとフリーダイアルの使用料金の請求はできないような気がするし、通話記録は多分残るし、輻輳でも起こせば結局困るのは現地の人間だと思うんだが。

 激しいサイバー攻撃の一方で、日本の一部掲示板では「反撃しよう」と、のろしが上がる。中国の愛国・反日サイトにかなりサイズの大きい富士山の写真やタレント、志村けんさんの写真を何者かが張り付け、すでに一部掲示板を閉鎖に追い込んだ。

 「一部掲示板」(笑)、「何者かが」(嗤)
 おとといから昨日にかけては、志村けんよりエロ写真の方がよく見かけた気もするな(笑)

 
警察庁と防衛庁のHPにサイバー攻撃、改ざんなどの影響見られず=細田官房長官 ロイター2005年 04月 14日 木曜日 11:57 JST

 時事通信は13日、反日活動を展開している中国のウェブサイトが、13日午後8時(日本時間同9時)に日本国内のサーバー1万1000カ所にサイバー攻撃を仕掛けるよう呼び掛けた、と伝えている。

 細田官房長官はこれとの関連性については、「わからない」とした上で、犯人などについては、「特定は難しい」と述べた。

 「特定は難しい」ねぇ。
 DoSなんて「程度の低いもの」という意見には賛成だが、ちゃんと調べたのだろうか。やけに諦めるのが早すぎないか。

 少なくとも(まさか生ではやってないだろうから)踏んできた串の追跡するなりなんなり、きちんと調べるべきは調べてから「特定は難しい」という発表ならまだしも、もしかして「ログ見てIP蹴って終わり」とかじゃないんだろうな?

 この手の下らない犯罪行為はエンド-エンドの迷惑だけじゃあすまないから、きちんと対応したほうがいいと思うぞ>官房長官。
[PR]
by SIGNAL-9 | 2005-04-14 17:05 | 情報保護・セキュリティ

Windows 2005年04 セキュリティアップデート

 4/13付けでいくつか4月分の新しいWindowsアップデートパッチが出ている
 MS Wordにも結構重要なアップデートが入っているのでこちらをお使いの方はOfficeアップデートもチェックされた方がよい。

 今月分は客観的にみてもけっこうヤバげな香りがするものがある。

 特に、最近のパターンとして;
  1. どこぞのセキュリティ専門家やハッカーが、セキュリティホール発見
  2. しかるべき筋に報告。Exploitコード(「こうするとね、ほらちゃんと穴が開いてるでしょ」とセキュリティホールを実証するためのプログラム)が作られるが、この時点ではおおっぴらには公開されない場合が多い。
  3. パッチ作成してリリース
  4. 脆弱性の詳細が公開され、合わせてExploitコードも公開される
  5. それを見た素人クラッカーちゃんたちが「私にも作れますぅ」とばかりにウィルス作成開始
  6. 「パッチってなんですか」な人々がやられて、その飛び火で、ちゃんとした人々も被害を受ける

みたいなことがけっこうある。

 つまりは、「ほらここにこんな穴があるよ」という情報が公開されたら、なるべく早急に対策を考えることが必要だということだ。情報が公開されることで、その情報を適切に取り扱っていない人にとっては潜在的危険性が-少なくとも短期的には-むしろ増してしまう、ということだから。

 それと合わせて、IEとかWMPとかOutlookとかの香ばしい匂いのソフトを使用している場合には、それのセキュリティ対策も忘れずに。
 言うまでもないが、一部のパッチは単に当てるだけでは根本的な対策にはならないものもある。

「コンドームしてるから絶対大丈夫」と思って失敗した奴は数知れないことをお忘れなく(笑)
[PR]
by SIGNAL-9 | 2005-04-13 10:39 | 情報保護・セキュリティ

顧客1万8千社の情報紛失 リコーがパソコン盗まれる

 リコーは5日、顧客企業約1万8700社の連絡先などの情報が入ったノートパソコン1台が盗まれたと発表した。同社は「パスワードが必要なため入手した人が情報を見るのは困難。現時点で情報が流出したとの連絡もない」としている。
 同社によると、東京都内で3月25日未明、同社のグループ会社社員が帰宅中、駅で会社のパソコンが入ったかばんを持ったまま寝入ってしまい、気が付くとなくなっていた。パソコン内にはリコーの業務ソフトを購入した企業名や住所、担当者名などが保存されていた。
 同社は「顧客には個別に説明するとともに、警察などを通じパソコンを捜している。関係者におわびし再発防止策を徹底したい」と話している。
                           (共同通信) - 4月5日13時20分更新



 未明の帰宅中ということだと、仕事疲れなのか酔っ払っていたのか、その辺はわからないが、表ざたになっていないだけで、こういうことは他でも絶対起きている筈だ。重要書類無くしただのいう馬鹿はどこの会社にでもいる。

 書類のような紙のメディアと違うのは、いったん漏れると量がハンパでないという点だろう。モバイルPCといえど普通数十ギガのディスクは付いてるし、最近では二次記憶媒体-CD-R/DVD/USB用のメモリディスクの類-ですらギガバイトの世界である。フロッピー落としましたとは潜在的破壊力が違う。

 俺もUSB用のメモリディスクを重用しているが、爪切りと同じ程度のサイズだ。無くすだの落とすだのバクられるだのはありえない話ではない。それだけでトンデモない量の情報が流出する恐れはある。

 まあ、この記事だけ読むと、「そもそもデータの入ったパソコンの会社からの持ち出しを認めていたとしか思えない運用体制はど~よ?」という気はする。

 教条主義的にいえば、規則・仕掛けともそもそも社外に情報を持ち出すようなことは許さない様にするべきだろう。現に最近の企業にはローカルにはデータを持たせない等の対策をとっているところもある。
 ぐるっと回ってディスクレスのダム端末へ回帰してるということだな(笑)

 モバイル機導入で営業効率向上とか-実際には営業孤立が向上している会社もあるそうだが-、そーゆー事を言う前に、リスクもそれだけ増えるんだということを認識する必要がある。

 光あるところに影がある。コンピュータにはやらずぶったくりは利かない。何かよくすりゃあ何かが悪くなるのである。
[PR]
by SIGNAL-9 | 2005-04-05 15:09 | 情報保護・セキュリティ

アフラック(アメリカンファミリー生命保険会社)で1万7000人分の個人情報入り磁気テープを紛失

ニュースリリース

アフラック(アメリカンファミリー生命保険会社、本社:東京都新宿区、日本における代表者・日本担当チーフオペレーティングオフィサー:幹晶稔)では、兵庫県内の団体契約のお客様情報が記録された磁気テープの所在が、社内で不明となっている事案が2005年3月15日に判明いたしました。

所在が不明となっておりますのは、団体契約のお客様の保険料請求のために当社が団体に提供しているカートリッジ型磁気テープ(以下CMT)4本(正副2本ずつ)です。当該CMTには、兵庫県内の団体に所属する13,777名のご契約者情報(氏名、生年月日、証券番号、契約日、保険料等)および3,573名の被保険者情報(氏名、生年月日)が記録されております。なお、住所、電話番号、銀行の口座番号は記録されておりません。


 みずほのエントリに、「個人情報保護法施行の直前に発表というのは、タイミング的にうさんくささを感じるなぁ」と書いたが、やはりこれは、施行前の「駆け込み発表]と捉えられてもしかたないような気がする。
 後になって発覚すれば罰則の対象になるかもしれんものな。

もしかして今日(3/31)、もっと駆け込むところが出てくるかも

ちょっと指摘しておくと、ニュースリリースにある

このCMTは、該当するカートリッジ仕様に適合した磁気テープ装置を業務用の大型コンピュータシステムに接続してデータの読み出しを行うもので、一般の個人が内容を読み取ることはできません。

この認識は少々甘いような気がする。
CMT(といっても各種あるが、一般的に)はそれほど特殊なメディアではないし、メディアコンバートのサービスをやってるところもあるし、一般の個人でも借りようと思えば借りられる。

特に汎用機系の記録フォーマットだとすれば逆に、暗号化やトラスティその他のプロテクトがかけられている可能性は非常に低いのではないか?
[PR]
by SIGNAL-9 | 2005-03-31 09:39 | 情報保護・セキュリティ

シマンテックの「インターネットセキュリティ脅威レポート」

シマンテックの「インターネットセキュリティ脅威レポート」

最近の傾向としては
  1. 秘密情報に対する脅威の増大
  2. フィッシング攻撃の着実な増加
  3. Web アプリケーションに対する攻撃の増加
  4. Windows を狙うウイルス/ワーム亜種の急増
  5. 深刻度が高く、悪用が容易な上、リモートから悪用できる脆弱性の増大

といったところで、今後の傾向としては;

・金銭目的でのボットやボットネットワークの使用が増加していくと見ています。新たなボットを獲得し、ボットネットワークを作る手法が多様化してきています。

・モバイル機器を狙った悪意のあるコードが、件数、深刻度とも高まっていくと見ています。Bluetooth 対応機器の脆弱性を研究するグループが多数存在しています。これら脆弱性を悪用して拡大する悪意のあるコード(ワームなど)が出現するおそれが高まっています。

・シマンテックでは、ワームやウイルスを拡散手段としたクライアントサイドへの攻撃が増えていくだろうと考えています。

・音声やビデオ画像のコンテンツに埋め込まれて隠れた形の攻撃が増えていくだろうと予測しています。これは、厄介な問題です。画像ファイルは今やありふれたものであり、ほとんど誰もが疑いを抱かない上、現代のコンピュータ利用に不可欠な存在だからです。

・シマンテックでは、アドウェア、スパイウェアに関連したセキュリティリスクが増大すると予測しています。これらのリスクを抑える各種法律だけでは効果的かつ十分な抑止力とはならないと考えています。


 ちなみに俺も最近、場合によってはあえて「物理的にネットワークに繋がないマシン」や「隔離LAN」で作業をするということがある。数年前には「時代に逆行してるよな」とメンドくさがったものだが、最近では慣れた(笑)

 そんな人、けっこう多いのではないかしら。ボットやトロイの木馬の類で情報流出なんてことになりゃあ、おマンマの食い上げだからねぇ。
恥ずかしいし

 まぁ、幸い今まで直接ひどい目にあった経験は無いのだが、「セキュリティパッチってなんですか」「ウィルスチェックってなんですか」な人のとばっちりを食ったことは多数。
 上のレポートなどを読むと、状況はますます悪化すること疑いないなぁ。

だからコンピュータは免許制にしろ、というのだ(笑)
[PR]
by SIGNAL-9 | 2005-03-30 19:02 | 情報保護・セキュリティ

みずほ銀行、約27万人分の顧客情報紛失

みずほ銀行のホームページニュースリリース(PDF)より。

今般、個人情報保護法の全面施行を控え、当行全店においてお客さま情報(※)が記載されたCOM、還元資料等の保管状況の調査を実施した結果、167か店において調査した資料の一部について紛失していることが判明致しました。このような事態を招きましたことは、誠に申し訳なく、深くお詫び申し上げます。

紛失の概要は、以下のとおりです。

○ 該当支店数:167か店

○ お客さま数:約27万名

○ 対象となった主なお客さま情報:
お取引日、お客さま氏名、口座番号、入払・振込明細、預金残高
口座開設日(預入日)、満期日

※詳細は別添資料をご参照下さい。
現時点で、紛失物は発見されておりませんが、内部調査の結果、不正持出の可能性は極めて低いものと判断され、また、これまでにお客さまからの照会や当行に対する不正要求等、問題となる事象は生じていないことから、誤って廃棄した可能性が高く、外部への情報の漏洩懸念は極めて低いものと考えております。


 幸い俺の使ってる支店ははいっていないようだが…しっかしねぇ。

 167支店で見当たらないものが全部「誤って廃棄した可能性が高く、外部への情報の漏洩懸念は極めて低いものと」考えてしまっていいものなのだろうか。

 古くなって廃棄した…みたいな話なのかどうかも、肝心の「いつのデータ」なのかが発表資料には記載がないようだし。
 「カードローン申込書類」とか「投資信託総合取引申込書」なんて、名前から住所から生年月日から年収まで載ってるわけで、こりゃあ「個人情報流出」事件としては最大級かも。

 しかし、個人情報保護法施行の直前に発表というのは、タイミング的にうさんくささを感じるなぁ(笑…って笑い事ではないな)。
[PR]
by SIGNAL-9 | 2005-03-30 13:12 | 情報保護・セキュリティ

失敗知識データベース

JST失敗知識データベース

2005年3月23日
失敗知識データベースの一般公開開始について

失敗知識データベースは、2005年3月23日より一般公開しました。(無料)

このデータベースは、単なる事故事例データベースにはない以下のような特徴を備えており、この事業を統括している畑村洋太郎 工学院大学教授を中心に、失敗事例を分析して得た教訓を知識として活用できるようなデータベースを目指して開発しました。

(1)失敗の原因、行動、結果を分類して体系化した「失敗まんだら」と、それに基づいて失敗に至る脈絡を記述する「シナリオ」という表現法を開発。

(2)機械、材料、化学物質・プラント、建設の4分野で約1,000件のデータを搭載。

(3)「失敗百選」として失敗事例の中から国内外の典型的な事例を100例程度取り上げ、読みやすく記述。なお、一般公開開始時は、数十件の失敗百選を搭載していますが、以降、順次件数を増やす予定です。

事故や失敗の未然防止や、技術研修・技術学習等に、是非ご活用下さい。


データベースという性格上、報告書様式なので現場のドロドロ感が希薄だが、よく考えたらそんなドロドロしたデータベースは嫌か(笑)。

参考にはなりそうだが、飛行機の墜落事故と配管の破裂事故を同列のデータ管理のレベルに並べてしまって、後で困らないのかしら…と他人事ながらちょっと心配。

それと、掲載数が合計で1000件ちょっと、というのは量的に物足りなくないか。
ちなみにJSTといえば独立行政法人で、けっこうな(えっ、と思うような額の)国費を使っている、わりと大きい組織である。

もちろんこれ一事が万事ではないだろうが、そんな組織が麗々しくくデビューさせたわりには、コンテンツが寂しいような気がする。

そういえば国立公文書館のデジタルアーカイブサービスも4/1から運用開始。
[PR]
by SIGNAL-9 | 2005-03-25 15:02 | 情報保護・セキュリティ

個人情報保護法

4月1日から、「個人情報の保護に関する法律」、いわゆる 個人情報保護法が完全施行。
書店では関連書籍が花盛り。
Y2Kに続くバブルかねぇ(笑)

反対意見も根強いようだが、法は法、コンピュータ屋も知らなかったではすまんわな。

ITMedia News 特集個人情報保護

本質的には、機械的(システム設計的・プログラム的)に、十全な対策を打てる問題ではない。
機械的にやるべきことはやるとしても、最大の穴が、最終的には「人間」であることは他のセキュリティ問題と共通であろう。
[PR]
by SIGNAL-9 | 2005-03-23 15:20 | 情報保護・セキュリティ