アカウント名:
パスワード:
公開の状況を完全に把握、管理できるならば「広く配布しない方が好ましい」 事にはなるでしょうけど、それは出来ないでしょう、というスタンスに立つ のがインターネット・セキュリティではないだろうか。 「隣の市町村は知らないから大丈夫」って錯覚してどうする。 元情報は匿名で寄せられたメールだそうだから、2ch とかで流布する事も 考えられなくもないだろう。隣の市町村よりもっとヤバイ奴に知れ渡る 可能性もあるんだから。
でも結構、総務省も住基ネットでセキュリティー周りで叩かれているから、 報復に公開したのかもね。
リスクの引き金を引くような情報は「広く配布しない方が好ましい」ことには疑問の余地はないような気はするのだが
あなたに私の電話番号が分かりますか? #対して、各自治体の公開されているweb serverのIPアドレスやサーバを知ることは、完全に合法かつ容易にできます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
引き金 (スコア:1, すばらしい洞察)
-- LightSpeed-J
損益評価(Re:引き金) (スコア:3, 参考になる)
抗議した人々はきっと、「自分だったらこのような情報を元に攻撃を仕掛ける」と考えてそれを恐れたのでしょう。:)
(以下真面目モード)
配布によるメリットとしては晒しあげによる一種の脅迫効果により早急な改善が期待できる。
デメリットとしては弱い自治体がクラックの対象となる.
ちょっとメリットデメリットを比較してみましょう。
例えば私の管理しているac.jpなマシンには日に数回は世界の裏側からftpアクセスの試みが有ります。おそらく自治体のマシンも似たような頻度でプローブを受けている事でしょう。仮に、脆弱なマシンにこのようなプローブが行なわれたとし、その結果暴露された脆弱性が実際のクラックに繋がる確率を「プローブ即クラック確率」としましょう。とすると、脆弱なマシンの一日当たりの被クラック確率はプローブ即クラック確率*数回と見積もれます。
第二に、問題のリストを受けとった全国数千の自治体の役人一人一人について、リストより判明する脆弱性情報を用いてクラックを行なう確率を「役人悪事働く確率」とすると、今回の晒しあげに由来する脆弱マシンの被クラック確率は役人悪事働く確率*数千となります。
つまり、
メリット: 脆弱なマシンがクラックされなくなる確率=改善脅迫効果による脆弱なマシン存続時間の短縮*時間当たり被クラック確率=短縮日数*プローブ即クラック確率*数回
デメリット:脆弱なマシンがクラックされる確率=役人悪事働く確率*数千
未知数は多いですが、私の感覚的にはメリットの方が大きいかな....
(未知数を明らかにするコメント求む)
Re:損益評価(Re:引き金) (スコア:0)
このメールが盗み読まれている確率を、デメリットにいれれば、明らかにデメリットの方が大きいような
Re:損益評価(Re:引き金) (スコア:2, すばらしい洞察)
> (稼働日数*プローブ即クラック確率*数回)
> このメールが盗み読まれている
こんなことをする連中ならば、IPアドレスや
web serverのバージョンなんて、もともと
知ってないわけないじゃん。
つまり、この意味でのデメリットはないね。
Re:損益評価(Re:引き金) (スコア:0)
んだもんで、デメリットありあり。
Re:損益評価(Re:引き金) (スコア:0)
> 役人悪事働く確率*数千となります。
"役人 (それぞれの) 悪事働く確率" が 0.2% だと仮定すると,
特定の役人集合の人数が "数千" のとき
"脆弱マシンの被クラック確率"
(特定の役人集合のうち誰かが悪事働く確率)
は 0.2 * "数千" %になりますね。
"数千" のとりうる範囲が 1000 から 9999 までならば
"脆弱マシンの被クラック確率" は
200% から 1999.8% の範囲となります。
さいこ
Re:損益評価(Re:引き金) (スコア:1)
明記されていませんな。
わたしもいくつか例示してみましょう。
#大元のコメントは皮肉のつもりで書いたのかな?
#それとも大真面目(汗)??
>"役人 (それぞれの) 悪事働く確率" が 0.2% だと仮定すると、
>特定の役人集合の人数が "数千" のとき
>"脆弱マシンの被クラック確率"
>(特定の役人集合のうち誰かが悪事働く確率)
>は 0.2 * "数千" %になりますね。
正確には、各人が魔が差す確率を考える場合、役人の母体数は
何人だろうがあまり意味を持たず、統計的な考え
(役人総数の0.2%が魔が差す)とするなら、百分率で100と
考えなければ意味ありませんよね。
あと、各人の魔が差す率と母体数に対しての魔が差す率(統計的確率)には
定義しない限り特別な相関はないと考えるべきです。
・・・だって、そんなこと何も述べてないんだもの。
#まじめに数式で書くと・・・、
#それぞれの役人が悪事を働くのは0.2%とすると、
#各人について0.2%の可能性があり、総体としてクラックが
#発生する場合だと、論理和で考えて、
#(1-「誰もがクラックをしない確率」{(99.8/100)^母体数})*100 %
#と、考えるべきかな?
#母体数 数千の役人について、その0.2%が悪事を働く確率なら、
#(0.2 * 母体数) / 母体数 = 0.2%で結局百分率表現の確率は
#表現そのまんまやん(汗)。
クラックを受ける数としては (母体数 * 0.2)回起こる可能性がある
と言うのは間違いとは言えませんが、確率と言ってしまうのは
大間違い。
それも各人が行儀よく一回だけアタックし、問題なく成功した場合の、
単なる可能性の話。
#最低線としての予想発生数の定義なら、まあ合ってるかも。
#最低線を見積もっても、意味はないかもしれないけど。
---- redbrick
Re:損益評価(Re:引き金) (スコア:0)
なんせ相手はお役所ですから、「善処します」と言われたところで信頼性が無いっす。
Re:引き金 (スコア:1)
御意。
この記事見た瞬間、総務省が全国市町村の使用OSバージョンリストをWebで一般向けに配布したのかと思ってしまった。そんなわけないわな。でも、そんなことした日にゃ...
Re:引き金 (スコア:1)
# 面倒だから俺はいやだ
同じことだよ。
Re:引き金 (スコア:1)
市町村の方々は、「これで日本中に知れ渡ってしまった!どうしてくれる!」 とでも抗議するのでしょうかね。
実際は世界中に知れ渡ったと同値でしょ。
公開の状況を完全に把握、管理できるならば「広く配布しない方が好ましい」 事にはなるでしょうけど、それは出来ないでしょう、というスタンスに立つ のがインターネット・セキュリティではないだろうか。
「隣の市町村は知らないから大丈夫」って錯覚してどうする。
元情報は匿名で寄せられたメールだそうだから、2ch とかで流布する事も 考えられなくもないだろう。隣の市町村よりもっとヤバイ奴に知れ渡る 可能性もあるんだから。
こんなの誰でも出来ますよ (スコア:1)
でも結構、総務省も住基ネットでセキュリティー周りで叩かれているから、 報復に公開したのかもね。
Re:引き金 (スコア:1)
前提からして、既にケースバイケースだと思いますがね。
Re:引き金 (スコア:0)
Re:引き金 (スコア:0)
引き金までではないが (スコア:0)
Re:引き金までではないが (スコア:0)
Re:引き金までではないが (スコア:0)
だって、個人情報じゃないし、プライバシーじゃないもん。
それがほとんど全て。
その上に、いつも自分で大声でDNSに向けて喋っている情報だよ?
どうして問題になるんだか。
>電話番号も調べればわかるが、特定の人の電話番号一覧をわざわざ作って配ったりしない
Re:引き金までではないが (スコア:1)
あなたがどこに住んでいる誰だか分かれば容易に分かりますね =)
比較対照がめちゃくちゃでは無いでしょうか。
で、問題なのは、公開したら脆弱性を突かれる可能性があるリストを公開した事が問題なのでしょう。
「あなたの家の鍵はピッキングに弱いですよ」と本人に教えれば良い物を、各家庭の鍵の情報リストを公開したような物かと。
そりゃ、一軒一軒調べれば分かるし、鍵を放置している当人達にも問題があるのは確かですが、それはまた別問題なんじゃないでしょうか。
戦わずして人の兵を屈するは、善の善なるものなり
Re:引き金までではないが (スコア:0)
Re:引き金までではないが (スコア:1)
# 間違っていたら指摘プリーズ
Re:引き金までではないが (スコア:0)
個人情報がそこそこ高値で取り引きされるのは,
それが普通には手に入りにくい物だからですよ.
Re:引き金までではないが (スコア:0)