アカウント名:
パスワード:
どの事象をさして「不正アクセス」としているのか皆目判らない。わざと曖昧にしているのかね?
まあ、はっきり言うと1番はどうでもいいので2番の経緯が知りたいですね。客寄せになる芸能人のブログを個別にケアしたりそのコンテンツに対して運営会社が介入するのは別に驚くべきことじゃないけど、、、なんで管理者がPasswordを平文で管理しなきゃいけないかは、全くもって想像の埒外ですなぁ。
>1. 今回流出したID/Passwordでのブログの管理機能への不正ログイン
あのID/Passwordはお年玉画像にリンクされてたんだから、当然Amebaからのお年玉なわけですよあのID/Passwordでloginしたところで、不正になるわけがない
不正にならないわけがないとは分かっているが、半分ぐらい本気自分でpasswordばらまいておいて、loginした奴を不正アクセスで追い込めるようだと、ゆすりのかっこのネタになりそうなので
お年玉としてリンクが張られた経緯としては、
1.「誰か」が問題のExcelファイルを入手2.「誰か」がそこに記載してあったうちのひとつである藤本美貴のブログにアクセス3.「誰か」がお年玉と題した画像とリンクを記述(場合によってはExcelファイルのアップロード)
以外は現実的じゃない気がします。なので、この「誰か」の行為はおそらく、不正アクセスに該当するでしょう。そういう手段でもって公開されたIDパスワードを利用することが不正アクセスになるかどうかはどうなんでしょうね。
# 「あなたのIDとパスワードはこれです」と言って渡されたならともかく、リストが出てきて、そこからつかったなら、# 心情的には不正アクセスとされても仕方ないかもと思う。
あー、「自分のものだと誤解して使った」ら不正アクセス認定するのはどうかなと思うけど、リストのように自分の物でないことがわかってるのに使ったら不正アクセス認定さるだろう、って意味で書きました。プレスリリースがどういう意味で書いてるのかがよくわからないので。
「自分のIDが有名人の名前で晒される」のは全く考えてなかったけどそれは怖い……。
それだと確かに不正アクセスなんだけど、肝心のプレスリリースがどこを不正アクセスと言ってるかわからないんですよね。
年内でクビになった管理者が嫌がらせのためにやったと言われたら納得しちゃうけど。
>なんで管理者がPasswordを平文で管理しなきゃいけないかは、>全くもって想像の埒外ですなぁ。アメブロのサービスを横で見て、経営の主導権を握っているのが非技術者で、薄利多売(webサイトトップにぜ~んぶ無料!)を信条としていて、ノーガード戦法というセキュリティネタを耳にしたことがあったなら、冗談でも「なんで?」じゃなくて「ああ、やっぱり」と考えた方が良いんじゃないですか?
いやぁ、パスワードの管理方式なんて現場(技術者)が決めるでしょwいちいちそんな事口出すと思えんし。なんでも経営のせいにするのはどうかと思うよ。
技術者によってシステム上のパスワード管理がハッシュ等で適切に管理されていたとしても、「パスワード覚えない芸能人が毎回聞いてくるのでそのたびに教える」ような運用を決定するのは技術者じゃない。結果として、技術者の賛同しないところで、技術者じゃない人間がIDパスワードセットをもっていても不思議ではない。それが漏れたって話でしょう、これ。
一般人のIDリストが漏れたわけではないらしいので、なおさらこう読むのが筋だと思うけども。
回り回っては、経営の責任ですよ。『安全とは、災害が起きていない状態ではなく、災害を防止する取り組みが継続的に実施されている状態を言う』 -- 某大手ゼネコンの現場に必ず掲載されている標語です。
ITゼネコンなんて呼び方、本物のゼネコンに失礼ですよねぇ。。
どう考えても中の人としか思えないコメントがさっきから混ざってる。察してやれよ…
予算が付かず時間ももらえず人材も確保されないなら、より安易な方法に流れるような
ありそうな話として。
現場「パスワードのハッシュ機能を実装する必要があります。」社長「そんなことは後でいいから、先にこっちの機能を実現してくれ。」
現場「しかし、ハッシュせずに生パスワードで保存していた場合、パスワード流出のリスクが……」社長「こまけぇこたぁいいんだよ!!」
無理。
コスト、お金、わかります?ハッシュ化かプレーンテキストかで運用/保守コストを見積もった場合、ハッシュ化の方が見かけ上のコストは大きいです。
「何で安くで済むプレーンテキストでやらなかったんだー!」とか「ユーザがパスワードを忘れた場合どうするんだね?メールひとつ送り直すだけで済むだろう?」とか言ってきますよ?総務とか重役とか。開発の発言力がいくら強くても、お金の問題になる以上現場で決めずに上役に任せた方が幸せです。
#「ISMSをまず勉強してください(キリッ」なーんてね。
たとえばJR福知山線脱線事故や、森ビルの回転ドア死亡事故はいずれも経営者が責任を問われていますよ。パスワードの保存方法は生命に関することとは言えませんが利用者の財産にかかわることは間違いないです。
現場が暗号化について知らないとすればそれも教育をおこったった経営の責任です。
この場合の「経営の責任」とは、漏洩した時に500円の金券相当のお詫びを送ることでしょうか。
その程度で責任がとれると思われてる限り、経営者がセキュリティを真面目に検討する日は永遠に来ないだろうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
何を不正アクセスとしているのか不明 (スコア:1)
どの事象をさして「不正アクセス」としているのか皆目判らない。わざと曖昧にしているのかね?
まあ、はっきり言うと1番はどうでもいいので2番の経緯が知りたいですね。
客寄せになる芸能人のブログを個別にケアしたりそのコンテンツに対して運営会社が介入するのは
別に驚くべきことじゃないけど、、、なんで管理者がPasswordを平文で管理しなきゃいけないかは、
全くもって想像の埒外ですなぁ。
Re:何を不正アクセスとしているのか不明 (スコア:1, すばらしい洞察)
>1. 今回流出したID/Passwordでのブログの管理機能への不正ログイン
あのID/Passwordはお年玉画像にリンクされてたんだから、
当然Amebaからのお年玉なわけですよ
あのID/Passwordでloginしたところで、
不正になるわけがない
不正にならないわけがないとは分かっているが、半分ぐらい本気
自分でpasswordばらまいておいて、
loginした奴を不正アクセスで追い込めるようだと、
ゆすりのかっこのネタになりそうなので
Re:何を不正アクセスとしているのか不明 (スコア:2, すばらしい洞察)
お年玉としてリンクが張られた経緯としては、
1.「誰か」が問題のExcelファイルを入手
2.「誰か」がそこに記載してあったうちのひとつである藤本美貴のブログにアクセス
3.「誰か」がお年玉と題した画像とリンクを記述(場合によってはExcelファイルのアップロード)
以外は現実的じゃない気がします。
なので、この「誰か」の行為はおそらく、不正アクセスに該当するでしょう。
そういう手段でもって公開されたIDパスワードを利用することが不正アクセスになるかどうかはどうなんでしょうね。
# 「あなたのIDとパスワードはこれです」と言って渡されたならともかく、リストが出てきて、そこからつかったなら、
# 心情的には不正アクセスとされても仕方ないかもと思う。
Re: (スコア:0)
> # 心情的には不正アクセスとされても仕方ないかもと思う。
「もしかして自分のIDとパスワードが藤本美貴の名前で曝されていたらどうしよう」と思いませんか?自分の名前で曝されるよりも恐ろしい。
Re:何を不正アクセスとしているのか不明 (スコア:1)
あー、「自分のものだと誤解して使った」ら不正アクセス認定するのはどうかなと思うけど、
リストのように自分の物でないことがわかってるのに使ったら不正アクセス認定さるだろう、
って意味で書きました。
プレスリリースがどういう意味で書いてるのかがよくわからないので。
「自分のIDが有名人の名前で晒される」のは全く考えてなかったけどそれは怖い……。
Re: (スコア:0)
それだと確かに不正アクセスなんだけど、肝心のプレスリリースがどこを不正アクセスと言ってるかわからないんですよね。
年内でクビになった管理者が嫌がらせのためにやったと言われたら納得しちゃうけど。
Re:何を不正アクセスとしているのか不明 (スコア:2, 興味深い)
僕も似たような感想を持ちました。
有名芸能人ブログのID/passが「お年玉」という名目でバラ撒かれたということは、
真面目な話、運営側の仕掛けた祭り(イベント)だと勘違いしてアクセスした人が少なからずいるはずです。
実際にアクセスした人がそう主張したとして、事情がどの程度汲み取られるかは法律に詳しくないのでわかりませんが。
ただ、他人のID/passを不正に入手して使ってはいけないということが広く知られていたとしても、
「Amebaの芸能人公式ブログ上で」「さもプレゼント然とした形で公開されていた」ID/passを利用することがどれだけ危ういことかは、
一般人のリテラシーレベルではやや判断に窮する問題だったのではないでしょうか。
実際、僕も2chに立ったスレで状況を知ったときは、まず口コミを装った広告を疑いました。
ID/passの漏洩を装った、プロモーションサイトへの誘導なのではないか、と。
もしそうであれば、情報関係の企業としてはかなり不適切な広告手法だな、とも思いましたが。
一応補足しておきますが、この件で公開されたID/passを見てのアクセスによる逮捕者が出たとしても、僕は彼らを積極的には擁護しません。
もう少し賢ければ、あるいは教育の機会に恵まれていれば、ヘマをせずにすんだのにね、という意味で、哀れみは覚えるでしょうが。
ただ、サイバーエージェントという企業を、心の底から軽蔑するだけです。
今以上にできるかという問題はさておき。
Re: (スコア:0)
>なんで管理者がPasswordを平文で管理しなきゃいけないかは、
>全くもって想像の埒外ですなぁ。
アメブロのサービスを横で見て、
経営の主導権を握っているのが非技術者で、
薄利多売(webサイトトップにぜ~んぶ無料!)を信条としていて、
ノーガード戦法というセキュリティネタを耳にしたことがあったなら、
冗談でも「なんで?」じゃなくて「ああ、やっぱり」と
考えた方が良いんじゃないですか?
Re: (スコア:0)
いやぁ、パスワードの管理方式なんて現場(技術者)が決めるでしょw
いちいちそんな事口出すと思えんし。
なんでも経営のせいにするのはどうかと思うよ。
Re:何を不正アクセスとしているのか不明 (スコア:2, 興味深い)
技術者によってシステム上のパスワード管理がハッシュ等で適切に管理されていたとしても、
「パスワード覚えない芸能人が毎回聞いてくるのでそのたびに教える」ような運用を決定するのは技術者じゃない。
結果として、技術者の賛同しないところで、技術者じゃない人間がIDパスワードセットをもっていても不思議ではない。
それが漏れたって話でしょう、これ。
一般人のIDリストが漏れたわけではないらしいので、なおさらこう読むのが筋だと思うけども。
Re:何を不正アクセスとしているのか不明 (スコア:1)
回り回っては、経営の責任ですよ。
『安全とは、災害が起きていない状態ではなく、災害を防止する取り組みが継続的に実施されている状態を言う』 -- 某大手ゼネコンの現場に必ず掲載されている標語です。
ITゼネコンなんて呼び方、本物のゼネコンに失礼ですよねぇ。。
Re: (スコア:0)
どう考えても中の人としか思えないコメントがさっきから混ざってる。
察してやれよ…
Re: (スコア:0)
予算が付かず時間ももらえず人材も確保されないなら、より安易な方法に流れるような
Re: (スコア:0)
ありそうな話として。
現場「パスワードのハッシュ機能を実装する必要があります。」
社長「そんなことは後でいいから、先にこっちの機能を実現してくれ。」
現場「しかし、ハッシュせずに生パスワードで保存していた場合、パスワード流出のリスクが……」
社長「こまけぇこたぁいいんだよ!!」
Re: (スコア:0)
無理。
コスト、お金、わかります?
ハッシュ化かプレーンテキストかで運用/保守コストを見積もった場合、
ハッシュ化の方が見かけ上のコストは大きいです。
「何で安くで済むプレーンテキストでやらなかったんだー!」とか
「ユーザがパスワードを忘れた場合どうするんだね?メールひとつ送り直すだけで済むだろう?」とか
言ってきますよ?総務とか重役とか。開発の発言力がいくら強くても、
お金の問題になる以上現場で決めずに上役に任せた方が幸せです。
#「ISMSをまず勉強してください(キリッ」なーんてね。
Re: (スコア:0)
たとえばJR福知山線脱線事故や、森ビルの回転ドア死亡事故はいずれも経営者が責任を問われていますよ。パスワードの保存方法は生命に関することとは言えませんが利用者の財産にかかわることは間違いないです。
現場が暗号化について知らないとすればそれも教育をおこったった経営の責任です。
Re:何を不正アクセスとしているのか不明 (スコア:1)
この場合の「経営の責任」とは、漏洩した時に500円の金券相当のお詫びを送ることでしょうか。
その程度で責任がとれると思われてる限り、経営者がセキュリティを真面目に検討する日は
永遠に来ないだろうな。
Re: (スコア:0)