アカウント名:
パスワード:
年金情報“流出” 不審メールの内容入手日本テレビ系(NNN) 6月3日(水)5時29分配信http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかけるhttp://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
後は自己展開形式の圧縮ファイルも。
今回とは関係ないが、自己展開形式のファイル暗号化ソフトって、セキュリティ高いどころかセキュリティホールだよね。
日立の秘文がそんなことをやっていましたね。リニューアルするとかいう話を聞きましたが、復号ソフト入りexeファイルをメールで送りつけてくる仕様はまだやるつもりなのでしょうか。いつか標的型攻撃のネタにされるのではないかと思っているのですが。
LZH形式かどうか以前に、差出人がyahooメールなことを疑わないと。
webフィルタのようにメール送信元の危険度ランクを表示するシステムが欲しい。「この送信元ホスト(mhlw.go.jp)からのメールには性描写が含まれている場合があります。」
まあ、企業・フリーメール・有償会員サイト・SPAMかの色分け程度でいいが。
モノがどうかというより、送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
そういう話じゃないでしょうに。不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
別系統に分けるだけの予算があるのかとかが問題になる悪寒…今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、実際には守られていない。仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、実際にできなくする「仕組み」が必要。
だから、その仕組みに抜け道を作らないようにするには、お偉いさんの意識改革が必要で、抜け道通らないと業務が回りません。で、スルーされたら意味がないと言ってるの。年金機構を無人の自動システムにでもしろと?それができれば確かに解決するけど。
『実際にできなくする「仕組み」』などというものは、結局はその組織を運営する人間の意識を改革しない限り維持できない。教育なしに厳正なシステム維持など不可能。
簡単だよ
紙の書類で管理すればいい。
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。「お偉いさん」なら法で強制されれば守るだろう。
セキュリティを法律とかで決めると、
住民票一つ出すのに、何人もの承認パスワードを入力しないと出せない、なんてこと平気でやる。そして実際にはそんなの運用できないので抜け道を作る。
>「お偉いさん」なら法で強制されれば守るだろう。
えっ?
セキュリティを法律で義務化するのは割とアリだと思います。セキュリティの手法なんて、幅が少なくてほとんど同じですしね。セキュリティの問題が相手側にあることも多いですし (古いブラウザやOfficeを使いつづけるクライアント会社とか)、義務化すれば多くの問題が解決できると思います。既に、クレジットカードの取り扱いでは、「PCIデータセキュリティスタンダード」(PCI SSC) が義務化されています。ただし、法律に罰則規定がないですが (契約には免責条項があります)。
PCI DSS への準拠は義務か http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp] > 改正割賦販売法という法令に基づ
> 「お偉いさん」なら法で強制されれば守るだろう。それ、意識改革って言わね?
PCI DSS への準拠
Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 [pcisecuritystandards.org] を見てみましたが、酷い内容でした。
[PCI DSS 要件] 8.2.4 ユーザパスワード/パスフレーズは、少なくとも90日ごと変更する。 8.2.5 これまでに使用した最後の4 つのパスワード/パスフレーズのいずれかと同じである新しいパスワード/パスフレーズを許可しない。
[テスト手順] 8.2.4.a システムコンポーネントのサンプルについて、システム構成設定を調べて、少なくとも90日ごとにパスワードを変更することを要求するようにユーザパスワードのパラメータが設定されていることを確認する。 8.2.4.b サービスプロバイダ用の追加手順。内部プロセスおよび顧客/ユーザ文書を調べて、以下を確認する。 * 非消費者ユーザパスワードを定期的に変更することが要求されている * 消費者以外のユーザに、いつどのような状況下でパスワードを変更する必要があるかについてのガイダンスが与えられている 8.2.5.a システムコンポーネントのサンプルで、システム構成設定を入手して調べ、新しいパスワードとして、これまでに使用した最後の4つのパスワードのいずれかと同じパスワードを指定できないことを要求するユーザパスワードパラメータが設定されていることを確認する。 8.2.5.b サービスプロバイダ用の追加手順。内部プロセスと顧客/ユーザマニュアルを調べて、非消費者ユーザのパスワードがこれまでに使用した4つのパスワードのいずれかにすることはできなくなっていることを確認する。
[ガイダンス] 長期間変更なしで有効なままになっているパスワード/パスフレーズは、悪意のある者がパスワード/パスフレーズを解読する行為により長い時間を与えることになります。 パスワード履歴が保持されていない場合、以前のパスワードが何度も再使用されることがあるため、パスワードを変更することの効果が低減します。一定期間ほどパスワードを再使用できないことを要求することで、推定されたか総当たり攻撃で見つけられたパスワードが今後使用される可能性が低減されます。
今時、パスワードを定期的に変更するメリットは殆どなく、害の方が大きい [tokumaru.org] のに、このセキュリティ基準はその事実を認められない頭の固い人が作っているようです。パスワード定期的変更推奨派の拙い論理は、既に、高木浩光さん、徳丸浩さんといった著名なセキュリティ専門家に完全に論破されています。
こんなふざけた基準を法律で義務化するのは、迷惑です。
国際的なクレジットカード業界側が定めた国際標準ですし、日本では既に義務化されてますし、諦めましょう。文句を言うならクレジットカード業界側へ。
そろそろできる所からでもパスワード認証とかやめるようにしていって欲しいわ。
PCIDSS以上に実際の運用実績のある規定ってありますか?
※で、以前PCIDSSのセミナーに行ったことがあるんですが、DBサーバーの暗号鍵も定期的に変えなきゃならんと言われて「え?全レコード書き直し?」と思ったらDBサーバーのアクセスをするための暗号鍵を定期的に変えて、そのカギはDBの暗号鍵を引っ張ってくるためのものならいいとか言われてハァ?と思ったんですけど、それであってるんですか?
>個人情報保護法
それはちょっとだけ違う(揚げ足取りになってゴメン)。民間が対象の法律。日本年金機構による情報取扱は独立行政法人等の保有する個人情報の保護に関する法律(平成十五年五月三十日法律第五十九号) [e-gov.go.jp]に縛られる。
日本年金機構法 [nenkin.go.jp]の12条4 二を参照のこと:
(業務に際しての個人情報(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第二項 に規定する個人情報その他厚生労働省令で定めるものをいう。第三十八条第一項において同じ。)
徳丸さんの言われている「優れたコラム」からですが、「侵入者が何カ月も聞き耳を立てていたがるサービス」はパスワードを定期変更したほうが良いと書かれています。
これから考えるに、たとえば社内システムで部下が上司のパスワードを知った場合、その部下は上司がパスワードを変えるまでは権限を持たない情報にアクセスできることになるので、定期変更したほうが良いケースになります。
で、Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 の該当箇所を読んでみたのですが、従業員が使うシステムについて書かれています。つまり、定期的にパスワードを変更したほうが良いケースです。
パスワードの定期変更はシステム毎・利用形態ごとに考えないといけないことなのに、セキュリティ専門家の威を借りて「とにかくパスワード変更は害悪」と言い放つのは如何なものでしょうか。
こんなふざけた解釈でドヤ顔されるのは、迷惑です。
何で部下が上司のパスワード知ってんですかね
これまでの議論をちゃんと理解していれば、そんな愚問は出てこないよね
税金同様に査察の仕組みを導入して「お偉いさん」自身の首がとぶように監視し続けないと無理だろうね精巧な仕組みがあっても、パワハラセクハラどんな手を使ってでも迂回しようとするんだし、組織の下の人間は従うしかない
これ外部からの問い合わせメールにやってきて担当者が開いちゃったって話なの?メールの文面見ると社内向けメールを装ってそうだったから外部窓口じゃないメールに飛んできたのかと思ったけど。
まじめで几帳面な人なら引っかからない、、と思っているのかもしれないが、官房秘書課の名をかたって「省外の方から貴殿の電話応対について苦情が届いています。詳細は別添の通り。」とやれば、かなり高い確率で引っかかる。勤務態度の悪い奴はこの手のメールをガン無視するから、逆に引っかからない。
標的型メールの攻撃訓練を10回くらい受けてもこんなものだよ。職員が一万人もいれば、数十人引っかかるのが当たり前。むしろ一人も引っかからないようなメールなら、メール出した方が残念なくらい無能といえる。
メールの文面見たら「これは引っかかるな」と思いました。もうこういうところはメールの添付ファイルもリンクも開けないようなメールクライアントをインストールしたらいいんじゃないですかね。それで仕事に困る部署だけは専任のメールチェック人でも雇うとかして。
意味わかんないですね。dll使ってないソフトは安全ですが。また、LZHに対応したセキュリティソフトもありますけど?別にLZHそのものに脆弱性があるわけではないでしょう。
ヘッダーを細工されたLZHアーカイブを検査できないセキュリティソフトが存在するのに、その情報を脆弱性として取り扱わずにスルーしたJVNの怠慢がこの問題の遠因かもしれない、という事でしょう。
まだ、LZHアーカイブが年金機構のゲートウェイでどのような取り扱いをされたのか情報が無いのでなんとも言えませんが、もしもヘッダーが改ざんされていたことで検出できなかったとしたら…
ヘッダーを細工してなくても、LZH対応してないものもセキュリティソフトもあるようです。exe送る時はzipはだめですけどlzhにしたら大丈夫ですといわれて・・・え?って思ったけど、普通に利用してるみたいだw
LZH圧縮自体が危険(アンチウイルスソフトが中身を検知できない)なので、dllの使用の有無は関係ありませんよ。
ウイルス対策ソフトが検知できないんじゃなくて、しないからですよ?dll作者はソフトメーカーに検知するように依頼を出しおていたはず。
問題のあるヘッダを含んだアーカイブもきっちり扱えるアーカイバやライブラリがソースの形で公開されていれば話は違ったのかもしれない、と思わなくもない。さすがにバイナリ配布されてるものをウィルス対策ソフトに組み込むのはアレだろうし。
一番近いのがfor Unixのautoconf版だけど、それも手を入れないと使えないんだっけか。普及率と手間を考えたら割に合わないと判断されたんじゃなかろーか。
デマもいい加減にしてください。できるのもありますよ。全部ができないという話ではなかったはずですが。日本年金機構ほどのところでその評価をやっていないとは思えないし、やっていないなら大問題でしょう?
>日本年金機構ほどのところでその評価をやっていないとは思えないし
やっていないほうにコーヒー一杯くらい賭けてもいいと思う。なぜなら日本年金機構だから。
ここでは無いが、評価結果を歪曲する評価報告書、拒否してケンカ別れならある。トラブった時の責任を取ってくれることを、文書で要求したらね。
案の定トラブってたので正解なんだろうけど、やる気一気に無くなったな。
できないものがあるから危険なんですよ。
そもそも年金機構がマトモだったらメールで個人情報が大量流出するような酷いシステムおよび運用にしてないでしょうがもうアンタは恥晒すだけだから黙っておいたほうがいい
結局大手が対応しないって言い切っちゃってるからね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
LZH書庫は開いちゃダメ (スコア:1)
年金情報“流出” 不審メールの内容入手
日本テレビ系(NNN) 6月3日(水)5時29分配信
http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
Re:LZH書庫は開いちゃダメ (スコア:1)
後は自己展開形式の圧縮ファイルも。
今回とは関係ないが、自己展開形式のファイル暗号化ソフトって、
セキュリティ高いどころかセキュリティホールだよね。
Re: (スコア:0)
日立の秘文がそんなことをやっていましたね。リニューアルするとかいう話を聞きましたが、復号ソフト入りexeファイルをメールで送りつけてくる仕様はまだやるつもりなのでしょうか。いつか標的型攻撃のネタにされるのではないかと思っているのですが。
Re: (スコア:0)
LZH形式かどうか以前に、差出人がyahooメールなことを疑わないと。
Re:LZH書庫は開いちゃダメ (スコア:1)
webフィルタのようにメール送信元の危険度ランクを表示するシステムが欲しい。
「この送信元ホスト(mhlw.go.jp)からのメールには性描写が含まれている場合があります。」
まあ、企業・フリーメール・有償会員サイト・SPAMかの色分け程度でいいが。
Re: (スコア:0)
モノがどうかというより、
送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。
突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
Re:LZH書庫は開いちゃダメ (スコア:1)
そういう話じゃないでしょうに。
不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。
ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
Re: (スコア:0)
別系統に分けるだけの予算があるのかとかが問題になる悪寒…
今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、
本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、
実際には守られていない。
仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
Re: (スコア:0)
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。
禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、
実際にできなくする「仕組み」が必要。
Re: (スコア:0)
だから、その仕組みに抜け道を作らないようにするには、
お偉いさんの意識改革が必要で、抜け道通らないと業務が回りません。で、
スルーされたら意味がないと言ってるの。
年金機構を無人の自動システムにでもしろと?それができれば確かに解決するけど。
Re: (スコア:0)
『実際にできなくする「仕組み」』などというものは、
結局はその組織を運営する人間の意識を改革しない限り維持できない。
教育なしに厳正なシステム維持など不可能。
Re:LZH書庫は開いちゃダメ (スコア:1)
簡単だよ
紙の書類で管理すればいい。
Re: (スコア:0)
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。
「お偉いさん」なら法で強制されれば守るだろう。
Re: (スコア:0)
セキュリティを法律とかで決めると、
住民票一つ出すのに、何人もの承認パスワードを入力しないと出せない、なんてこと平気でやる。
そして実際にはそんなの運用できないので抜け道を作る。
Re:LZH書庫は開いちゃダメ (スコア:1)
>「お偉いさん」なら法で強制されれば守るだろう。
えっ?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
セキュリティを法律で義務化するのは割とアリだと思います。セキュリティの手法なんて、幅が少なくてほとんど同じですしね。
セキュリティの問題が相手側にあることも多いですし (古いブラウザやOfficeを使いつづけるクライアント会社とか)、義務化すれば多くの問題が解決できると思います。
既に、クレジットカードの取り扱いでは、「PCIデータセキュリティスタンダード」(PCI SSC) が義務化されています。ただし、法律に罰則規定がないですが (契約には免責条項があります)。
PCI DSS への準拠は義務か
http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp]
> 改正割賦販売法という法令に基づ
Re: (スコア:0)
> 「お偉いさん」なら法で強制されれば守るだろう。
それ、意識改革って言わね?
その結果、パスワードの定期的な変更が義務付けられるんですね (スコア:5, 参考になる)
Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 [pcisecuritystandards.org] を見てみましたが、酷い内容でした。
今時、パスワードを定期的に変更するメリットは殆どなく、害の方が大きい [tokumaru.org] のに、このセキュリティ基準はその事実を認められない頭の固い人が作っているようです。パスワード定期的変更推奨派の拙い論理は、既に、高木浩光さん、徳丸浩さんといった著名なセキュリティ専門家に完全に論破されています。
こんなふざけた基準を法律で義務化するのは、迷惑です。
Re: (スコア:0)
国際的なクレジットカード業界側が定めた国際標準ですし、日本では既に義務化されてますし、諦めましょう。文句を言うならクレジットカード業界側へ。
Re: (スコア:0)
そろそろできる所からでもパスワード認証とかやめるようにしていって欲しいわ。
Re: (スコア:0)
PCIDSS以上に実際の運用実績のある規定ってありますか?
※で、以前PCIDSSのセミナーに行ったことがあるんですが、DBサーバーの暗号鍵も定期的に変えなきゃならんと言われて「え?全レコード書き直し?」と思ったらDBサーバーのアクセスをするための暗号鍵を定期的に変えて、そのカギはDBの暗号鍵を引っ張ってくるためのものならいいとか言われてハァ?と思ったんですけど、それであってるんですか?
Re: (スコア:0)
実際ウッカリとかあるわけで、
添付ファイルは意識の問題という部分もあるけど
メールを開くまではやっちゃうことあると思う(流れ作業というか)。
変なメールだと気付いたけど閉じるときに操作ミスったとかさ。
ルールを決めるのは注意喚起にはいいけど起きた後の罰だけ定義してたって仕方がない。
人間はミスをする生き物物理的にできなくなる方法を考える方が良い。
ばら撒かれた側にとってもその人がどう責任をとるかなんかどうでもいいわけで。ちょっと気が収まるぐらい?
不便になりすぎない塩梅が難しいところだけどね。あと作り込みが必要ならコストも。
メールだけは別端末とか(でもネット見てての感染もあるんだっけ?)
テキストしか表示しない、添付ファイルの受信にはデイリーパスワードが必要とか
Re:LZH書庫は開いちゃダメ (スコア:1)
・セキュリティの最高責任者には「お偉いさん」を指定(日本年金機能の場合は理事長?)
・セキュリティの最高責任者はセキュリティ問題発生時に責任を負う
とすれば良いと思う。
Re:LZH書庫は開いちゃダメ (スコア:1)
>個人情報保護法
それはちょっとだけ違う(揚げ足取りになってゴメン)。民間が対象の法律。
日本年金機構による情報取扱は
独立行政法人等の保有する個人情報の保護に関する法律(平成十五年五月三十日法律第五十九号) [e-gov.go.jp]
に縛られる。
日本年金機構法 [nenkin.go.jp]
の12条4 二を参照のこと:
Re: (スコア:0)
徳丸さんの言われている「優れたコラム」からですが、「侵入者が何カ月も聞き耳を立てていた
がるサービス」はパスワードを定期変更したほうが良いと書かれています。
これから考えるに、たとえば社内システムで部下が上司のパスワードを知った場合、その部下は
上司がパスワードを変えるまでは権限を持たない情報にアクセスできることになるので、定期変
更したほうが良いケースになります。
で、Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 の該当箇所を読んで
みたのですが、従業員が使うシステムについて書かれています。つまり、定期的にパスワードを
変更したほうが良いケースです。
パスワードの定期変更はシステム毎・利用形態ごとに考えないといけないことなのに、セキュリ
ティ専門家の威を借りて「とにかくパスワード変更は害悪」と言い放つのは如何なものでしょうか。
こんなふざけた解釈でドヤ顔されるのは、迷惑です。
Re: (スコア:0)
部下が不法に盗んでんならそいつ首にしないと会社がヤバいし、 業務上の必要があって教えてんなら、改めて変えたパスワード教えるだけですよね…
Re: (スコア:0)
何で部下が上司のパスワード知ってんですかね
これまでの議論をちゃんと理解していれば、そんな愚問は出てこないよね
Re: (スコア:0)
税金同様に査察の仕組みを導入して「お偉いさん」自身の首がとぶように監視し続けないと無理だろうね
精巧な仕組みがあっても、パワハラセクハラどんな手を使ってでも迂回しようとするんだし、組織の下の人間は従うしかない
Re: (スコア:0)
これ外部からの問い合わせメールにやってきて担当者が開いちゃったって話なの?
メールの文面見ると社内向けメールを装ってそうだったから外部窓口じゃないメールに飛んできたのかと思ったけど。
Re:LZH書庫は開いちゃダメ (スコア:1)
まじめで几帳面な人なら引っかからない、、と思っているのかもしれないが、
官房秘書課の名をかたって
「省外の方から貴殿の電話応対について苦情が届いています。詳細は別添の通り。」
とやれば、かなり高い確率で引っかかる。
勤務態度の悪い奴はこの手のメールをガン無視するから、逆に引っかからない。
標的型メールの攻撃訓練を10回くらい受けてもこんなものだよ。
職員が一万人もいれば、数十人引っかかるのが当たり前。
むしろ一人も引っかからないようなメールなら、メール出した方が残念なくらい
無能といえる。
Re: (スコア:0)
メールの文面見たら「これは引っかかるな」と思いました。
もうこういうところはメールの添付ファイルもリンクも開けないようなメールクライアントをインストールしたらいいんじゃないですかね。
それで仕事に困る部署だけは専任のメールチェック人でも雇うとかして。
Re: (スコア:0)
意味わかんないですね。dll使ってないソフトは安全ですが。また、LZHに対応したセキュリティソフトもありますけど?別にLZHそのものに脆弱性があるわけではないでしょう。
Re: (スコア:0)
ヘッダーを細工されたLZHアーカイブを検査できないセキュリティソフトが存在するのに、その情報を脆弱性として取り扱わずにスルーしたJVNの怠慢がこの問題の遠因かもしれない、という事でしょう。
まだ、LZHアーカイブが年金機構のゲートウェイでどのような取り扱いをされたのか情報が無いのでなんとも言えませんが、もしもヘッダーが改ざんされていたことで検出できなかったとしたら…
Re: (スコア:0)
ヘッダーを細工してなくても、LZH対応してないものもセキュリティソフトもあるようです。
exe送る時はzipはだめですけどlzhにしたら大丈夫ですといわれて・・・え?って思ったけど、普通に利用してるみたいだw
Re: (スコア:0)
LZH圧縮自体が危険(アンチウイルスソフトが中身を検知できない)なので、dllの使用の有無は関係ありませんよ。
ウイルス対策ソフトが検知できないんじゃなくて、しないからですよ?
dll作者はソフトメーカーに検知するように依頼を出しおていたはず。
Re: (スコア:0)
問題のあるヘッダを含んだアーカイブもきっちり扱えるアーカイバやライブラリがソースの形で公開されていれば話は違ったのかもしれない、と思わなくもない。さすがにバイナリ配布されてるものをウィルス対策ソフトに組み込むのはアレだろうし。
一番近いのがfor Unixのautoconf版だけど、それも手を入れないと使えないんだっけか。
普及率と手間を考えたら割に合わないと判断されたんじゃなかろーか。
Re: (スコア:0)
デマもいい加減にしてください。できるのもありますよ。全部ができないという話ではなかったはずですが。日本年金機構ほどのところでその評価をやっていないとは思えないし、やっていないなら大問題でしょう?
Re:LZH書庫は開いちゃダメ (スコア:2)
>日本年金機構ほどのところでその評価をやっていないとは思えないし
やっていないほうにコーヒー一杯くらい賭けてもいいと思う。
なぜなら日本年金機構だから。
Re: (スコア:0)
ここでは無いが、評価結果を歪曲する評価報告書、拒否してケンカ別れならある。
トラブった時の責任を取ってくれることを、文書で要求したらね。
案の定トラブってたので正解なんだろうけど、やる気一気に無くなったな。
Re: (スコア:0)
できないものがあるから危険なんですよ。
Re: (スコア:0)
そもそも年金機構がマトモだったらメールで個人情報が大量流出するような酷いシステムおよび運用にしてないでしょうが
もうアンタは恥晒すだけだから黙っておいたほうがいい
Re: (スコア:0)
結局大手が対応しないって言い切っちゃってるからね