パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日本年金機構からの情報漏洩、ウイルス入り添付ファイルを開いたのは一人だけではなかった」記事へのコメント

  • by Anonymous Coward on 2015年06月04日 19時20分 (#2825453)

    >もし個人情報を格納する際はパスワードを設定することを科していた
    パスワード暗号化の強度について規定していたのかが気になります。
    というのも、ExcelやMicrosoft Wordの2003以前の形式(xlsやdoc)のパスワード暗号化は、もの凄く弱いので (*1)。
    Office 2007以降はマトモですが、それでも短いパスワードだと危険です。
    また、zip圧縮も、新しいAES-256暗号化なら安心ですが、古いZip 2.0 (Legacy)はかなり弱いです。

    *1 Excel RC4 Encryption Algorithm
    http://auntitled.blogspot.jp/2010/12/excel-rc4-encryption-algorithm.html [blogspot.jp]
    > "salt", "verifier", and "verifierHash" can be extracted from FILEPASS record in Excel file.
    > Can you see it? The "real_key" is only 5 bytes (40 bits). If you can find this key, no need to use password.
    > The key space of real_key is 240. It is possible to do brute forcing.

    • by Anonymous Coward

      補足。まともなファイル暗号化が必要なら、PGPを使ってください。

      • by Anonymous Coward on 2015年06月04日 20時26分 (#2825517)

        今回の場合は、もともとのシステムがあまりにも使いにくいという理由で、上司が権限を行使して個人情報を勝手に抜き出して使っていた、という流れなので、そもそもファイルの暗号化がどうとか言う話では無いと思います。

        検証されるべきは、

        • 本当にシステムが使いにくいものだったのか (単に担当者が横着したかっただけでは?)
        • なぜ上司が抜き出しを行なったのか、およびその上司に与える権限は適切だったのか (個人情報を勝手に持ち出してはならないことは知っていたはず)
        • その上司にすべき教育は正しく行なわれていたのか、および取らせるべき責任はあるのか (責任があるからこそ権限があるのでは)

        ではないかと。

        親コメント
      • by Anonymous Coward

        > 補足。まともなファイル暗号化が必要なら、PGPを使ってください。

        いつサポートがされなくなるかわからん技術は使わない。

    • by Anonymous Coward

      それはパスワードの強度じゃなくて暗号の強度ですよね…。
      暗号の強度も問題がありますが、どちらかというとパスワード自体の強度がどう規定されていたのかが気になる。

      パスワードを設定しさえすれば良い、という運用だとしたら、たとえば作った日付とか、nenkin2015とかのきわめて弱いパスワードで運用していた可能性がありますね。

      その場合、公式発表には「パスワードで暗号化してあるから心配するな」と言うでしょうけど、実際はPCをちょっと回してれば解けてしまう…。
      今回の事態が、手間を惜しんで手抜きした結果生じていることから、複雑なパスワードを都度作成して対応している、という可能性は薄いと思うので、気になります。

    • by Anonymous Coward

      > パスワード暗号化の強度について規定していたのかが気になります。

      してないし、まともな運用もしてなかったってニュースになっているので読んできてください。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...