アカウント名:
パスワード:
年金情報“流出” 不審メールの内容入手日本テレビ系(NNN) 6月3日(水)5時29分配信http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかけるhttp://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
モノがどうかというより、送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
そういう話じゃないでしょうに。不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
別系統に分けるだけの予算があるのかとかが問題になる悪寒…今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、実際には守られていない。仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、実際にできなくする「仕組み」が必要。
『実際にできなくする「仕組み」』などというものは、結局はその組織を運営する人間の意識を改革しない限り維持できない。教育なしに厳正なシステム維持など不可能。
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。「お偉いさん」なら法で強制されれば守るだろう。
セキュリティを法律で義務化するのは割とアリだと思います。セキュリティの手法なんて、幅が少なくてほとんど同じですしね。セキュリティの問題が相手側にあることも多いですし (古いブラウザやOfficeを使いつづけるクライアント会社とか)、義務化すれば多くの問題が解決できると思います。既に、クレジットカードの取り扱いでは、「PCIデータセキュリティスタンダード」(PCI SSC) が義務化されています。ただし、法律に罰則規定がないですが (契約には免責条項があります)。
PCI DSS への準拠は義務か http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp] > 改正割賦販売法という法令に基づ
PCI DSS への準拠
Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 [pcisecuritystandards.org] を見てみましたが、酷い内容でした。
[PCI DSS 要件] 8.2.4 ユーザパスワード/パスフレーズは、少なくとも90日ごと変更する。 8.2.5 これまでに使用した最後の4 つのパスワード/パスフレーズのいずれかと同じである新しいパスワード/パスフレーズを許可しない。
[テスト手順] 8.2.4.a システムコンポーネントのサンプルについて、システム構成設定を調べて、少なくとも90日ごとにパスワードを変更することを要求するようにユーザパスワードのパラメータが設定されていることを確認する。 8.2.4.b サービスプロバイダ用の追加手順。内部プロセスおよび顧客/ユーザ文書を調べて、以下を確認する。 * 非消費者ユーザパスワードを定期的に変更することが要求されている * 消費者以外のユーザに、いつどのような状況下でパスワードを変更する必要があるかについてのガイダンスが与えられている 8.2.5.a システムコンポーネントのサンプルで、システム構成設定を入手して調べ、新しいパスワードとして、これまでに使用した最後の4つのパスワードのいずれかと同じパスワードを指定できないことを要求するユーザパスワードパラメータが設定されていることを確認する。 8.2.5.b サービスプロバイダ用の追加手順。内部プロセスと顧客/ユーザマニュアルを調べて、非消費者ユーザのパスワードがこれまでに使用した4つのパスワードのいずれかにすることはできなくなっていることを確認する。
[ガイダンス] 長期間変更なしで有効なままになっているパスワード/パスフレーズは、悪意のある者がパスワード/パスフレーズを解読する行為により長い時間を与えることになります。 パスワード履歴が保持されていない場合、以前のパスワードが何度も再使用されることがあるため、パスワードを変更することの効果が低減します。一定期間ほどパスワードを再使用できないことを要求することで、推定されたか総当たり攻撃で見つけられたパスワードが今後使用される可能性が低減されます。
今時、パスワードを定期的に変更するメリットは殆どなく、害の方が大きい [tokumaru.org] のに、このセキュリティ基準はその事実を認められない頭の固い人が作っているようです。パスワード定期的変更推奨派の拙い論理は、既に、高木浩光さん、徳丸浩さんといった著名なセキュリティ専門家に完全に論破されています。
こんなふざけた基準を法律で義務化するのは、迷惑です。
国際的なクレジットカード業界側が定めた国際標準ですし、日本では既に義務化されてますし、諦めましょう。文句を言うならクレジットカード業界側へ。
そろそろできる所からでもパスワード認証とかやめるようにしていって欲しいわ。
PCIDSS以上に実際の運用実績のある規定ってありますか?
※で、以前PCIDSSのセミナーに行ったことがあるんですが、DBサーバーの暗号鍵も定期的に変えなきゃならんと言われて「え?全レコード書き直し?」と思ったらDBサーバーのアクセスをするための暗号鍵を定期的に変えて、そのカギはDBの暗号鍵を引っ張ってくるためのものならいいとか言われてハァ?と思ったんですけど、それであってるんですか?
徳丸さんの言われている「優れたコラム」からですが、「侵入者が何カ月も聞き耳を立てていたがるサービス」はパスワードを定期変更したほうが良いと書かれています。
これから考えるに、たとえば社内システムで部下が上司のパスワードを知った場合、その部下は上司がパスワードを変えるまでは権限を持たない情報にアクセスできることになるので、定期変更したほうが良いケースになります。
で、Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 の該当箇所を読んでみたのですが、従業員が使うシステムについて書かれています。つまり、定期的にパスワードを変更したほうが良いケースです。
パスワードの定期変更はシステム毎・利用形態ごとに考えないといけないことなのに、セキュリティ専門家の威を借りて「とにかくパスワード変更は害悪」と言い放つのは如何なものでしょうか。
こんなふざけた解釈でドヤ顔されるのは、迷惑です。
何で部下が上司のパスワード知ってんですかね
これまでの議論をちゃんと理解していれば、そんな愚問は出てこないよね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
LZH書庫は開いちゃダメ (スコア:1)
年金情報“流出” 不審メールの内容入手
日本テレビ系(NNN) 6月3日(水)5時29分配信
http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
Re: (スコア:0)
モノがどうかというより、
送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。
突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
Re: (スコア:1)
そういう話じゃないでしょうに。
不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。
ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
Re: (スコア:0)
別系統に分けるだけの予算があるのかとかが問題になる悪寒…
今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、
本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、
実際には守られていない。
仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
Re: (スコア:0)
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。
禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、
実際にできなくする「仕組み」が必要。
Re: (スコア:0)
『実際にできなくする「仕組み」』などというものは、
結局はその組織を運営する人間の意識を改革しない限り維持できない。
教育なしに厳正なシステム維持など不可能。
Re: (スコア:0)
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。
「お偉いさん」なら法で強制されれば守るだろう。
Re: (スコア:0)
セキュリティを法律で義務化するのは割とアリだと思います。セキュリティの手法なんて、幅が少なくてほとんど同じですしね。
セキュリティの問題が相手側にあることも多いですし (古いブラウザやOfficeを使いつづけるクライアント会社とか)、義務化すれば多くの問題が解決できると思います。
既に、クレジットカードの取り扱いでは、「PCIデータセキュリティスタンダード」(PCI SSC) が義務化されています。ただし、法律に罰則規定がないですが (契約には免責条項があります)。
PCI DSS への準拠は義務か
http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp]
> 改正割賦販売法という法令に基づ
その結果、パスワードの定期的な変更が義務付けられるんですね (スコア:5, 参考になる)
Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 [pcisecuritystandards.org] を見てみましたが、酷い内容でした。
今時、パスワードを定期的に変更するメリットは殆どなく、害の方が大きい [tokumaru.org] のに、このセキュリティ基準はその事実を認められない頭の固い人が作っているようです。パスワード定期的変更推奨派の拙い論理は、既に、高木浩光さん、徳丸浩さんといった著名なセキュリティ専門家に完全に論破されています。
こんなふざけた基準を法律で義務化するのは、迷惑です。
Re: (スコア:0)
国際的なクレジットカード業界側が定めた国際標準ですし、日本では既に義務化されてますし、諦めましょう。文句を言うならクレジットカード業界側へ。
Re: (スコア:0)
そろそろできる所からでもパスワード認証とかやめるようにしていって欲しいわ。
Re: (スコア:0)
PCIDSS以上に実際の運用実績のある規定ってありますか?
※で、以前PCIDSSのセミナーに行ったことがあるんですが、DBサーバーの暗号鍵も定期的に変えなきゃならんと言われて「え?全レコード書き直し?」と思ったらDBサーバーのアクセスをするための暗号鍵を定期的に変えて、そのカギはDBの暗号鍵を引っ張ってくるためのものならいいとか言われてハァ?と思ったんですけど、それであってるんですか?
Re: (スコア:0)
徳丸さんの言われている「優れたコラム」からですが、「侵入者が何カ月も聞き耳を立てていた
がるサービス」はパスワードを定期変更したほうが良いと書かれています。
これから考えるに、たとえば社内システムで部下が上司のパスワードを知った場合、その部下は
上司がパスワードを変えるまでは権限を持たない情報にアクセスできることになるので、定期変
更したほうが良いケースになります。
で、Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 の該当箇所を読んで
みたのですが、従業員が使うシステムについて書かれています。つまり、定期的にパスワードを
変更したほうが良いケースです。
パスワードの定期変更はシステム毎・利用形態ごとに考えないといけないことなのに、セキュリ
ティ専門家の威を借りて「とにかくパスワード変更は害悪」と言い放つのは如何なものでしょうか。
こんなふざけた解釈でドヤ顔されるのは、迷惑です。
Re: (スコア:0)
部下が不法に盗んでんならそいつ首にしないと会社がヤバいし、 業務上の必要があって教えてんなら、改めて変えたパスワード教えるだけですよね…
Re: (スコア:0)
何で部下が上司のパスワード知ってんですかね
これまでの議論をちゃんと理解していれば、そんな愚問は出てこないよね