パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日本年金機構からの情報漏洩、ウイルス入り添付ファイルを開いたのは一人だけではなかった」記事へのコメント

  • 年金情報“流出” 不審メールの内容入手
    日本テレビ系(NNN) 6月3日(水)5時29分配信
    http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
    この動画によると、添付ファイルの拡張子はlzh。

    UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
    http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]

    • by Anonymous Coward

      モノがどうかというより、
      送信元を知らないメールをなぜ開けるのか。

      セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。
      突然知らない人から来て、本物だとしても、見る必要はあるまいに。

      この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。

      • by Anonymous Coward

        そういう話じゃないでしょうに。
        不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。

        メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。
        ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。

        • by Anonymous Coward

          別系統に分けるだけの予算があるのかとかが問題になる悪寒…
          今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、
          本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、
          実際には守られていない。
          仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。

          • by Anonymous Coward

            だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。
            禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、
            実際にできなくする「仕組み」が必要。

            • by Anonymous Coward

              『実際にできなくする「仕組み」』などというものは、
              結局はその組織を運営する人間の意識を改革しない限り維持できない。
              教育なしに厳正なシステム維持など不可能。

              • by Anonymous Coward

                教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。

                こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。
                「お偉いさん」なら法で強制されれば守るだろう。

              • by Anonymous Coward

                セキュリティを法律で義務化するのは割とアリだと思います。セキュリティの手法なんて、幅が少なくてほとんど同じですしね。
                セキュリティの問題が相手側にあることも多いですし (古いブラウザやOfficeを使いつづけるクライアント会社とか)、義務化すれば多くの問題が解決できると思います。
                既に、クレジットカードの取り扱いでは、「PCIデータセキュリティスタンダード」(PCI SSC) が義務化されています。ただし、法律に罰則規定がないですが (契約には免責条項があります)。

                PCI DSS への準拠は義務か
                http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp]
                > 改正割賦販売法という法令に基づ

              • PCI DSS への準拠

                Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 [pcisecuritystandards.org] を見てみましたが、酷い内容でした。

                [PCI DSS 要件]
                  8.2.4
                    ユーザパスワード/パスフレーズは、少なくとも90日ごと変更する。
                  8.2.5
                    これまでに使用した最後の4 つのパスワード/パスフレーズのいずれかと同じである新しいパスワード/パスフレーズを許可しない。

                [テスト手順]
                  8.2.4.a
                    システムコンポーネントのサンプルについて、システム構成設定を調べて、少なくとも90日ごとにパスワードを変更することを要求するようにユーザパスワードのパラメータが設定されていることを確認する。
                  8.2.4.b
                    サービスプロバイダ用の追加手順。内部プロセスおよび顧客/ユーザ文書を調べて、以下を確認する。
                      * 非消費者ユーザパスワードを定期的に変更することが要求されている
                      * 消費者以外のユーザに、いつどのような状況下でパスワードを変更する必要があるかについてのガイダンスが与えられている

                  8.2.5.a
                    システムコンポーネントのサンプルで、システム構成設定を入手して調べ、新しいパスワードとして、これまでに使用した最後の4つのパスワードのいずれかと同じパスワードを指定できないことを要求するユーザパスワードパラメータが設定されていることを確認する。

                  8.2.5.b
                    サービスプロバイダ用の追加手順。内部プロセスと顧客/ユーザマニュアルを調べて、非消費者ユーザのパスワードがこれまでに使用した4つのパスワードのいずれかにすることはできなくなっていることを確認する。

                [ガイダンス]

                  長期間変更なしで有効なままになっているパスワード/パスフレーズは、悪意のある者がパスワード/パスフレーズを解読する行為により長い時間を与えることになります。

                  パスワード履歴が保持されていない場合、以前のパスワードが何度も再使用されることがあるため、パスワードを変更することの効果が低減します。一定期間ほどパスワードを再使用できないことを要求することで、推定されたか総当たり攻撃で見つけられたパスワードが今後使用される可能性が低減されます。

                 今時、パスワードを定期的に変更するメリットは殆どなく、害の方が大きい [tokumaru.org] のに、このセキュリティ基準はその事実を認められない頭の固い人が作っているようです。パスワード定期的変更推奨派の拙い論理は、既に、高木浩光さん、徳丸浩さんといった著名なセキュリティ専門家に完全に論破されています。

                 こんなふざけた基準を法律で義務化するのは、迷惑です。

                親コメント
              • by Anonymous Coward

                国際的なクレジットカード業界側が定めた国際標準ですし、日本では既に義務化されてますし、諦めましょう。文句を言うならクレジットカード業界側へ。

              • by Anonymous Coward

                そろそろできる所からでもパスワード認証とかやめるようにしていって欲しいわ。

              • by Anonymous Coward

                PCIDSS以上に実際の運用実績のある規定ってありますか?

                ※で、以前PCIDSSのセミナーに行ったことがあるんですが、DBサーバーの暗号鍵も定期的に変えなきゃならんと言われて「え?全レコード書き直し?」と思ったらDBサーバーのアクセスをするための暗号鍵を定期的に変えて、そのカギはDBの暗号鍵を引っ張ってくるためのものならいいとか言われてハァ?と思ったんですけど、それであってるんですか?

              • by Anonymous Coward

                徳丸さんの言われている「優れたコラム」からですが、「侵入者が何カ月も聞き耳を立てていた
                がるサービス」はパスワードを定期変更したほうが良いと書かれています。

                これから考えるに、たとえば社内システムで部下が上司のパスワードを知った場合、その部下は
                上司がパスワードを変えるまでは権限を持たない情報にアクセスできることになるので、定期変
                更したほうが良いケースになります。

                で、Payment Card Industry(PCI)データセキュリティ基準 バージョン3.0 の該当箇所を読んで
                みたのですが、従業員が使うシステムについて書かれています。つまり、定期的にパスワードを
                変更したほうが良いケースです。

                パスワードの定期変更はシステム毎・利用形態ごとに考えないといけないことなのに、セキュリ
                ティ専門家の威を借りて「とにかくパスワード変更は害悪」と言い放つのは如何なものでしょうか。

                こんなふざけた解釈でドヤ顔されるのは、迷惑です。

              • by Anonymous Coward
                何で部下が上司のパスワード知ってんですかね
                部下が不法に盗んでんならそいつ首にしないと会社がヤバいし、 業務上の必要があって教えてんなら、改めて変えたパスワード教えるだけですよね…
              • by Anonymous Coward

                何で部下が上司のパスワード知ってんですかね

                これまでの議論をちゃんと理解していれば、そんな愚問は出てこないよね

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...