アカウント名:
パスワード:
電子取引ですべて終わるように仕組みができあがっている所との取引相手ならばファックスなんぞは使うことは無いのだが、そうではないスポット的な取引では共通で使われているプロトコルとしてファックスは非常に使えるよ。これは諸外国でも同じだと思うのだがどうなのか。
#最後の手段は郵送
それでも年々利用頻度は少なくなっていたのだが、最近は、セキュリティの問題で、暗号化したデータのパスワードをファックスで送るというやり方で再び利用頻度が上がっている。こちらは紙で送ったりはしていないし、先方も実際に紙で出力しているかどうかは不明だが。
文字で送れるのと、確実に伝達できるという事からファックスは重要なんだよ。
つうか、アメリカで行政や銀行相手に何か手続きをやろうと思ったらファックスが無いと何にもできなかったんだが、イギリスでは違うのか?
セキュリティの問題で、暗号化したデータのパスワードをファックスで送るというやり方で再び利用頻度が上がっている。
固定電話の通信は平文でやりとりされるため、盗聴や改竄に対して脆弱です。セキュリティ対策としては問題があります。
電話は発信者と着信者が1対1で接続されるものと考えてよく、第三者への漏話防止に十分な注意が払われているので、そこは当てにしてもいいと思いますよ。(自国や他国の公的機関に狙われちゃう人は別として)
かつてお小遣い程度の費用でプリント基板製造を請け負ってくれる業者がブルガリアにあったのですが、発注書やデータのやりとりはメールでしても、クレジットカードの番号だけはFAXで送る決まりでした。古くさくて単純ですが、説明不要で確実とはいえるでしょう。そこを横着してメールでカード番号を送ると確実に翌月のご利用明細が酷いことになる、という話を聞いたことがありますねぇ。
そりゃ盗聴されてるからってよりメールサーバが陥落してるからで、実際にFAX経由で情報が漏れにくいのは単にOCRが安定しないからでは?電話網もオペレータがパッチパネルを扱ってた頃や機械式交換機で接続してた頃はともかく、今では独自プロトコルでパケット化されてますよ。これからはIPになりますし。
公的機関がかかわらなくてもソーシャルハック寄りな攻撃として電話線に分配器やセンサ付けて音声を取ること自体は可能ですね。
ソーシャルなしでバックドアとかのマルウェア仕込むんならIP網の方が楽だけど、平文イーサネット(屋内配線)でプロトコル解析機付きで仕込むより楽かもしれん。然程技術のない個人でもできる。「クレカをFAXで受け付ける業者の居る建物」に手当たり次第仕込まれるとかなり怖い。
メールの方はメールサーバ盗んだり経路情報弄ったりバックドアバラ撒く程の攻撃者じゃないと難しいかな。そのぶん、実行された時の影響範囲が広い。総合的にはどっちが危ないのやら…
パスワードだけ改竄、盗聴されても問題は無いと思いますけどネットと電話両方がクラックされている、という状況なら話は別ですが、それは末期癌に犯されているのに、そっちを無視して昼飯の塩分取り過ぎを気にするようなもんで。
ネットと電話両方がクラックされている、という状況なら話は別ですが
自組織内の設備がガチガチに安全でも、経路や相手先組織で盗聴・改竄される可能性があります。たとえば固定電話は、街路の電話線をフックすれば盗聴できます。電子メールを平文で送る場合も同様です。
もちろん、これらの問題を無視する方が有益な場合もあるでしょうが、問題は問題です。
どうみてもデータと暗号キーを別の方法で送るという話ですけど、どうして電子メールとFAXが同じ電話線を通るって解釈したんですか?
それから可能性がある事を問題にするのはセキュリティ対策じゃないね
暗号文と秘密鍵のどちらか一方は安全な方法で伝えなければいけないっていう話じゃないの?で、電話は公社により管理されている(いた)という制度的な建前こそあれ、原理的な安全性がないから安全な方法足り得ないということじゃないの?
つまり原理的な安全性は存在しないから、もうみんな死ぬしか無いんですね、わかります
情報セキュリティって大抵は小さな部分一つだけを力ずくで守って、そこを起点に信頼を構築するでしょ。別に電話線をエンドツーエンドで盗聴から守ってもいいけど、それが妥当な保護かどうかは検証しないといけないんじゃないの?
分かりづらい書き方で失礼しました。「電子メールを平文で送る場合も同様」は、電子メールをインターネット経由で送信する場合も、固定電話と同様に経路上での盗聴・改竄の可能性がある、という意味です。
???
私は、電子メールと固定電話の併用によって通信の秘匿性を確保するという「セキュリティ対策」は、自組織の努力によっては盗聴・改竄を防げず、したがって秘匿性が失われる「可能性がある」ために「問題がある」という指摘をしたのですが、この指摘のどの部分について、何を言っていらっしゃいますか?
可能性がある事は当たり前で問題じゃ無い。それに対する対処がない事が問題
これでわからなければISO/IEC 27000を勉強しろ
その27000何チャラとやらはそれに対する対処を示してくれると言っていますか?もしそうなら素晴らしいのですが。。。
270000ってリスクを良い物も有ると定義したのはいいけれど、それにより、悪いリスクについて何も言えなくなってしまった様に見えますが、何か27000を踏まえた対処の仕方について案をお持ちなのでしょうか?
27000を参照しているならリスクの話しでしょうけど、
この手のリスクって、・自然言語とプログラム言語には表現出来る因果関係にずれが有る。・自然言語のみを正文書としたため、プログラム言語のみに表現 出来る因果関係が「隠れた因果関係」扱いに見えてしまう。・それをリスクだリスクだと騒いでいるだけ。に見えますが。
そのケースで自分側と相手側を区別する意味はありますか?どっちがやられたとしてもその二者間で共有した情報は漏れるでしょう。
IP網と電話網の両方に枝が付くような情勢ではどのみち秘密なんて守れんよ。そういう攻撃にまで耐える情報セキュリティを意識した環境ではEメールも電話も使うべきではない。VPNで相手と直接の通信網を構築するとかそういうレベルでないとお話にならない。そんな状況では「パスワードはFAX」って行為自体がそもそも実行不可能になるよ。つまり「電話が使えるようなレベルのセキュリティの場合はその程度の保護でもよい」ということ。
だから鍵と暗号文の両方を電気通信で送るなって言ってんの。一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険っていう武蔵野系プロパガンダを信じてるかもしれないけど、銅線もファイバもタップの危険性では同じなの。理由は平文だから。
暗号化するなら、鍵は手渡しするかPKIでなんとかするかしかないの。ファイバと銅線の片方は常に盗聴されうるけど両方は面倒そうだから同時に盗聴されないことに自分の職位を賭けても良いだろうっていうのは何の根拠も担保もない単なる甘え。
電話網とかインターネット網に直結してる時点でそこまで求める環境じゃないって話なんですけど。そこまで求める環境じゃないなら、2系統も監視されてる時点で敗北ということで諦める。安全だって言ってるわけじゃなくて、要求ラインがその程度でしかない。
真面目にやるなら名刺交換のついでに公開鍵渡してそれ使えばいいけど、既存の相手と鍵交換して公開鍵暗号環境導入して使用方法を教育して…ってコストを掛けてまでその安全性を求める気がないんだからそれでいいんだよ。
> 一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険本題関係ないけどIP網より電話線の方が盗聴は簡単だろうなぁ…
タップされない前提なら暗号化自体がいらないのでは?
「両方同時にはされない前提(一方だけならあり得る)」とか「送り先間違えちゃったケース」とか想定したらまぁナントカ?程度問題で妥協する訳だから手順増やしてヒット率下がればそれでいいんじゃないかな。
> 固定電話の通信は平文でやりとりされるため、盗聴や改竄に対して脆弱です。セキュリティ対策としては問題があります。
電話会社が信頼できるなら問題無いんじゃないの?公衆網を通らないで、通るのは電話会社の交換機だけでしょ。
#物理的な盗聴を心配してるなら、別の意味でハードル高くね
中国の本社に日本支社から送る場合で、困っているのでは?
そして電話番号を間違えてデータが流出
中世「しまった、使いの者に間違えた手紙を渡してしまった」近世「しまった、郵便の宛先を間違えた」近代「しまった、電信打電のコードを間違えた」現代「しまった、電話番号を間違えた」現在「しまった、アドレス帳の選択間違えた」
メールアドレス間違えても、同じことが起きますよ。
過去に来た物でいえば、
・とある海運会社へのブラジルからの船荷のインボイス。・とある上場企業の半導体設備の億を超えるExcelの見積書。・とある上場企業への下請け業者からの基盤のCADデータ。・とあるドメイン名が似たグループ会社の役員会招集のメール。・とあるドメイン名が似たグループ会社の総務への飛行機チケット予約しといてメール。・とある旅館の女将からの、なんかしらないけど、お礼のメール。・他にもいろいろ...
ブラジルからのインボイスは、何度も何度もおくられてくるので、日本側の海運会社に連絡して、相手に止めてもらうように頼みました。
どんなにありふれたメールアドレスなのか気になる。
John@gmail.comとかBob@outlook.comみたいなやつでしょうか。
アカウント名までバカスカ一致はしないだろうからドメイン単位での経験だろうし、「とある上場企業」と「とあるドメイン名」が並ぶ辺りドメインも一つじゃないな。
色々な相手からメールサーバの運用管理全般を請け負っているんじゃないだろうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
ファックスは最後の一歩手前の手段 (スコア:1)
電子取引ですべて終わるように仕組みができあがっている所との取引相手ならばファックスなんぞは使うことは無いのだが、そうではないスポット的な取引では共通で使われているプロトコルとしてファックスは非常に使えるよ。これは諸外国でも同じだと思うのだがどうなのか。
#最後の手段は郵送
それでも年々利用頻度は少なくなっていたのだが、最近は、セキュリティの問題で、暗号化したデータのパスワードをファックスで送るというやり方で再び利用頻度が上がっている。こちらは紙で送ったりはしていないし、先方も実際に紙で出力しているかどうかは不明だが。
文字で送れるのと、確実に伝達できるという事からファックスは重要なんだよ。
つうか、アメリカで行政や銀行相手に何か手続きをやろうと思ったらファックスが無いと何にもできなかったんだが、イギリスでは違うのか?
Re:ファックスは最後の一歩手前の手段 (スコア:1)
固定電話の通信は平文でやりとりされるため、盗聴や改竄に対して脆弱です。セキュリティ対策としては問題があります。
Re:ファックスは最後の一歩手前の手段 (スコア:2)
電話は発信者と着信者が1対1で接続されるものと考えてよく、第三者への漏話防止に十分な注意が払われているので、そこは当てにしてもいいと思いますよ。
(自国や他国の公的機関に狙われちゃう人は別として)
かつてお小遣い程度の費用でプリント基板製造を請け負ってくれる業者がブルガリアにあったのですが、発注書やデータのやりとりはメールでしても、クレジットカードの番号だけはFAXで送る決まりでした。
古くさくて単純ですが、説明不要で確実とはいえるでしょう。
そこを横着してメールでカード番号を送ると確実に翌月のご利用明細が酷いことになる、という話を聞いたことがありますねぇ。
Re:ファックスは最後の一歩手前の手段 (スコア:2)
そりゃ盗聴されてるからってよりメールサーバが陥落してるからで、実際にFAX経由で情報が漏れにくいのは単にOCRが安定しないからでは?
電話網もオペレータがパッチパネルを扱ってた頃や機械式交換機で接続してた頃はともかく、今では独自プロトコルでパケット化されてますよ。
これからはIPになりますし。
Re: (スコア:0)
公的機関がかかわらなくてもソーシャルハック寄りな攻撃として
電話線に分配器やセンサ付けて音声を取ること自体は可能ですね。
ソーシャルなしでバックドアとかのマルウェア仕込むんならIP網の方が楽だけど、
平文イーサネット(屋内配線)でプロトコル解析機付きで仕込むより楽かもしれん。
然程技術のない個人でもできる。
「クレカをFAXで受け付ける業者の居る建物」に手当たり次第仕込まれるとかなり怖い。
メールの方はメールサーバ盗んだり経路情報弄ったりバックドアバラ撒く程の攻撃者じゃないと難しいかな。
そのぶん、実行された時の影響範囲が広い。総合的にはどっちが危ないのやら…
Re: (スコア:0)
パスワードだけ改竄、盗聴されても問題は無いと思いますけど
ネットと電話両方がクラックされている、という状況なら話は別ですが、それは末期癌に犯されているのに、そっちを無視して昼飯の塩分取り過ぎを気にするようなもんで。
Re:ファックスは最後の一歩手前の手段 (スコア:1)
自組織内の設備がガチガチに安全でも、経路や相手先組織で盗聴・改竄される可能性があります。たとえば固定電話は、街路の電話線をフックすれば盗聴できます。電子メールを平文で送る場合も同様です。
もちろん、これらの問題を無視する方が有益な場合もあるでしょうが、問題は問題です。
Re: (スコア:0)
どうみてもデータと暗号キーを別の方法で送るという話ですけど、どうして電子メールとFAXが同じ電話線を通るって解釈したんですか?
それから可能性がある事を問題にするのはセキュリティ対策じゃないね
Re:ファックスは最後の一歩手前の手段 (スコア:2)
暗号文と秘密鍵のどちらか一方は安全な方法で伝えなければいけないっていう話じゃないの?
で、電話は公社により管理されている(いた)という制度的な建前こそあれ、原理的な安全性がないから安全な方法足り得ないということじゃないの?
Re: (スコア:0)
つまり原理的な安全性は存在しないから、もうみんな死ぬしか無いんですね、わかります
Re:ファックスは最後の一歩手前の手段 (スコア:2)
情報セキュリティって大抵は小さな部分一つだけを力ずくで守って、そこを起点に信頼を構築するでしょ。
別に電話線をエンドツーエンドで盗聴から守ってもいいけど、それが妥当な保護かどうかは検証しないといけないんじゃないの?
Re:ファックスは最後の一歩手前の手段 (スコア:1)
分かりづらい書き方で失礼しました。「電子メールを平文で送る場合も同様」は、電子メールをインターネット経由で送信する場合も、固定電話と同様に経路上での盗聴・改竄の可能性がある、という意味です。
???
私は、電子メールと固定電話の併用によって通信の秘匿性を確保するという「セキュリティ対策」は、自組織の努力によっては盗聴・改竄を防げず、したがって秘匿性が失われる「可能性がある」ために「問題がある」という指摘をしたのですが、この指摘のどの部分について、何を言っていらっしゃいますか?
Re: (スコア:0)
可能性がある事は当たり前で問題じゃ無い。
それに対する対処がない事が問題
これでわからなければISO/IEC 27000を勉強しろ
Re: (スコア:0)
その27000何チャラとやらはそれに対する対処を
示してくれると言っていますか?
もしそうなら素晴らしいのですが。。。
Re: (スコア:0)
270000ってリスクを良い物も有ると定義したのはいいけれど、
それにより、悪いリスクについて何も言えなくなってしまった
様に見えますが、
何か27000を踏まえた対処の仕方について案をお持ちなので
しょうか?
Re: (スコア:0)
27000を参照しているならリスクの話しでしょうけど、
この手のリスクって、
・自然言語とプログラム言語には表現出来る因果関係にずれが有る。
・自然言語のみを正文書としたため、プログラム言語のみに表現
出来る因果関係が「隠れた因果関係」扱いに見えてしまう。
・それをリスクだリスクだと騒いでいるだけ。
に見えますが。
Re: (スコア:0)
そのケースで自分側と相手側を区別する意味はありますか?
どっちがやられたとしてもその二者間で共有した情報は漏れるでしょう。
IP網と電話網の両方に枝が付くような情勢ではどのみち秘密なんて守れんよ。
そういう攻撃にまで耐える情報セキュリティを意識した環境ではEメールも電話も使うべきではない。
VPNで相手と直接の通信網を構築するとかそういうレベルでないとお話にならない。
そんな状況では「パスワードはFAX」って行為自体がそもそも実行不可能になるよ。
つまり「電話が使えるようなレベルのセキュリティの場合はその程度の保護でもよい」ということ。
Re:ファックスは最後の一歩手前の手段 (スコア:2)
だから鍵と暗号文の両方を電気通信で送るなって言ってんの。一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険っていう
武蔵野系プロパガンダを信じてるかもしれないけど、銅線もファイバもタップの危険性では同じなの。理由は平文だから。
暗号化するなら、鍵は手渡しするかPKIでなんとかするかしかないの。ファイバと銅線の片方は常に盗聴されうるけど両方は面倒そうだ
から同時に盗聴されないことに自分の職位を賭けても良いだろうっていうのは何の根拠も担保もない単なる甘え。
Re: (スコア:0)
電話網とかインターネット網に直結してる時点でそこまで求める環境じゃないって話なんですけど。
そこまで求める環境じゃないなら、2系統も監視されてる時点で敗北ということで諦める。
安全だって言ってるわけじゃなくて、要求ラインがその程度でしかない。
真面目にやるなら名刺交換のついでに公開鍵渡してそれ使えばいいけど、
既存の相手と鍵交換して公開鍵暗号環境導入して使用方法を教育して…
ってコストを掛けてまでその安全性を求める気がないんだからそれでいいんだよ。
> 一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険
本題関係ないけどIP網より電話線の方が盗聴は簡単だろうなぁ…
Re:ファックスは最後の一歩手前の手段 (スコア:2)
タップされない前提なら暗号化自体がいらないのでは?
Re: (スコア:0)
「両方同時にはされない前提(一方だけならあり得る)」とか
「送り先間違えちゃったケース」とか想定したらまぁナントカ?
程度問題で妥協する訳だから手順増やしてヒット率下がればそれでいいんじゃないかな。
Re: (スコア:0)
> 固定電話の通信は平文でやりとりされるため、盗聴や改竄に対して脆弱です。セキュリティ対策としては問題があります。
電話会社が信頼できるなら問題無いんじゃないの?
公衆網を通らないで、通るのは電話会社の交換機だけでしょ。
#物理的な盗聴を心配してるなら、別の意味でハードル高くね
中国本社に~ (スコア:0)
中国の本社に日本支社から送る場合で、困っているのでは?
Re: (スコア:0)
そして電話番号を間違えてデータが流出
Re: (スコア:0)
中世「しまった、使いの者に間違えた手紙を渡してしまった」
近世「しまった、郵便の宛先を間違えた」
近代「しまった、電信打電のコードを間違えた」
現代「しまった、電話番号を間違えた」
現在「しまった、アドレス帳の選択間違えた」
Re:ファックスは最後の一歩手前の手段 (スコア:1)
Re: (スコア:0)
メールアドレス間違えても、同じことが起きますよ。
過去に来た物でいえば、
・とある海運会社へのブラジルからの船荷のインボイス。
・とある上場企業の半導体設備の億を超えるExcelの見積書。
・とある上場企業への下請け業者からの基盤のCADデータ。
・とあるドメイン名が似たグループ会社の役員会招集のメール。
・とあるドメイン名が似たグループ会社の総務への飛行機チケット予約しといてメール。
・とある旅館の女将からの、なんかしらないけど、お礼のメール。
・他にもいろいろ...
ブラジルからのインボイスは、何度も何度もおくられてくるので、日本側の海運会社に連絡して、相手に止めてもらうように頼みました。
Re: (スコア:0)
どんなにありふれたメールアドレスなのか気になる。
John@gmail.com
とか
Bob@outlook.com
みたいなやつでしょうか。
Re: (スコア:0)
アカウント名までバカスカ一致はしないだろうからドメイン単位での経験だろうし、
「とある上場企業」と「とあるドメイン名」が並ぶ辺りドメインも一つじゃないな。
色々な相手からメールサーバの運用管理全般を請け負っているんじゃないだろうか。