空港の制限区域パスワードが Winny に流出 111
ストーリー by GetSet
皆そんなにWinnyやってるの!? 部門より
皆そんなにWinnyやってるの!? 部門より
KAMUI曰く、"既に一般のニュースにもなっているが,日本航空(JAL)の副操縦士の私物 PC から,国内外の空港(国内 16空港・海外 1空港)の制限区域に入るためのパスワードや同社の運行マニュアルなどが Winny ネットワーク上に流出した。Antiny ウイルスに感染した事が原因と見られている。
(参考:JAL のプレスリリース)
国土交通省がネット上に流出しているのを確認して JAL に通報したもので,この暗証番号を使う事で搭乗ゲートの乗員用出入り口や出発ロビーと到着ロビーを結ぶ専用エレベーター,空港にある日航の事務所などに立ち入る為の扉などに設置された電子キーを解除できる事から,同社では各空港当局に暗証番号の変更を依頼している。
いわゆる「恥ずかしい個人情報」の流出などと違ってネット上でもあまり大きく扱われていない気がするが,対テロの為のセキュリティチェックを回避して
搭乗口まで近づける可能性があるという点からしても一寸洒落にならない話だと思うんだが…。"
もはや「流出」じゃないでしょ (スコア:5, おもしろおかしい)
相次ぐ機密情報流出 (スコア:5, おもしろおかしい)
>近づける可能性があるという点からしても一寸洒落にならない
次はテロリスト側からの機密情報流出を期待します。
#ファイル交換はギブ・アンド・テイクの精神で
だ~か~らぁ~~っ! (スコア:4, すばらしい洞察)
Re:だ~か~らぁ~~っ! (スコア:4, すばらしい洞察)
国土交通省は仕事でWinnyをやってます.
Re:だ~か~らぁ~~っ! (スコア:4, 興味深い)
しないでしょ。
PCに重要な情報を入れてネットワークにつなぐという ことの
危険性よりも、「とにかく簡単、楽しい」って ことだけで
売ってきてるんだから。
俺なんかはJARO [jaro.or.jp]が 言ってもいいとさえ思ってるけど。
煙草であのように表示義務があるんなら、PCというか
まずはWindowsのパソコンにこんな文章を表示させる義務を
課せよって。
「現在Windowsで感染する可能性のあるウィルスは○○万
に上っています。多のOSより遥かに多く、使用者には
厳重な対策が必要です。
またファイル交換ソフトなどでの情報流出を行うウィルス
もあり、重要なパスワードやデータを含むファイルを
PCに保存した上でのインターネット接続を行う場合に、
こうしたファイルが流出するおそれがあります。
Windows搭載PCを購入する際には、厳重な使用に関する
対策が必要です」
とかね。
まずマスコミは、windowsウィルスなのかLinuxのウィルスなのか、
はたまたMacなのかを明記すべき。
更にCMで簡単にインターネットというような表現をする 時には、
「ご利用には厳重な安全対策が必要です」など
のテロップを入れさせるべき。
すでにパソコンは単なる機械じゃなくなっている現実を
国も確認しろよって、いつも思う今日この頃。
Re:わかった (スコア:1, おもしろおかしい)
Dial CPU
Dial HDD
ダイアルのタイポかな…?それともダイアル式演算器とか?そういえば、昔の計算機はレバーをまわすとか言ってたし…でもこのスレとなんの関係があるんだろ…!?
Re:わかった (スコア:1, おもしろおかしい)
#“DI CPU”は灰になりかねないからカンベンしてほしい‥
Re:だ~か~らぁ~~っ! (スコア:2, すばらしい洞察)
まあハードルは若干高くはなりますが、それでもリスクがゼロという訳ではない。
少なくともnyやっとる人間がアカウント分ける様な手間を掛けるかどうかというと、
無理なんじゃない? 啓蒙やったところで無駄でしょう。
Re:だ~か~らぁ~~っ! (スコア:2, おもしろおかしい)
Re:だ~か~らぁ~~っ! (スコア:2, 参考になる)
自宅で使用している私物のパソコンの使い方について会社に命令される筋合いは無いのでは。「自宅で仕事をするなら云々」という指示を出すと,社員が自宅で仕事をしている事実があることを社が正式に認めることになり,「その分の給与はどうなるんだ」とか別の問題を引き起こす可能性も出てきますし。
機密情報や個人情報を含むデータは自宅に持ち帰らせない(持ち帰らずとも仕事が遂行できる)ような環境を整えるべきでしょう。どうしても持ち帰らざるをえない状況にあるなら,余計なソフトをインストールできないようにし,作業履歴を記録するようにしたノートパソコンを貸し出すとか。
# 電車やタクシーで盗まれたり忘れてきたりするヤツは出ちゃうでしょうけど。
と,これではあんまり面白くないので,いっそのこと Winny 専用,Winny に最適化したパソコンを全社員にプレゼントするというのはどうか(笑。別アカウント作れって言っても,やり方が分からんとかいちいちアカウント切り替えるの面倒とか言うヤツが山ほど出てくるでしょうし。
謝罪が見当違い。 (スコア:4, すばらしい洞察)
>同社員がファイルしていた会社情報等が
>インターネット上に流出したことが判明しました。
責められるべきはウイルスに感染したことではなく、
そんな重要なデータの入ったPCでWinnyをしていることだと思うのですが。
Re:謝罪が見当違い。 (スコア:3, すばらしい洞察)
現状:ウィルスに感染した → なら、仕方ない。
理想:ウィルスに感染した → なお、悪い。
Re:謝罪が見当違い。 (スコア:2, 興味深い)
ウイルスに感染しようとwinnyさえやってなければ流出しようがない(ルータだったらポートが開いてないし、それでなくともファイアフォールで引っかかる)ってことが明らかな過失として認識されないのはホント歯がゆいですなあ。
それにしても引っかかったら人生オワリになるぐらいヤバいのに、この使用者の危機感のなさってなんなんでしょうね。啓蒙がたりない?
Re:謝罪が見当違い。 (スコア:2, 興味深い)
そう言えるかもしれないですね。たとえば飲酒運転による交通事故、一応強烈なポスターや法律の援護もあって、(少し古いですが)それなりに減ってきている [mitsui-direct.co.jp]ようですし。
2ch発のフラッシュアニメかなんかで啓蒙するとか、なにがしか始める方がよさそうな気はします。ただ、ここ/.jで啓蒙しても効果なさそうですが(笑。
ほえほえ
Re:謝罪が見当違い。 (スコア:2, 興味深い)
…思いっきりおどろおどろしいの作ってくれそうな気がする。
Stop! Winny!! とか。
Re:謝罪が見当違い。 (スコア:1)
>なにがしか始める方がよさそうな気はします。
>ただ、ここ/.jで啓蒙しても効果なさそうですが(笑。
みのもんたと日経経由で情報拡散してもらうしかないかな。
各世代へのチャネルを押さえておく事が必要かと。
あとは、ウイルス・情報漏洩関連専門のコメンテーターが必要ですね。
畑違いの専門家が概論だけ語ったところで危機感が伝わらないし。
---- 何ぃ!ザシャー
Re:謝罪が見当違い。 (スコア:2, 興味深い)
>畑違いの専門家が概論だけ語ったところで危機感が伝わらないし。
実際多くのコメンテーターは畑違いで論点ずれまくって
発言していますが、それでもテレビビジネスとしては
うまく機能しているようです。
従って、よくわからないしおもしろくもない専門家の薀蓄よりも、
おすぎとピーコがウイルスキャーとか言ったほうが
よっぽど目立つし多くのひとにも伝わるのでわ。
閾値は 0 で
Re:謝罪が見当違い。 (スコア:1)
まぁ、確かに情報の出所はどこでもいいのですけど、あえて「2ch」って書いたのは、情報拡散の場としては適当かな?と思ったまででして。Winnyはおそらく口コミもあるでしょうけど、製作の場でもあった2chで、モナー等2chで親しまれているキャラクターを使っての発表、拡散するのが効果あるんじゃないかと。
ほえほえ
Re:謝罪が見当違い。 (スコア:2, 参考になる)
昔、SMTPでmy documents以下のファイルを送出するウィルスがあったように思うのだが。Outbound SMTP Block (だっけ?)があまねく動けば問題なくなるように思えるが、感染経路にIMを使うウィルスもすでに存在するし、Nyさえやってなければ流出しようがない、ってのは甘いんじゃないかなぁ。
#過失の度合いと損害は別の話。
Re:謝罪が見当違い。 (スコア:2, すばらしい洞察)
>そんな重要なデータの入ったPCでWinnyをしていることだと思うのですが。
それ以上にセキュリティに対しての危機管理教育の徹底と管理、監査体制を整えていない企業の姿勢だと思うが。
/* Kachou Utumi
I'm Not Rich... */
シェアのすごさ (スコア:3, 興味深い)
Re:シェアのすごさ (スコア:3, 興味深い)
なんというか、すごいものを作ったものだ
Re:シェアのすごさ (スコア:3, すばらしい洞察)
ウィルス作者の発想というか、アイデア(ほめられる物ではありませんが)は
結構鋭い視点だったと思います。
技術的には非常に回収は困難ですからね。ダミーを大量に流して、
相対的に流通量を減らすしかありませんから。
Re:シェアのすごさ (スコア:2, 興味深い)
この例ってまだ流出したことがわかったからよかったんじゃないかと思うんですよ。
本気でいろんな情報を集めようと思ったら、
私ならPGPなどで暗号化してから放流するように作ります。
これなら何が流出したのか誰にもわからないですし、
誰にも知られず自分にだけ読める情報になるわけです。
というか既にそういうのがあるかもしれません…。
ほんと、今回の例は流出したことが明らかになっただけマシだったと思います。
Re:シェアのすごさ (スコア:1)
いわゆるキンタマウィルスが他人のファイルを zip (でしたっけ)でまとめて放流しますよね。
んで、キンタマウィルスとほとんど同じ動作をするけれども、
異なる点はこのまとめたものにPGPで暗号化してから放流するものを作るってことです。
個人情報が詰まったファイルを暗号化してwinnyのネットワークに流すということです。
Re:シェアのすごさ (スコア:1, すばらしい洞察)
欲しがる人が少ないファイルは、そのうち消滅しますよ?
Re:シェアのすごさ (スコア:4, すばらしい洞察)
欲しがる人が少ないファイルは、そのうち消滅しますよ?
#原則的にはそうなんだけど、ウィルスが絡むと適当に魅力的な名前を付けてくれるので、そうでもなくなるんだよね。
Re:シェアのすごさ (スコア:3, 参考になる)
ちょっとまずいんじゃないかという気はしてるんですが、
一番具体的に言っちゃまずいことをまんま言っちゃったからいいか…
魅力的なファイル名がついていれば多分欲しがる人はいます。
あけてみないとわからないわけですから。
それだけでファイルは偏在することになります。
ちなみに一番高価な情報は誰も知らない情報です。
たとえば、今回の空港のパスワードは流出してることが判明しました。
が、もしもこのように機密性の高い情報が、
流出してることさえ知られずに手に入れられたとすると、
それはかなりの価値ある情報になります。
Re:シェアのすごさ (スコア:4, 興味深い)
誰かが何かのファイルを欲しいと思った時、そのファイルには仲間の振りしてウィルスが紛れているわけ。
100個ある付属ファイルのうち、1個がウィルスだとしてもファイルの有用性には大きな差がないので、ウィルスが付いたままのファイルは存在し続ける事ができるわけだ。
どれも圧縮解凍ソフトの閲覧モードで確認すれば一発でわかるんだけど、そのまま解凍ソフトに突っ込んでディレクトリだと思って開いたりするんだろうね。
たとえ気付いたとしても、元ファイルと分離して再放流するなどという作業は面倒なだけだし、ほとんどの人がやらないんじゃないかと推測。
でもね……MSが例の対処をする前と比べると、大分減ったと思うよ。恐らく、MSが本腰を入れて駆除に乗り出すのが消滅への近道かと。
もちろん、作者が仕様を変更するってのもあるけど、それだとアップデートしなきゃそれまでだしね。
--- どちらなりとご自由に --- --
Re:シェアのすごさ (スコア:2, 興味深い)
>あけてみないとわからないわけですから。
こういうブラックリスト [serveftp.com]もあります。
ので、あんまり露骨なもの、たとえば偽のファイル名で解凍もできないようなファイル、が大量にばら撒かれた場合、話題になりやすいため阻止する人も多くなります。
ので、最初のうちはともかく、長期的には抹殺されていくことになるでしょう。
あと、ファイル名なりに目印つけないと、自分(パスワードを知っていて解凍できる人)でもどのファイルかわかんないでしょうし。
そうすると、その目印でブロックされるという罠。
Re:シェアのすごさ (スコア:2, すばらしい洞察)
Re:シェアのすごさ (スコア:2, 興味深い)
ウィルスが含まれていたらキャッシュ削除&捏造警告配信
ってのを自動化して繰り返すクライアントがいくつかあればある程度は清掃できるかもしれない。
Re:シェアのすごさ (スコア:4, 参考になる)
Winnyは現時点でも十分現役というか、関連サイトがないわけでも、死にぞこないでもないかと。
(上記リンクでは、「Winny 初期ノード」で検索していますが、
初期ノードとはWinnyが一番最初の起動時にP2Pで通信する相手の情報です。
Winnyユーザーの新規参入ができなくなるのは、
Winny本体か、初期ノードか、どちらかが入手できなくなったときでしょう)
パスワード管理が… (スコア:3, すばらしい洞察)
パスワードの漏洩で、大きなニュースになるなら、PCからの揺曳に限らず、不意の漏洩対策を
していない事まで漏洩して、恥を上塗りしているようだが。
/* Kachou Utumi
I'm Not Rich... */
Re:パスワード管理が… (スコア:2, すばらしい洞察)
今回のような規模の場合、世界中の各国際空港が例えば普段から月1程度のペースで定期的にパスワード変更していたとしても、航空会社の立場からすれば(世界中の空港の数を考えれば)一日に数個以上のパスワード変更が起きてるということになります。空港側の立場から見ても、パスワード更新を通知しなければならないユーザは空港を利用している数多くの航空会社で、しかも時差の関係もある上に世界規模で24時間操業の業界ですから、そこいらの会社で「今晩の就業時間後に変更しときますわー」みたいなレベルの話じゃないわけです。つまり、航空会社と空港のどちらから見てもパスワードの管理コストは相当なものだろうと思います。
今回の件では、JALの都合だけで「こういう事件があったので、更新時期を無視して早急にパスワードを変更してくれ」と各空港に依頼するわけですから、元から定期的にパスワードを変更するシステムや手順があったとしても、かなり面倒な作業になることは素人でも容易に想像できると思うのですが。
#以上、全て想像or妄想ですけどね。
押し方も問題 (スコア:3, 興味深い)
スーツケースを左手で引っ張っての体勢で、体を被せるわけでもなく手元丸見えでボタンを押していました。
通路側から見えないように、盤面を隠すカバーが必要じゃないの?と思ってました。
Re:押し方も問題 (スコア:2, 興味深い)
パスワード運用 (スコア:3, すばらしい洞察)
セキュリティが大事なら、そういうところに金をかけないと。銀行並みにとは行かなくても。。
# 尤も今のこの業界の様子を見ると、そんなことできるとは思ってないけど…
# というより、消費者がそれを望んでないよね。金銭的に。
Re:パスワード運用 (スコア:4, 興味深い)
空港などの一部施設では停電時でもゾーンセキュリティと保安要員のスムーズな移動を確保するために電源を使わないタイプの番号式機械錠を使っているそうです。
で、そういうところに出入りする人は皆制服を着てIDぶら下げているわけで、そういうのまで含んだセキュリティ運用になっているようです。
このような事情があるので制服が盗まれただけでニュースになるのです。
見たような聞いたような・・・
itinoe
飲酒運転並みの厳重な処罰を (スコア:2, 興味深い)
利用するならそれなりの予備知識や対策を身に着けるべき。
そうでないなら利用しない。
それでも利用したいなら、予めリスクを最小限に。
これだけ事故が起こっているのに、未だほんの軽い気持ちで利用する人の多いこと多いこと。
見せしめはかわいそうですが、管理の甘い状態で利用することの恐ろしさを判ってもらう為
にも、事故を起こした人へは、より厳重な『公開』処罰を望みます。
だれか番号を確認しました? (スコア:2, おもしろおかしい)
# 私は情報の海から生まれた生命体である。
ニュースサイト記事をあげるスレ (スコア:1)
Impress Watch [impress.co.jp]しか見つけられませんでした。
# それより関電のほうが関心を引いてるようですなあ
Re:ニュースサイト記事をあげるスレ (スコア:1)
これですね。計4回って、、、言葉もみつからない。
Re:ニュースサイト記事をあげるスレ (スコア:5, 興味深い)
必死に監視しているように読めるね。
てっきりネタ元は2chのどっかのスレ辺りかと思っていたのだが、そっちのほうが驚きだ。
Re:Winny=兵器並に凶悪な存在 (スコア:3, 参考になる)
今回の場合、業務で使う(機密情報まで扱う)PCで、おそらく個人の趣味であろうP2Pソフトを使っていたという点から推測できる職場での倫理観の欠如が問題なわけで。
あと見当違いな謝罪もか。あの謝罪が適切だと考えちゃうと、職場のPCでWinnyしても怒られないような規則で運営されてるってことになっちゃうし。
情報の流出経路がWinnyだったって事は興味深い点ではあるけれど、それほど重要なことじゃあないと思う。結局は職場のPCを私的なことに使っている人居る以上、似たようなことはいくらでも起こり得るのだし。
Re:Winny=兵器並に凶悪な存在 (スコア:2, すばらしい洞察)
しかし、化学物質にせよ銃器にせよあるいは核関連技術にせよ、ある技術が規制されるべきかどうかは、それを規制することとしないことのどちらがより社会にとって有益かという話であって、善悪は関係はありません。
ということで、そもそも規制すべきかどうかという話で善悪を持ち出すこと自体が見当違いです。
P2P≠兵器並に凶悪な存在 (スコア:1, 興味深い)
という「Winny=P2P=悪」みたいな風潮が一般に広がっていって実際に規制されるのが最悪の展開。
そうなる前に企業や組織が社外機密の漏洩阻止の為の整備・教育をどんどん進めて行ってくれないと本当に困る。
Re:P2P≠兵器並に凶悪な存在 (スコア:2, 参考になる)
初めから判っていたというわけではないようです
で、被害が広まって作者がその問題に対処しようと思っても
逮捕されてソースも押収されちゃったので棚上げになっている、
という状態だとか。
Re:Winny=兵器並に凶悪な存在 (スコア:2, 参考になる)
PDF(一般書籍) [金子勇] Winnyの技術 [05-10-03].zip 1,900,259
9d2dd618c580e38ea6869c51d9ed1107
最初のページには次のように書かれています。
Re:ネット接続の時点で、未必の故意 (スコア:3, すばらしい洞察)