SC Magazine及びWIREDの記事による。

英国組織犯罪対策本部SOCA（The Serious Organised Crime Agency）は、 2006年、或る女性諜報員が反ドラッグ作戦の情報の入ったメモリスティックをハンドバッグに入れたまま、長距離バス内に置き忘れていたことを確認しました。
M16（英国秘密情報局。いわゆる007はここに所属します）は、その紛失後、データ取扱いの手順を改訂したと主張しておりますが、損失は数多くの諜報員と情報提供者の命の安全を考慮して、配置替えしなければならず、数百万ポンドになると見られています。

タレコミ子は、昨今一般人でさえデバイスの紛失により自らの社会的地位は素より、関係者に多大なる損害を与えていることは常識であるのに、諜報員たる者が大失態をしていたことに、ジェームズ・ボンドも泣いているであろうと思いました。

毎日新聞によると、総務省が住基ネット侵入実験　「安全性問題なし」とのことですが、相変わらず「安全です」と連呼しているばかりのようで、何がどう安全なのかさっぱりわからない大本営発表ばかりのようです。また、総務省の大臣はこんなことを言ってるようですが、そんなことでいいんでしょうか(笑)

また、長野県の実験のケースでは、「住基ネット、長野の侵入実験結果公表に苦慮　田中知事」(毎日新聞の記事)となっており、実際に脆弱性が見つかってしまい、対策を実施するまでは結果を公表出来ないという立場なので、これはこれで立場的には仕方が無いと理解出来ます。対策が完了した暁には、ぜひ実験内容と結果の公表、対策の内容を公開して戴きたいですね。

実際のところこの手の立場の組織が、この手のテストを行った場合、どのような形で結果を公表したらいいのかは「前例」が無いので難しいところもあるのでしょうが、可能な範囲で公表して頂かないと、テスト自体が有効なのか誰も評価出来んところがいかんともし難いところであります。

ところで、今回のテストを実施した会社って、「米国の会計・コンサルティング大手のクロウ社」とのことですが、会計・コンサルタント会社にちゃんとしたペネトレーションテストって出来るもんなんでしょうか? ^^;

筆者が最初に見つけたのはhttp://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security">こちらなのだが、元ネタはこちらからのforwardということらしい。 IRCでの会話によると、8/31夕方の時点までは正常なMD5の値のtar ballが置かれていたらしいが、8/1のあるタイミングからトロイの木馬入りのものと置き換わってしまったらしい。 OpenSSLのセキュリティホール絡みで、OpenSSHもついでに再コンパイルしよう、なんて思った人は、トロイの木馬入りのソースコードを掴まないように、MD5の値等をしっかりチェックしましょう。 ここのところセキュリティ関連の大物ソフトウェアに脆弱性が立て続けに見つかっていて、システム管理者は寝る暇も無く悲鳴の毎日ですが、がんばりましょう＾＾；

アサヒコムに 自治体ＩＰアドレスなど配布　一部市町村が総務省に抗議 という記事が出ています。
住民基本台帳システムはWindows！？ の問題以前に、システム運用を担う一部の自治体がこういう考え方・態度なのは、非常に心もとないですね。

このままの状態で、住民基本台帳システムのような重要なデータを扱うシステムを強行に予定通りに稼動させてもいいものでしょうか？