ホームページでメアドを公開しているとすぐにスパムメールが届きますね。
下手すると届くメールの半分以上がスパムだったりして(^^;。
さっき届いたスパムは
>>1200万直ぐ振込みます。私と会って下さい。
>>
>>時間、場所はお電話で直接。
>>
>>203078 で確認してください
>>
>>http://www.*******-queen.***/?1938
>>
>>田中 慶子
>>
こんなメールで釣れるんでしょうか???
1200万あれば資金繰りはかなり良くなりますが、その気になってwebページを見てみると請求書が見えたりして(笑)。
まさかと思いますが、こんなのに引っ掛かった人います??
人気blogランキングへ
←クリックプリーズ(みなさんの愛の手を)
「絶対サポセン黙示録」をひさびさに見たら、本日のニュースに「Lhacaに脆弱性」という文字が。そこで元記事のITMediaを見てみました。そこには『Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現』という記事がありました。
Lhacaは現在 version 1.20 で数年前からバージョンアップが行われなかったようですから、かなり安定しているソフトです。そこに「脆弱性」が発見されたということで、ちょっと驚きです。
しかし、京都府警も「著作権侵害」で逮捕ですか!?。まあ、たしかに侵害しているんですけどねぇ。著作権侵害って親告罪じゃなかったでしたっけ?。ITMediaの記事を読むと、ACCS(コンピュータソフトウェア著作権協会)が絡んでいるようですが、なんとなく、強引さが見え隠れすると思うのは穿ちすぎでしょうか。確かにウィルスを作るやつなんて、逮捕しちゃえばいいとは思うんですけどね。winnyの作者を逮捕したのも京都府警、なんか意地になってません???。
ウィルスソフトを作ること自体に罪はないと思います。ただそれを外に出しちゃった時点で、威力業務妨害かなにかで犯罪とするのがいいんじゃないでしょうか。新たに法律を作ってもいいんですけどね。とにかくフットワークが重すぎるんですよ、立法府は。
まあなんにせよ、別件逮捕のような感じを持ってしまいますよね。
有害サイトへのアクセスをどのように防ぐかということで、AUとドコモがホワイトリスト方式でソフトバンクがブラックリスト方式を採用するらしい。このホワイトリスト方式に対して総務省が待ったを掛けたということなんですが、産経新聞の「エッ?」というのが邪魔なんじゃないでしょうか。「なんで総務省が待ったを掛けるんだよ!?」という意図が見え隠れするように思えます。
でも総務省が問題視するのも理解できるんですね。記事の書き方が悪いのですが、端的に言えばホワイトリスト方式は携帯会社が認めたサイトだけを許可することです。ブラックリスト方式はその逆で、携帯会社が「有害」と認めたサイトを遮断するやり方。
どちらがより恣意的になるかというと、ホワイトリスト形式なんです。携帯会社が意図的に(有害サイトでなくても)アクセス禁止にもできることになります。
総務省の言い分として「一般サイトにまったくアクセスできなくなり、利用激減が予想されるため」とあるのですが、微妙に配慮した言い回しになっていますね。
でもどちらがより制限が厳しくなるかというと、ホワイトリスト形式であることは明白です。どちらの方式を採用したとしても、「有害サイト」の判断は恣意的なものになってしまいます。でも携帯会社の力を強力なものにするのはホワイトリスト形式なんですね。
産経新聞の記者・・・っていうか、このタイトルを付けた人はそういう危険性を考えていないんでしょうかね?。確かに未成年者が危ないサイトを閲覧できないようにすることは必要なんですが、制限しすぎるのも問題ありだと思います。有害か有害でないかのラインを引く客観的な評価方法はありません。どうしてもグレーゾーンが存在します。これをどう判断するのか。
子供を持つ人たちにとって、どちらが安心かというとホワイトリスト形式なんでしょう。でもそれってちょっとおかしいと思いませんか?。世の中には白黒はっきりできることは意外と少ないものです。子供と向き合ってそういうところを教育していく必要があるのではないでしょうか!?。
こういうことを書くと「毒男(2chでの表現で、独身男性のこと)が何を言うか」と言われるのでしょうけどね。私は総務省の意見に賛成します。
ITMediaからなんですが、以前書いた携帯でのフィルタリングについて当の高校生からの反応の記事を見つけました。それが『「まぢわかんない」「悪い大人を取り締まって」――携帯フィルタリングに未成年者の反応は』です。しかし、「まぢわかんない」という反応はねぇ・・・。ちょっと考えてくれるといいんですが。なにせ、自分たちに降りかかってくることなんですから。
とはいえ、大半は真面目に考えているんだと思います。ちょっとずる賢いのが「親に解除してもらうからどうでもいい」という意見。真面目に暮らしている子供だったらいいんですが、今の親は子供に甘いですからねぇ。
ちょっと問題なのが『「クラスにフィルターしている人がいます。本当に不便です。危険なサイトだけでなく、進学関係のサイトも見れないです」(17歳男子)』というところ。こういうことがでちゃうんですよね。ポジティブリストって。ブラックリスト方式に問題がないとは言いませんが、ポジティブリストのほうが問題が大きいと思ってます。
できれば、真面目に考えている子供たちが何か運動を起こすようになってくれるといいんですが。
IZAに『ウィニーで顧客情報流出 近鉄百貨店』という記事がありました。またwinnyかよ・・・と感じるところもあるのですが、これだけ騒がれているのにもかかわらず情報漏洩が発生するっていうのはどういうことなんでしょうね。
記事によると、事件を起こしたのは『阿倍野本店家庭外商本部の男性社員(49)』ということで、私と同世代。仕事が多かったんでしょうか?。それでもデータを持ち出すなんてのはねぇ・・・。
winny自体が勝手にデータを流出させるのではなくてwinnyで動作するウィルスソフトのせいです。また個人のPCにwinnyをインストールすることを否定するものではありません。がインストールされたPCで仕事しちゃ行けないでしょうに・・・。
結局は個人の意識の問題になってくるんでしょうね。今はUSBメモリーを挿したことを知らせるソフトがあります。でもその知らせを管理者が無視してしまえば意味がないし、USBメモリーを使うなといっても黙って使うやつはいる訳です。ということはもうデータをコピーできなくするしかない。性悪説に基づいていろんな対処をするしかない・・・ようですね。
日銀の記事では
| 日本銀行松江支店の内部資料がネット上に流出した問題で、同支店は3月22日、「職員が上司に無断で資料を自宅に持ち帰り、私物PCで作業をしたところ流出した」と説明した。PCがWinnyの暴露ウイルスに感染していたとみられる。 |
| 流出したのは、日銀松江支店長名などで書かれた、金融機関の検査実績や決算見込み、金融機関への通知文など。「平成20年3月11日」と最近の日付が入っているものもあった。 |
| 同支店は今後、支店内の情報管理や資料の取り扱いルールを改めて徹底し、再発防止に努めるとしている。 |
winny が勝手に情報を流すのではなく、winny が感染するウィルスソフトが悪さをしてしまうのですが、こうなると winny 自体が悪者になってしまいますよね。京都府警がバカなことをしなければよかったんですが。
こうなると情報管理は性善説ではなく、性悪説でいくしかないようですね。企業のトップも意識を変えて、守るための投資をしてもらわなくていはいけませんね。説得するのが大変そうです。
大学の講義資料を事務所にあるサーバに入れてあります。今日大学からアクセスしようとしたのですが、うまく接続できません。おかしいなと思い、事務所に戻ってみるとサーバが暴走しています。そこで強制リブートしてログを見てみるとどうも不正アクセスがあったようで、慌てて休眠中のユーザを消しました。
ルータのログもついでに見たのですが、これも怪しいところからのポートスキャンが来ています。やっぱりOSの入れ替えしないといけないなぁ。
Livedoor ニュースに『「指導する側」のIPA職員がWinnyでウイルス感染、個人情報が流出。』というニュースが。
いやはや、IPAってそういうことがないように啓蒙活動をやってきたところですから、面子丸潰れというところでしょうか。セキュリティというのはやはり性悪説で対処していかないといけないということが再認識されたというところでしょうか。
基本的には「君子危うきに近寄らず」なんですよね。だからインストールしないのが一番。そういうことを口を酸っぱくしてまで話していたと思うんですが・・・、IPAって。
性悪説にたっていろんな対策をするというのは経費がかかってしまいます。特に企業では生産活動からはずれることに対してはなかなかお金が出ないですから、頭の痛いところです。また個人で所有しているPCをすべてチェックすることは不可能ですからねぇ。
今回の件、セキュリティ対策の重要性を理解しているはずであろうIPAの職員からデータが流出したことが一番の問題です。多分その職員は退職せざるを得ないでしょう。よく知っているから、「自分だけは大丈夫」と過信したのでしょうか。
これを他山の石として自分も肝に銘じないといけないですね。
アルファルファモザイクというサイトで『IDとパスワード知ってたら誰でもログインできるって危険なんじゃないの?』というエントリーを見つけました。
どこかで読んだような気もする(いわゆるコピペ)のですが、クライアントを含めケーススタディとして取り上げることができるのではないかと。このエントリーだけだと前提条件が少なすぎて議論がとんでもない方向に飛んでしまいますが。
前書きとして例えば、「システム開発部長であるにもかかわらず、何も理解できていない部長」とあれば、ダメな部長の話になります。ところが「長年システム開発に従事しており、部内で認められている部長」であれば、協力会社社員のコミュニケーション能力の話になります(まあ、進捗会議でそんな話を振る部長にも問題がありますけど)。
セキュリティにのみターゲットを絞ると
・部長が言っているIDとパスワードだけでは問題がある
ことは判らないではありません。もっと対策を練る必要があるのは間違いない。問題はどこまでセキュリティを高めるために費用を掛けることができるかになるかと。この費用はシステム構築費用だけではなく、社員のリテラシーやセキュリティ意識を高めるための費用も含むことになります。
経営陣や管理職は、コストを抑えつつもシステム側にセキュリティを高めるように求めることが多いような気がします。そりゃ、システム構築費用が安くなればなるほどありがたいと思うのは当然です。でもいくらシステムにセキュリティ対策を施しても、操作する側である「人の意識」を変えない限りはリスクは低くなりません。
パスワードを意味のない文字列にしたところで、IDとパスワードを書いた付箋をディスプレイに貼ってあれば意味がない。社員に「そんなものは貼るな。守れないやつは解雇」ぐらいは言っておかないと。セキュリティの一番大きな穴は実は「人」なんです。
話を元に戻して、ケーススタディを1つ。
A社のシステム開発進捗会議。A社システム開発部長の発言。ちなみに前回の会議では
「上のほうから、
まだ開発が終わらないのか、
費用が高すぎるんじゃないか、
セキュリティをしっかりしろと言われてるんだよ。」
と言っていた。
「君たちさ~、ログイン画面でユーザ認証って言うけど、
IDとパスワード知ってたら誰でもログインできるって事だよね?
それってどうなの?危険なんじゃないの?」
今日、IPAからのメールで Becky! Internet Mail Ver2.48.02 以前のバージョンにセキュリティ警告がありました。私も使っているので慌ててバージョンを見ると引っ掛かってます。早速ダウンロードして、Ver.2.50 にアップしました。
脆弱性は開封確認に同意したとき、悪意のあるプログラムが実行される場合があるとのこと。私は開封確認を送らない・・・ってか送りたくないので大丈夫なんですが。今までIPAからのメールはほとんど斜め読みだったんですが、ちょっとびっくりです。
開封確認ってRFCに定義してあったんですね。無駄なことだと思うんですが。スパムメールに開封確認がついていて、自動的に送る設定になっていたら、このメールアドレスは活きていることを知らせることになってしまいます。
開封確認で検索してみると、やはりみなさん「無視する」ことが多いようですね。なんとなく一安心です。
先日、ある人から「windowsのオープニング画面のパスワードを忘れたときにはどう対処するのか」を聞かれませ板。その人が困っているのではなく、その人も別の人から聞かれたとのことで、こちらも話を聞いたときには「まあ、パスワードは忘れない教訓として、初期化したら」と軽く答えたのですが、ちょっと気になってググってみました。
調べてみるとパスワードをハッキングするソフトがあるんですね。あるというのは予想できていましたが、それを簡単に検索できることがちょっと恐いなと。GIGAZINEというネットマガジンに堂々と掲載されているんですからね(その記事への直接リンクは貼りません。「xp パスワード忘れ」で検索してみて下さい)。
確かにパスワードを忘れたときって本当に焦ります。だからと言ってハッキングソフトって最後の手段というか、知る人ぞ知るになっていないとセキュリティとしては大問題です。Microsoft としては、そうなる前の対応策があります。administrator権限を持つ別のユーザでログインする方法と、予めFDとかUSBメモリに情報を取っておく方法の2種類があるんです。
ということはそういった対策を講じておくのが本来であるべきです。中小企業は専任のシステム担当者がいないことが多いですから、そういう予防策を採ることがほとんどないのではないでしょうか。なんとなく考えさせられた話でした。
ま、本来なら最初に聞かれたときにきちんと答えられてかつきちんとクライアントに対して予防策を実施していることがが私に求められていることなんですけどね。
