Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

効果検証はされているのですよ・・・ね?

つぶやいてみた。

今年もNISCのサイバーセキュリティ月間が始まりました(2月1日~3月18日)。毎年賛否両論が出ている気がしますが、今年は「約束のネバーランド」とのコラボなんだそうです。

※月間・・・って1月越えていませんか?

withnews.jp

 

コンピューターウイルスなどのサイバー問題を何とかしようと、政府が躍起です。毎年2月1日から3月18日までを「サイバーセキュリティ(CS)月間」とし、呼びかけは人気アニメとのコラボでグレードアップ。ただ政府自身にも弱点があるのです。サイバー対策はどこへ行く……。

(中略)

 かつてのCS月間キャンペーンはお役所っぽく地道なものでしたが、ここ数年、「攻殻機動隊」「ソードアート・オンライン」「BEATLESS」といった近未来アニメと相次いでコラボ。ネットが身近なだけに危険とも隣り合わせの若者を中心にメッセージを届けようと、力が入っています。年々増える政府のサイバー関連予算も追い風です。

朝日新聞記事より引用)

 

◆キタきつねの所感

人気アニメ(漫画)とコラボすれば、セキュリティは向上する、、、そんな裏づけがきっとあるのだと思いますが、今年は週間少年ジャンプ連載の「約束のネバーランド」とのコラボだそうです。

※すいません存じ上げませんでした・・・

若い世代に向けてサイバーセキュリティ・・・これからを担う層に向けて人気アニメとのコラボは確かに啓蒙活動の意味も含めて重要かも知れません。セキュリティ月間の認知度を上げた事については疑いようもありません。

 

とは言え・・・「安全・安心ハンドブック」はアニメに関心がある層だけに向けたものでは無い気がするので、もう少し幅広い年齢層を呼び寄せる方(アニメ一本やりではなく・・・)が良いのではないかなと愚考します。

www.nisc.go.jp

 

ふと気になるのは、海外でアニメコラボというセキュリティ啓蒙は聞いた事が無い点でしょうか。。。いくら漫画・アニメが日本が強いとは言え、実際に効果が高いのであれば、ミッキーマウススパイダーマンがセキュリティを語っているキャンペーンがあっても良いのではないかな?と思うのですが。。。。

 

 

因みに、サイバーセキュリティ月間の取り組みの中では、私は「ひとこと言いたい!」の記事を読むのを毎年楽しみにしています。色々の立場の方のご意見が勉強になりますね。

www.nisc.go.jp

 

 

 

 

2.5次å俳åªã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年2月2日PM(予約投稿)

2020年に向けて攻撃は加速していく?

つぶやいてみた。

当然研究目的ではないだろうなと思うのが、ダークウェブでの情報購入です。

wedge.ismedia.jp

 

 昨年2月、ダークウェブで日本人の電子メールアドレスとパスワードが売りに出された。データ量にして2・6ギガバイトというその「商品」は、2億アカウント分にもなるという。サンプルとして3000人分が公開され、日本でよく知られた大手企業を含む社員のアドレスとパスワードがずらりと並んでいた。セキュリティ企業の関係者によると、この「商品」を売り出したのはウクライナ在住のハッカーで、購入したのは中国人だった。

(中略)

 こうしたサイバー攻撃東京五輪に向けた日本への攻撃の一環だと見られている。アントゥイットのサイファーマ事業(東京)でCEOを務めるクマール・リテッシュ氏は、「これまでの五輪や大きなスポーツ大会を分析すると、開催2年ほど前にはサイバー攻撃が始まり、1年前から激しさを増す実態がある。日本に対してもすでに数多くの攻撃を検知している」と指摘する。

WEDGE Infinity記事より引用)

 

◆キタきつねの所感

2億アカウント分の日本人のIDとパス(らしき)データ。売られて、買われるという事はそれ相応の価値があると判断されたからと思います。パスワードを使いまわしするな、とあらゆる専門家は警鐘を鳴らしているだけでなく、企業や大学などの教育機関でもそうした教育はされているかと思います。

しかし現状は、パスワードを使いまわす人が未だに多いのは間違いありません。

 

少し前のデータですが、トレンドマイクロの調査では、8割以上が使いまわしをしているとなっていました。

www.trendmicro.com

 

販売されていたデータの鮮度がどの位かは分かりませんが、もしデータが新しいのであれば、様々なサービスに対して不正ログイン試行ができますし、それ以外でも、重要インフラ企業や主要官庁に紐づくアドレスがあるのであれば、標的型攻撃、ビジネスメール詐欺などに使われる事も十分に想像できます。

今回の記事ではデータを購入したのは中国人であったとありますので、国家的な組織が攻撃に使う、といった考えでデータを購入したという可能性もあるかも知れません。

2020年に向けて攻撃が加速していくと言われていますが、組織はパスワードは既に漏洩している可能性あを考慮し、重要システム(メールシステム)のログイン認証を改めて見直す方が良いかも知れません。

日本ではキャッシュレスであったり、様々なシステム投資が成長戦略に基づいて進んでいますが、こうした環境は海外ハッカーからは絶好のターゲットと思われている、その最初の攻撃として汎用性が高い認証情報が大量に買われている・・・そうした観点で考えた方が良さそうです。

 

 

 

 

éãµã¤ãã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年2月2日PM(予約投稿)

オランダDPAの2018年データ侵害統計レポート

海外事件 GDPR

オランダのDPAGDPRに関わるレポートを出していました。

www.huntonprivacyblog.com

 

2019年1月29日、オランダのデータ保護当局(Autoriteit Persoonsgegevens、「オランダのDPA」)が報告を発表しました。(オランダ語)2018年に受信した個人情報侵害の通知(「報告」)。EU一般データ保護規則(「GDPR」)は、データ管理者に、気付いてから72時間以内に個人データの漏洩を管轄のデータ保護当局(「DPA」)に通知するよう要求しています。オランダでは、この侵害通知要件は2016年1月1日から制定されています。ただし、GDPRは次のような追加要件を課しました。侵害通知に特定の情報を提供する。違反がその個人の権利と自由に高いリスクをもたらす可能性がある場合、影響を受ける個人に通知するというデータ管理者の義務。企業は個人データの侵害を文書化する義務があります

2018年、オランダのDPAが受信したデータ漏洩/侵害通知の数は2倍になり、合計で20,881件の侵害通知がありました。最も影響を受けたセクターは、健康と福祉セクター(違反の29%が通知)、金融セクター(違反の26%が通知)、公共セクター(違反の17%が通知)です。63%の事例で、この侵害は誤ったEメールアドレスに送信された個人データに関連していました。残りの37%のケースは、個人データの損失(ラップトップの紛失やUSBメモリの紛失など)、ハッキング、フィッシング、マルウェアによるものです。影響を受ける個人データの種類は、ほとんどの場合、データ主体の名前と連絡先の詳細、性別、健康データ、および国民識別番号です。

報告書の中で、オランダのDPAは、通知できなかったすべての個人データ侵害について企業が通知を提供しなかったことを示しています。例えば、特定の会社は、個人データ侵害の影響を受けた個人に知らせていましたが、管轄のDPAにその侵害を通知していませんでした。その結果、2018年にはより多くの個人情報漏えいがオランダのDPAに通知されるはずであり、オランダのDPAは2019年にこれに特に焦点を当てることを示唆しました

(HUNTON ANDREWS KURTH記事より引用)※機械翻訳

 

◆キタきつねの所感

GDPR系で気になったので、この記事を取り上げてみます。まず気になるのが、データ侵害についての管轄当局(DPA)への告知と、それに併せてデータ侵害についての文章を公表しなければいけない部分です。

GDPR施行の初年度である2018年は事件が通知されなかった件が多いと、オランダ当局(DPA)は捕らえているようです。

2019年は個人に通知されるデータ侵害と、関係当局に通知されているかのチェックがより厳しくなる、そう考えると、告知すべきかどうか、判断が出来かねてミスをしてしまう日本企業が居たとすると、かなり手痛いペナルティを食らう可能性もありそうです。

 

更に記事を読んでいくと、

2018年5月25日以降、オランダのDPAは、報告された個人データの侵害の298件において、報告会社に対して訴訟を起こしました。これらの訴訟のいくつかはまだ係争中です。一般的に、これらの行動は警告をもたらし、それは違反を終わらせる。4つのケースでは、オランダのDPAは通知に応じて調査を行いました

(HUNTON ANDREWS KURTH記事より引用)※機械翻訳

 

先日、GDPRの記事を書きましたが、オランダの管轄で捕らえても300件近いGDPR違反事件(候補)があった様です。欧州の顧客データ、社員データが無かったとしても、例えば欧州の旅行客の個人情報・・・と考えると旅行業なども注意しなければいけない法律です。

何も準備をしてない対象企業いないとは思いますが、個人情報が漏洩しない様に対策・システムの見直しを定期的にしていく事が重要だと思います。

 

foxsecurity.hatenablog.com

 

 

 ã¦ã¼ã­ãã¼ã¯ï¼æä»ãï¼ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年2月2日PM(予約投稿)

ID証は見ただけでは分からなくなりつつある

つぶやいてみた。

在留カードの偽造拠点の摘発のニュースが少し前にありましたが、ID証偽造レベルはかなり危ない水準まで来ている様です。

www.asahi.com

 

在留カードは2012年、外国人登録証明書に代わって導入された。携帯電話を契約する際など、本人確認の身分証明書として使われ、常に身につけていなければならない。顔写真や住所、在留資格といった情報が記載され、偽造対策としてICチップやホログラムが付いている。

 入管局によると、家宅捜索に入ったのは11日夜。現場に居合わせた中国籍の男(27)1人を入管法違反容疑で身柄拘束し、入管施設に収容した。マンションでは偽造カードなどのほか、偽のホログラムのシールやパソコンやプリンターも見つかったという。

朝日新聞記事より引用)

 

◆キタきつねの所感

テレビ局のニュース映像もチェックしてみたのですが、摘発された拠点はマンションの1室ですが、偽造カード作成に必要な材料もすべて揃っていて、こうした拠点がひっそりと街中にあっても気づかないだろうなと思いました。在留カードといえば、パスポートや運転免許証並みにセキュリティ対策がしっかりしているイメージだったのです。

 

事実、法務省の資料には、様々な偽変造対策が本物カードの見分け方として載っています。特殊のインクだったり隠れた画像だったりと、世界一とも称される日本のお札の偽変造対策と同じ様な技術が使われているようです。

f:id:foxcafelate:20190202141249j:plain

とは言え・・・こうした資料を、この資格カードをチェックする事業者側が知ってないケースも多いとすると、、一見本物らしきカードだったら、それを本物と判断してしまう担当者は多いかも知れません。

 

偽造カードは、パソコンで作成した画像を無地カードに印刷、表面にはホログラムが施され、ICチップはないものの精巧に作られていた

パソコンから見つかった顧客データによると、販売先は中国人のほかインドネシア人やベトナム人など多国籍にわたる。口コミや会員制交流サイト(SNS)で顧客を得ていたとみられ、注文を受けてレターパックで郵送していたという。

日経新聞記事より引用)

 

ホログラムも加工されていた様ですので、(ホログラムのタイプが本物とは違っていた様ですが)比較できる対象があれば別でしょうが、年に1回しか見ない程度でしたら、私も騙されてしまうかも知れません。

news.tbs.co.jp

法務大臣は対策強化を・・・と言っていますが、偽造が難しい、ICチップの機能を使う(R/Wを使う)認証、それこそNFC携帯で読み取りが出来る様な手軽さが無いと、一見すると騙されるレベルにまでなりつつある偽造カードを見破るのは難しいのではないでしょうか?

ICチップをつけたのは良いとしても、それを読み取れる装置が普及してない・・・そこに問題がある気がします。

と・・書いていて調べてみると、在留カードのICを、NFC携帯(アンドロイド)で読み取るソフトは、既にあるようです。こうしたソフトが普及してない、だから担当者の視認だけに頼ってしまっている脆弱性を犯罪者に突かれているといえるかも知れません。

 

www.zaikei.co.jp

akibasoft.web6.jp

 

参考:運転免許証の記事

foxsecurity.hatenablog.com

 

 

 

å¨çã«ã¼ãã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年2月2日PM(予約投稿)

 

平文パスワード保管

不正アクセス事件 つぶやいてみた。

平文パスワード保存は流行りなのでしょうか・・・。Security Nextの少し前の記事に波通の個人情報漏えいの記事がありました。

www.security-next.com

 

■公式発表 【重要】 個人情報漏えいに関するお詫びとご報告

 

サーファー向けに海の状況をリアルタイムで提供するサービス「波通」において、登録ユーザーのメールアドレスとパスワードが流出したことがわかった。不正アクセスの可能性が高いとしている。

同サービスを運営するデジサーフによれば、2018年1月5日以前に同サービスに登録した会員のメールアドレスと平文のパスワード1万9700件が外部に流出したもの。

(Security Next記事より引用)

 

◆キタきつねの所感

今回の事件は、事件の経緯と再発防止策を含む公式発表が出ていましたので見てみたのですが、、、

1.本件の発覚の経緯及び情報漏えいの概要等
(中略)

なお、現時点におきましては、上記の情報のほかには、情報漏えいの対象となった情報は確認されておりません。また、現時点におきましては、第三者によるアカウントの不正利用、漏えい情報の拡散等の二次被害は確認されておりません

現時点で原因の断定には至っておりませんが、外部通報者による報告内容及び弊社における事実調査の状況を踏まえ外部からの不正なアクセスによる情報漏えいである可能性が高いものと考えております。

(公式発表より引用)

 

月間訪問者が120万人を超える、サーファー向けの人気サイトからの会員情報が漏洩したという事件にしては、さらっとしている印象です。

漏洩件数は2万件弱だからでしょうか。先日の宅ふぁいる便と同じく、『パスワードを平文で保存してました』という、個人情報取り扱い事業者としてはセキュリティを考えてないとしか思えない運用を突かれています。

事件報告では仕方が無い部分があるとは言え、影響範囲を小さく見せる表現、『(今の所)二次被害は確認されていません』という表現が気になります。平文パスワードが漏洩したという事は、そのパスワードを使いまわししているであろう、自社の会員が他社サイトで情報侵害を受ける可能性は計り知れません

 

もう1点公式発表を読んでいて、残念だったのは、『外部からの不正アクセス』と書いておけば良いと言わんばかりの、侵入された脆弱性部分をまったく書いてないところです。

 

再発防止策(対策)の部分にその対となる脆弱性が書かれている事が多いのですが、

上記のほか、弊社としては、今後速やかに以下の措置を実施し、同様の情報漏えいが生じないよう、再発防止に努める予定です。
① 本件と同様の方法による不正アクセスへの技術的予防措置の実施
② 円滑かつ確実なセキュリティ対策を実現するためのサーバ環境の変更

(公式発表より引用)

 

本件と同様な方法』とあるので、不正アクセスを受けた脆弱性については、波通側は把握している様なのですが、その対策は『技術的予防措置』・・・と何を実施するのかよく分からない記載です。(FWでも入れるのでしょうか・・・)

②の措置は、日本語の読解能力が問われますが(注:公式発表を読む上では必須な能力な気がします)、サーバ環境の問題があってセキュリティ対策を実現できない状況だった事が分かります。

また、①②の対策は『今後』『速やかに』と書かれているので、脆弱性は残っており、当面は、同じ攻撃手法で侵入される可能性がある事を示唆しています。監視強化とパスワードのハッシュ化の対策で当面乗り切るのだと思いますが、ハッシュ化という対策も、正直、その実装法によってはリスクが残っている場合もあるので注意が必要です。

例えば、レインボーテーブルが出来てしまっている事もありえるので、単にハッシュ化したから安全、という考えならば、今一度、それで大丈夫なのか見直す必要があるかと思います。

 

事件が2件出てきた事から考えると、平文パスワードでのパスワード保管。まだまだ多くのサイトでやっていそうです。

 

参考:徳丸さんの情報(少し古い内容もありますが勉強になります)

www.slideshare.net

 

ãµã¼ãã£ã³ããã¦ããç·ã®å­ã®ã¤ã©ã¹ã

更新履歴

  • 2019年2月2日AM(予約投稿)

 

フールディフェンスが必要なのか?

考えてみた。

アルバイトへの教育も、アメリカ並みに電子レンジには犬を入れて乾かしてはいけない・・といったマニュアル記載が必要な様です。

www.sankei.com

 

外食大手ゼンショーホールディングス傘下の牛丼チェーン「すき家」は29日、関東地方の店舗でアルバイト店員が不適切な動画を撮影したとして「心より深くおわび申し上げる」と謝罪するコメントを発表した。インスタグラムに投稿し24時間後に動画が消える機能を利用していたが別の人がツイッターに転載し拡散した。
 ゼンショーによると、動画は「くびかくご」という文字を表示した約9秒にわたるもので、アルバイト店員2人が店内で氷のようなものを投げたり、「やばい、絶対クビ」などと言ったりしている。別のアルバイト店員が撮影した。
産経新聞記事より引用)

 

◆キタきつねの所感

学校での悪ふざけの延長線上にバイトがあるのかも知れませんが、企業、特に食品を扱う様なところでは、その影響が企業の業績に影響を与え、存続出来るか分からない程に、社会的な信用を失ってしまう場合があります。

その代償として、当たり前な事だとは思いますが、被害を受けた企業側から悪ふざけをしたバイトや社員に対して損害賠償を含む対処がされる事もありますし、大学や高校側からも厳しい処分が下される可能性もあります。

今回の様な事件、2013年頃に非常に多く出ていました。世間ではバイトテロと言ってたのを思い出しましたが、常識が常識でなくなりつつある、そんな変化を企業側も捉えて、従業員教育を考えなければならないのかなと思います。

フール(愚者)ディフェンスを考えて店員・アルバイトを教育しなければならなくなりつつある。そんな残念な時代なのだと改めて感じます。

 

改めて当該映像を見てみると・・・ 

www.youtube.com

公開されない前提の、仲間内だけの「おふざけ」な感じです。しかし、それをインスタグラムに公開すると、限定公開であっても転送してしまうフォロワーが居る事を、それを当該アルバイトの方々も身にしみたかも知れません。

それがSNS社会である、だからこそSNSに発信する情報には気をつけなければならない(時もある)のだと思います。

 

映像を見ると・・・氷の様なモノを床に投げている様なシーンと、おたまを股間に当てている様なシーンがチラッと映っています。店内での悪ふさげ(店内に客はいなかった様ですが)ではありますが、衛生上問題と考えられるのは、奥の店員がおたまを1秒程、動かしたシーンだけかも知れません。

 

たかだか数秒の映像で、これだけ叩かれてしまうのは、恐らく2013年頃に事件が頻発した事が大きいかも知れません。

 

改めて調べてみたのですが、すき家は3年前にもバイトテロをやられていました。

 

参考:すき家(お椀を床置きする)2015年1月  Twitter投稿

breaking-news.jp

  ■当該バイトの通う高校、進学先情報がネットで暴露される

 

それ以前の記事は、名が知れた企業で発生したのは2013年に集中していました。(調べればもっと出てくるのかも知れませんが)あわせて、その後どうなったのか、、、についても分かる範囲で書いておきました。損害賠償については、そう大きな賠償金が取れている訳ではない様で、事実上は、バイトテロ側に有利で企業側はやられ損な感じがします。そうした意味においては、”教育”・”啓蒙”を定期的に実施しないと、2013年を知らない新たなチャレンジャーがバイトテロ予備軍として入ってきてしまうかも知れません。

 

参考:はま寿司8号鯖江店(営業時間中にはさみの天ぷらをつくる)2013年 Twitter投稿

blog.esuteru.com

 ■当該従業員は厳重に処分

 

参考:東急ストア戸塚店(バイト中にグレープフルーツを咥える)2013年9月

blog.esuteru.com

 ■当該従業員に対する厳重な処分(解雇)

 

参考:バーガーキング(廃棄されずバンズの上に寝る従業員)2013年6月

girlschannel.net

 ■社内コンプライアンス体制の強化

 ■当該従業員に対する厳重な処分

 

参考:白木屋(キャベツのお面でタバコを吸う従業員)2013年9月 Twitter投稿

yukawanet.com

  ■近畿大学は本人を呼び、お店への謝罪を指導

 

参考:ビロンコビリー足立梅島店(冷蔵庫に入る従業員)2013年8月

getnews.jp

 ■休業

 ■当該従業員の解雇

 ■店内清掃

 ■当該店舗の閉店

 

参考:蕎麦屋 泰尚(洗浄機に入るバイト)2013年7月 Twitter投稿

girlschannel.net

 ■2013年8月に閉店、10月に破産(3300万円の負債)

 ■元従業員への損害賠償請求は1385万円 >和解額129万円

 ■通っていた大学(多摩大学)は懲戒処分(停学)を発表

 

参考:ピザハット高井戸店(アルバイト従業員がピザ記事を顔に貼りつける)2013年5月 Twitter投稿 公式謝罪

getnews.jp

 ■閉店後の廃棄食材を使っていた事が判明

 ■当該アルバイト従業員の厳正なる処分

 ■全店舗に対する指導教育の徹底

 

参考:ピザーラ東大和店(シンクや冷蔵庫に入るバイト)2013年8月 Twitter投稿

jin115.com

 ■当該店の営業を停止

 ■保存してある食材の廃棄とシンクならびに冷蔵庫の清掃消毒

 ■当該アルバイト従業員の厳正なる処分

 ■全店舗に対する指導教育の徹底

 ※FCとして当該店運営の(有)ワンダーは、2015年10月に事業停止、2016年7月に破産

 

参考:ファミリーマート(店員が来店した香川選手の防犯画像を公開)2013年7月  Twitter投稿

blog.esuteru.com

 ■コンプライアンス指導の再徹底

 

参考:ローソン(アイスクリームケースに入る従業員)2013年6月 Facebook投稿

getnews.jp

 ■FC加盟店契約解約(>直営店)

 ■当該従業員の解雇と他従業員の再教育

 ■当該店舗の一時休業

 

ãã¤ãç²ãã®ã¤ã©ã¹ãï¼ç·æ§ï¼

 

更新履歴

  • 2019年2月2日PM(予約投稿)

 

宅ふぁいる便への不正アクセスの影響

考えてみた。

宅ふぁいる便について、漏洩したパスワードが平文だった事、個人情報の種類が当初発表以上に広がっている事が報じられていました。

www.jiji.com

 

大阪ガス子会社オージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」の会員情報約480万人分が、不正アクセス被害を受けて流出した。暗号化されていない状態のパスワードなども含まれることから、同社の情報管理の甘さを指摘する声がある一方、専門家は「パスワードの使い回しをやめるなど自己防衛も心掛けて」と利用者に対しても注意を促している。
 宅ふぁいる便は、画像や動画などメールで送れない大量データを転送するサービス。無料で利用でき、仕事で使っている人も多いとみられる。
 退会者を含む会員の名前や生年月日に加え、ログインに必要なメールアドレスやパスワードも流出した。パスワードは暗号化されずに管理されており、ITジャーナリストの三上洋氏は「かなり古い仕組み。ここ15年くらいで一番ひどい被害だ」と指摘する。

(jiji.com記事より引用)

 

◆キタきつねの所感

2/1現在、公式発表は第3報まで出ていますが、ログインパスワードが暗号化されてなかった(平文だった)部分については、記載がありません。アレと思って調べてみると、ひっそりとQAに書かれていました。

f:id:foxcafelate:20190201201802j:plain

 

もしかすると、事件の影響範囲を小さく見せようとする目的があったのかも知れませんが、三上さんのコメントもあってか、すぐに報道されましたので意図があったのだとすると、成功したとは言えないかも知れません。

また、公式発表(第3報)にある、

 f:id:foxcafelate:20190201202751j:plain

 

二次被害の部分が今の時点では無いという部分は、平文パスワードが数百万件漏洩したという事実から考えると、今後じわじわと影響が出てくる(パスワードの使いまわし攻撃で使わてしまう)のではないかなと思います。

 

もう1つ気になる記事を読みました。

www.fnn.jp

 

――なぜログインパスワードは暗号化されていなかった?

宅ふぁいる便は20年ぐらい前から動いているサービスで最初から暗号化はされていませんでしたが、いつか暗号化しなければならないという予定はありました
ただサービスが大きいことと資源の問題などもあったため、計画を立ているところで今回の漏えいが起きてしまいました。

(FNN記事より引用)

 

予定がありました計画を立てているところでした・・・。この回答は事件対応としては模範解答例なのかも知れませんが、要は『やってませんでした』『自社で起きるとは思ってませんでした』と同義な気がします。

規模が大きいかったとしても、20年やらなくて良い理由にはならないのではないでしょうか?

 

宅ふぁいる便AWSに移行した時期はわかりませんが、移行時には少なくてもこうしたセキュリティの脆弱性は改善できたはずです。システムリプレイスやクラウド移行時にやらないで、いつやるつもりだったのでしょうか???

 

平文パスワード保存ばかりが攻めらている感がありますが、私はどうやって侵入されたかが非常に気になります。0ディ攻撃やAPT攻撃だった可能性もあるのだと思いますが、AWS実装として、他社の気をつけるべきポイントとなると思うだけに、出来れば公式発表の続報で、侵入経緯を説明して欲しいと、漏洩対象の1ユーザとして思います。

 

さて、、前回の記事(1/28)、相当感心が高い人が多かった様で、非常に多くのアクセスがありました。2日間で15,000アクセス位ありました。(普段は100-300アクセス/日程度なのですが・・)根岸さんらにコメントを頂いた年始の『私のセキュリティ情報収集法を整理してみた。記事でも2,500アクセスでしたので、多くのユーザが居た宅ふぁいる便に対する関心を非常に強く感じました。

 

併せて、多くのユーザが利用するからこそ、セキュリティ対策を怠ると一瞬にして信用が無くなってしまう可能性がある事を、多くの企業に知らしめた事件となってしまった気がします。

 

f:id:foxcafelate:20190201200950j:plain

f:id:foxcafelate:20190201201008j:plain



 

 è¾ããã«è·ç©ãéã¶ééå¡ã®ã¤ã©ã¹ãï¼ç·æ§ï¼

 

 

 

更新履歴

  • 2019年2月1日PM(予約投稿)