いくらセキュリティ教育をしても、モラルがこれじゃあ・・・。
大半のIT管理者は「明日解雇されるなら機密情報を持ち出す」--米調査:ITpro
記事によると、
情報セキュリティ会社の米Cyber-Ark Softwareは米国時間2008年8月27日,企業のIT管理者300人を対象とした意識調査の結果を発表した。それによると,回答者の88%は「明日解雇されるとしたら,会社の機密情報を持ち出す」という衝撃の事実が判明した。「会社の情報を持ち出さずに離職する」とした回答者はわずか12%にすぎなかった。
IT管理者が持ち出そうと考えている情報は,最高経営責任者(CEO)のパスワード,顧客データベース,研究開発計画,財務報告,M&A(企業の買収・合併)計画のほか,さまざまな権限を行使できるパスワードのリストなどが含まれる。「会社の情報を持ち出す」と答えた88%のうち約3分の1は,このパスワード・リストを持っていくとしている。
要は、解雇した側がちゃんとアクセス権の削除などの措置をきちんとしなきゃいけないってことなんでしょうねー。
米国のコンピュータ・セキュリティ事件の傾向について、コンピュータ・セキュリティの教育を行う米SANSインスティチュートの代表、アラン・パーラー氏に聞いた際にアルカイダの演説について、触れたときの一言。
アルカイダ幹部の演説は、最後に必ず「コーランを勉強せよ。そして,米国を倒すためにコンピュータを勉強せよ。」で締めくくるそうです。
攻撃の武器に、テロ組織がコンピュータの勉強を推奨しているという事実は初めて知りました。
インターネットの世界では、全世界がつながっているわけで彼らがやろうと思えばいつでも攻撃が出来る状況になっているわけで。ますます、セキュリティを勉強することの意義を感じてしまう今日この頃です。
コンピュータウィルスの感染はついに地球外に飛び出した模様。
USBメモリで感染か:宇宙ステーションがマルウェアに感染 - ITmedia エンタープライズ
ちゃんとウィルス対策ソフトで検知されたそうですが、ちょっとお粗末な状況ですね。
すごいデータです。
2008年1月現在で全世界におけるISMS認証取得を受けている組織のうち、約60%は日本が占めているんだそうです。
ISMS認証取得数 東京が32%で世界一! - [企業のIT活用]All About
この記事、タイトルこそ東京が32%!といってますが日本のシェアが60%っていうほうがすごいとおもう。
国別ISMS認証取得数は、上記記事から引用。
国別ISMS認証取得数 2008年1月現在
1.日本 2,354
2.インド 370
3.イギリス 366
4.台湾 154
5.ドイツ 90
6.中国 80
7.韓国 59
8.米国 57
9.ハンガリー 56
10.オーストラリア 53
2位のインドと比べても、6倍強という圧倒的な数です。海外の人と、ISMS認証の話をするときには頭の片隅においといたほうがよさげな情報ですねー。
すごいツールを考えた人がいるものです。
以下、サイトから記事引用。
パソコン内のファイルの取扱いの重要性と情報流出の恐ろしさを体験して、情報流出を予防する意識を高めるために開発されたのが「暴露ウイルス体験ツール」です。
ユーザは、このツールをPC上で実行するだけで、Winny等を介してウイルスに感染した際、システムディスク内のどのようなファイルが、いかなるファイル名でネットワーク上に流出するのかを擬似体験することができます。
感染を擬似体験することにより、パソコン上のファイルの把握、不要ファイル及びアプリケーションを見直すきっかけとなります。
このツールをつかうと、仮に暴露ウィルスに感染した場合に
・作成されるZIPファイル(暴露されるものネタ)
と
・ZIPファイルに格納される中身のファイル群
を確認することが出来ます。ためしにボクもやってみたのですが、ホントに無作為に抽出するので、あんなものやこんなものなど無神経に詰め込んでくれてます。
これはホントに嫌です。
実際のファイル圧縮、ファイル作成は実施しません。
ディスクへの書き込み、外部への送信・公開等は発生しません。
ということですので、みなさんもぜひやってみてくださいー。
巷で話題となっている「SQLインジェクション」について、ネット上に公開されている情報を調べてみました。まず、なんでこんなに騒がれているのか知りたかったので、実際に被害のあった企業のリストを知りたい!、と思っていたのですが一番、わかりやすくかったのはWikipediaでした。
この記事の中で、実例というカテゴリーがあるのですが圧巻です。引用しますー。
# 2005年3月に発生した、クラブツーリズムのクレジットカード情報を含む個人情報漏洩。同年6月にクラブツーリズムを含む14社への不正アクセスの疑いで中国人留学生が逮捕された。
# 2005年5月に発生した、価格.comのWebサイト改ざんの手口は、公式には秘匿されているが、SQLインジェクションによるものであるという説がある。クラブツーリズム事件の犯人は価格.comへの不正アクセスも行っていた。
# 2005年6月に判明した、アデコの個人情報漏洩。クラブツーリズム事件と同一犯。
# 2005年8月に判明した、静岡新聞社アットエスの個人情報漏洩。クラブツーリズム事件と同一犯。
# 2005年11月に発生した、ワコールオンラインショップのクレジットカード情報を含む個人情報漏洩。
# 2005年11月に発生した、キッズオンラインのアカウント情報漏洩。
# 2006年1月に判明した、スカイソフトのクレジットカード情報を含む個人情報漏洩。スカイソフトは閉店へと追い込まれた。
# 2006年4月に発生した、るるぶのアカウント情報漏洩。
# 2006年6月に発生した、日本体育協会のWebサイト改ざん。
# 2007年7月に判明した、@SOLAショップのクレジットカード情報を含む個人情報漏洩。@SOLAショップは休業となり、2008年8月時点でも再開できていない。
# 2008年3月に発生した、トレンドマイクロ、@nifty、クリエイティブメディアのWebサイト改ざん。
# 2008年3月に発生した、サウンドハウスのクレジットカード情報を含む個人情報漏洩。過去に設置された不正プログラムを経由して不正アクセスが行われた疑いがある。
# 2008年4月に発生した、カービューのWebサイト改ざん。
# 2008年5月に発生した、アイドラッグストアー、アイビューティーストアーのクレジットカード情報を含む個人情報漏洩。
# 2008年5月に発生した、富士山マガジンサービスのWebサイト改ざん。
# 2008年6月に発生した、アイリスプラザのクレジットカード情報漏洩。
# 2008年7月に判明した、ナチュラムのクレジットカード情報を含む個人情報漏洩。過去に設置された不正プログラムを経由して不正アクセスが行われた疑いがある。
# 2008年7月に発生した、米国向けプレイステーションのWebサイト改ざん。
マジで猛威を振るってますねー。これらの企業の技術者の人たち、本当にかわいそう(泣)
このような事態を受けて、情報処理推進機構は2008年5月に
情報処理推進機構:情報セキュリティ:脆弱性対策:SQLインジェクション攻撃に関する注意喚起
という注意喚起を行っています。そして、WEBサーバのアクセスログを用いてSQLインジェクションの脆弱性を検知するツールを公開しています。
情報処理推進機構:情報セキュリティ:脆弱性対策:ウェブサイトの脆弱性検出ツール
対応するWEBサーバのログは、
# IIS5.0/6.0のW3C拡張ログファイルタイプ
# Apache HTTP Server1.3系/2.0系/2.2系のcommonタイプ
ということですので、興味ある方はぜひー。
ちなみに、そもそもSQLインジェクションってどういう仕組みなのかについては以下の記事に掲載されてます。
サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法:スペシャル - ZDNet Japan
ハッカーの金鉱脈「SQLインジェクション」の正体:ITpro
WEBサーバーを運営している技術者の方々は、これらの情報をしっておかないと大変なことになりそうです。
ウィルスを作成する人たちも、いろいろなことを考えているようですね。
「パスワード保護」されたウイルス出現、狙いは「対策ソフトの回避」:ITpro
以下、ITproからの引用。
今回報告されたメールは、添付されたウイルスファイルを、グルジア紛争に関連した衝撃写真に見せかけて開かそうとする(図1)。メールは英語。件名は「Journalists shot in Georgia(グルジアでジャーナリストが撃たれる)」。メールの本文には、「添付されているファイルは、グルジア紛争を取材中のジャーナリストが撃たれた瞬間を写したもの」といった内容が書かれている。
そして、ファイルはパスワード保護された圧縮ファイル(ZIPファイル)であり、そのパスワードは「123」であるといったことが記述されている。
実際、添付されているファイル「Georgia.zip」は、パスワード保護された圧縮ファイル。パスワードとして「123」を入力すると展開されて、「joined.exe」という実行形式ファイルが生成される(図2)。これがウイルスの実体。実行すると、攻撃者のWebサイトから、いわゆる「偽ソフト(偽のセキュリティソフト)」をダウンロードして実行する。
確かに、最近のプロバイダや企業のメールサーバーでは、ウィルスチェックサーバーを用意していることも多いので、普通のウィルスはこのサーバーにおいて駆除されてしまう可能性は高いわけで。
逆に、ウィルスサーバーを経由しているからといって、上記のようなウィルスは大抵のウィルスチェックソフトの場合、検知は難しいはず。
ただ、報告元のトレンドマイクロによると、
とのこと。ただ、圧縮ファイルそのものをウィルスとして定義していいのか?、という点については利便性の観点から言えばおおきく疑問が残りますね。ただし、圧縮ファイルに含まれるウイルスに対応した対策ソフトを使っている場合には、展開された時点で検出・駆除されるので、感染する恐れはない。また、トレンドマイクロなどでは、圧縮ファイルそのものをウイルスとして登録しているので、展開前に検出・駆除できるとしている。
サラリーマン検定っていうコンテンツがあったんですね。
セキュリーマン検定[番外編] ユミコのセキュリンピック | 情報セキュリティブログ | 日立システムアンドサービス
中身が何かというと、
モバイルで好評いただいた「ユミコのセキュリティ研修」のまとめテスト「ユミコのセキュリンピック」がスタートしました。これは情報セキュリティに関する問題を10題出題。正答数に応じてプレゼントにご応募できるユーザー参加型キャンペーンです。
ネーミングが最高です。
既に米国では数年前から始まっていたGoogleストリートビューですが、日本でも最近になってサービスが提供されました。Googleが独自に撮影した街の様子がインターネット上に公開されていることから、セキュリティの観点からもいろいろなブロガーが自論を繰り広げています。以下にご紹介。
「ストリートビュー問題」をセキュリティ観点から整理する - ただのにっき(2008-08-16)
続・Googleマップの「ストリートビュー」の恐怖。 - XMLがキライ。
Googleストリートビューと周辺諸課題:渡辺聡・情報化社会の航海図 - CNET Japan
ストリートビューは資産価値や家族構成を晒すツール - インタラクション・マーケティング
高木浩光@自宅の日記 - 日本の家屋の塀はグーグル社に適応して70センチ伸びるのか
高木浩光@自宅の日記 - 「この先自動車通り抜けできません」を通り抜けていたGoogleストカー, Googleストカーの目線と常人の目線を比較する
崎山伸夫のBlog - Google ストリートビューのプライバシー問題について改めて
Google ストリートビューに異議アリ! - design,web,computer & others
備忘録として、登録しておきますー。
・2007年度 情報セキュリティインシデントに関する調査報告書
が公開されています。
JNSA セキュリティ被害調査ワーキンググループでは、2006年と同様に、これまでの調査方法を踏襲し、2007年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデントの情報を集計し、分析を行った。
2008年6月に公開されているので、ちょっと古いですがご確認くださいー。
非常に興味深い記事だったので、ご紹介。
Pマーク認定企業の7.5%が情報漏洩事故を起こした - ワークスタイル - nikkei BPnet
特筆すべきところは、
深刻な事故が起こっているにもかかわらず、これまでにPマークの取り消し処分を受けた企業は1社もない。
という点だろう。現状、いくら酷い事故を起こしたからといって、Pマークが取り消された実勢は無いそうです。
この記事では
2007年には、業務で扱ったクレジットカード番号など863万件の個人情報を売却した者が逮捕されるという事件を引き起こしたPマーク取得企業があった
という事件を紹介している。この事件の詳細はコチラから。
やはり、企業としてはPマークを取得することを目的にするのではなく、情報漏えい対策をするための手段として用いるスタンスでないと意味がないんでしょうね。どうやら、Pマークって一度、取り消されてしまうと1年間は認定を受けることができないようです。
たとえば、Pマークにも運転免許のようにランクをつけてみてもいいかもしれないですね。
・情報漏えい事故を○年間、起さなかったらゴールドPマーク
どうかなぁ。
既に、2008年1月の記事ですが、共感できたのピックアップ
「個人情報保護」への過剰反応はやめましょう、内閣府が適切な運用を求める改正案を公開:MarkeZine(マーケジン)
いま、小中学校などでは緊急連絡網を作成することができなくなっているようです。メリット、デメリットはあるとは思うけれども、素人感覚で、
・個人情報保護法の遵守のため、緊急連絡網を廃止します!
なーんて、言われたらビビって従ってしまいますよね。で、内閣府は、必要な対策をとりますー、と言っているわけで。たしかに一人歩きしつつある個人情報保護法の啓蒙活動は必要のような気がします。
ネットスターという会社が「職場でのインターネット利用実態調査」を発表しています。今回で5回目。
職場からのネット利用、私的なサイト閲覧は減少の傾向だが、 プログラム等を個人の判断でダウンロードしている従業員が半数近くも
以下、引用です。
(1)私的利用「ほぼ毎日」は前回調査より減少したが、プログラム等のダウンロード実行経験は半数近くに
(2)従業員の意識・行動は、職場がネット利用ポリシーを定めることで大きく変化
(3)フィルタリング導入済みの職場では、7割超が「業務に必要ないサイト」へのアクセスを制限された経験を持つ
詳しくは
職場からのネット利用、私的なサイト閲覧は減少の傾向だが、 プログラム等を個人の判断でダウンロードしている従業員が半数近くも
で確認してくださいー。
ちなみに、このネットスターという会社はURLフィルタリングの世界では大手のようですね。取引先は
で確認できます。ドコモやウィルコムのフィルタリングURLを提供しているようです。いやー、勉強になります。
無知なことよりも、知っているが使わないほうがいいわけでちょっと迷ったけどご紹介。
アスタリスクで隠されたパスワードを確認する方法 [K'conf]
友達のパソコンなどでやってはいけません。ただ、この記事の教訓としては
アスタリスクで囲まれていたって、閲覧はできてしまう。
ということですね。これに対する対策としては
ブラウザにパスワードを覚えさせないようにする
パスワードを定期的に変更する
とか、なんでしょうね。
2008年8月20日~22日まで、東京ビックサイトにおいて、Security Solution 2008が開催されます。
出展されるものは以下のとおり。
脅威対策ソリューション
ウィルス(ワーム)対策/スパイウエア対策/スパムメール/フィッシング対策/DDoS攻撃対策/フィルタリング/侵入対策/脆弱性対策/ファイアウォール/VPN装置/Webアプリケーションファイアーウォール/IPS/IDS/UTM製品 (統合脅威管理)/検疫ネットワーク/データベースセキュリティ/その他
情報漏えい対策ソリューション
暗号化ツール/ログ管理/ドキュメント管理/コンテンツセキュリティ/シンクライアント/セキュアクライアント/フォレンジック/メール・アーカイブ/DLP(データ流出防止)/その他
アクセス制御ソリューション
生体認証/ワンタイムパスワード/シングルサインオン/認証デバイス/PKI(公開鍵基盤)/アイデンティティ管理/ネットワークアクセス管理(NAC)/その他
物理的セキュリティソリューション
ラックシステム/入退室コントロール/監視・画像伝送システム/装置/監視カメラ/その他
セキュリティマネジメント
セキュリティコンサルティングサービス/セキュリティ関連資格/その他
その他
VPNサービス/データ保護(バックアップ)/出版/その他
事前登録しておくと、入場料が無料になるのでいかれる方はぜひ。
経済産業省のプレスリリースで「平成19年度情報セキュリティ市場調査報告書の公表について」が発表されていました。
調査方法と概要は、プレスリリースから引用。
【調査方法】
(1) 調査方法:アンケート調査、各種統計資料調査、ヒアリング調査、サンプリング調査
(2) 調査対象:国内で情報セキュリティツールを販売、あるいは情報セキュリティサービスを提供していると思われる企業
(3) 調査期間:平成19年11月~12月
(4) アンケート回収数:129件(発送:1,096件 回収率:約12%)
【調査結果概要】
今回調査の基準年度とした平成18年度の市場規模は、5,887億円であり、平成17年度にはじめて5,000億円の大台に乗ったものと見られる市場は、15%弱の高い伸びを示している。また、平成19年度以降も6,562億円、6,938億円と比較的高い成長を続けるものと予測される。
アンケート回収率が約12%っていうのはちょっとさびしいですね。とはいえ、まだまだ高い成長を続けるというのは驚きです。
詳細は、以下のページに載っています。
