2016.07.26(火)

サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法!

製品・サービス・業界動向 業界動向

 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。
 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではないかと思うわけである。


>> 目からうろこが落ちる発想の転換! 個人情報なんか漏れても問題ない!?
このところの動きを見ていると、どうやら世間では

 ・脆弱であることを知っていながら、それを放置してサーバを運営することは問題ではない。
 ・上記に関して刑事責任を問われることもない
 ・損害賠償(民事上の責任)はしなくてもいいし、してもいい。民事で告訴されることはめったにない。

ということになっているらしい。
 今回の事件についてもACCSが脆弱性を放置し、個人情報を漏洩させてしまったことには刑事責任は問われないし、被害者にもなんも保障もしないようである。
 office 氏が個人情報を公開してしまったことは問題であると認識しているが、その一方で脆弱性を放置し個人情報を漏洩にいたった側にも同様の責任があると感じている。
 被害者とっては、どちらも office 氏もACCSも加害者なのである。

 とはいえ、どうもそのようには、世の中は動いていないらしい。
 脆弱性を放置し、問題が発生してもおとがめなしであるなら、放置した方がお得というものである。

個人情報流出はネット公害 当事者意識のない企業と関係官庁(2002.9.2)
https://www.netsecurity.ne.jp/article/1/6487.html

IT政策大綱の正しい読み方 〜多様性廃し経済性優先。
尊い犠牲者大量募集!〜(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7116.html

 以前から、そうじゃないかとは思っていたが、やはりそうだったのである。しかも、今回は、これをさらに発展させて新しい防御メソッドまで登場した。題して「メソッドA」である。


>> 必殺! サイバーノーガード戦法! メソッドA

「利用者のみなさまへ
本サイトはメソッドA サイバーノーガード戦法で運用しております。
本サーバには脆弱性がありますが、それを利用して情報を抜き出した場合、不正アクセス禁止法および威力業務妨害により刑事罰に処せられる可能性があります。当社は、こうしたクラッキング活動に対して徹底して戦い、利用者の方の保護に全力をつくします。」

メソッドAとは要するにこういうことである。

その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。

その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

その5 もし、本当に被害が発生したら、迅速にお詫びのメールを被害者に送付する。世間がうるさかったら、商品券でも送る。商品券のコストがセキュリティ投資のコストを上回る可能性はまずないので、これでも損ではない。

 なお、タイトルにある「安全」というのは、運営者が安全という意味で利用者はきわめて危険な状態におかれる。


>> 深く静かに広がるサイバーノーガード戦法 メソッドA

 筆者は寡聞にして知らなかったが、このメソッドAは、かなり広く普及しているらしい。

 そういえば、筆者が脆弱性を通知したサイトの多くもこのメソッドにしたがって「よその人間にセキュリティの問題を指摘されるのは不快である。これ以上いうと訴える」とか「お互いに不幸なことになりますので、ご配慮たまわりたくお願い申し上げます」といったお話しをいただくことも少なくなかった。
 筆者の知らないところでこうした事態が進行し、さらにはロビイスト活動を行ってサーバ管理者が絶対負けない=ノーガードでも安心な状況になっていたとはびっくりである。

 というわけで筆者は、これからノーガード戦法=メソッドAの導入実態と運営ノウハウなどを調査してみたいと思っている。
 読者の方で「ぜひ、うちで実施しているメソッドAを紹介して欲しい」という方は、下記のアドレスまでメールで投稿していただければ幸いである。

投稿アドレス scan@vagabond.co.jp


[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html

《ScanNetSecurity》

製品・サービス・業界動向 アクセスランキング

  1. 八重洲に産官学連携の寄附講座、サイバーセキュリティのトップガンを育成(東京大学大学院情報学環)

    八重洲に産官学連携の寄附講座、サイバーセキュリティのトップガンを育成(東京大学大学院情報学環)

  2. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

    日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  3. 人工知能を活用したアルゴリズムで未知の脅威の検知・駆除・追跡を実現(MOTEX)

    人工知能を活用したアルゴリズムで未知の脅威の検知・駆除・追跡を実現(MOTEX)

  4. Windows 10へのアップグレード、確認・留意が必要な事項について注意を呼びかけ(消費者庁)

  5. Windows 10無料相談窓口開設、製品利用有無に関わらず利用可(トレンドマイクロ)

  6. 32種のセキュリティ事故に立ち向かう無償ボードゲーム、CSIRT 演習用(トレンドマイクロ)

  7. アライドテレシスのUTM&VPNルータに、ラックの「脅威情報リスト」を提供(ラック)

  8. 「Pokemon GO」の日本配信に伴い安全対策を公開、規約を違反したユーザーにはペナルティも(ポケモン)

  9. 神社境内地での「Pokemon GO」プレイを禁止に(出雲大社)

  10. 「ポケモンGO」に関する注意喚起、ハッカーへの警戒や出会い系アプリに発展する危険性なども記載(NISC)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×