2016.09.01(木)

サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法!

製品・サービス・業界動向 業界動向

 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。
 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではないかと思うわけである。


>> 目からうろこが落ちる発想の転換! 個人情報なんか漏れても問題ない!?
このところの動きを見ていると、どうやら世間では

 ・脆弱であることを知っていながら、それを放置してサーバを運営することは問題ではない。
 ・上記に関して刑事責任を問われることもない
 ・損害賠償(民事上の責任)はしなくてもいいし、してもいい。民事で告訴されることはめったにない。

ということになっているらしい。
 今回の事件についてもACCSが脆弱性を放置し、個人情報を漏洩させてしまったことには刑事責任は問われないし、被害者にもなんも保障もしないようである。
 office 氏が個人情報を公開してしまったことは問題であると認識しているが、その一方で脆弱性を放置し個人情報を漏洩にいたった側にも同様の責任があると感じている。
 被害者とっては、どちらも office 氏もACCSも加害者なのである。

 とはいえ、どうもそのようには、世の中は動いていないらしい。
 脆弱性を放置し、問題が発生してもおとがめなしであるなら、放置した方がお得というものである。

個人情報流出はネット公害 当事者意識のない企業と関係官庁(2002.9.2)
https://www.netsecurity.ne.jp/article/1/6487.html

IT政策大綱の正しい読み方 〜多様性廃し経済性優先。
尊い犠牲者大量募集!〜(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7116.html

 以前から、そうじゃないかとは思っていたが、やはりそうだったのである。しかも、今回は、これをさらに発展させて新しい防御メソッドまで登場した。題して「メソッドA」である。


>> 必殺! サイバーノーガード戦法! メソッドA

「利用者のみなさまへ
本サイトはメソッドA サイバーノーガード戦法で運用しております。
本サーバには脆弱性がありますが、それを利用して情報を抜き出した場合、不正アクセス禁止法および威力業務妨害により刑事罰に処せられる可能性があります。当社は、こうしたクラッキング活動に対して徹底して戦い、利用者の方の保護に全力をつくします。」

メソッドAとは要するにこういうことである。

その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。

その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

その5 もし、本当に被害が発生したら、迅速にお詫びのメールを被害者に送付する。世間がうるさかったら、商品券でも送る。商品券のコストがセキュリティ投資のコストを上回る可能性はまずないので、これでも損ではない。

 なお、タイトルにある「安全」というのは、運営者が安全という意味で利用者はきわめて危険な状態におかれる。


>> 深く静かに広がるサイバーノーガード戦法 メソッドA

 筆者は寡聞にして知らなかったが、このメソッドAは、かなり広く普及しているらしい。

 そういえば、筆者が脆弱性を通知したサイトの多くもこのメソッドにしたがって「よその人間にセキュリティの問題を指摘されるのは不快である。これ以上いうと訴える」とか「お互いに不幸なことになりますので、ご配慮たまわりたくお願い申し上げます」といったお話しをいただくことも少なくなかった。
 筆者の知らないところでこうした事態が進行し、さらにはロビイスト活動を行ってサーバ管理者が絶対負けない=ノーガードでも安心な状況になっていたとはびっくりである。

 というわけで筆者は、これからノーガード戦法=メソッドAの導入実態と運営ノウハウなどを調査してみたいと思っている。
 読者の方で「ぜひ、うちで実施しているメソッドAを紹介して欲しい」という方は、下記のアドレスまでメールで投稿していただければ幸いである。

投稿アドレス scan@vagabond.co.jp


[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html

《ScanNetSecurity》

製品・サービス・業界動向 アクセスランキング

  1. OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

    OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

  2. 「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

    「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

  3. 「ポケモンGO」のBAN基準を解説、サーバーからデータを不正取得するマップツールは引き続きBAN対象に(ナイアンティック)

    「ポケモンGO」のBAN基準を解説、サーバーからデータを不正取得するマップツールは引き続きBAN対象に(ナイアンティック)

  4. イントラネット監視と従業員監視が協業、ハッカーも内部不正も検知(セキュリティフライデー、インターコム)

  5. SIEMを評価導入し、脅威動向を可視化する「スポットログ評価サービス」(NTTデータ先端技術)

  6. Linkedinでの情報流出を受け、一部ユーザーにパスワード変更を呼びかけ(Dropbox)

  7. BCPへの対応力を強化した「三鷹第二データセンター(仮称)」の建設を開始(NTTデータ)

  8. 「SharePoint Online」上のファイルを暗号化するソリューション(日立ソリューションズ)

  9. 「ポケモンGO」アップデート、不正行為への対策も強化(ナイアンティック)

  10. ホスティング事業者向けに3種類のSSLサーバ証明書をAPI提供(シマンテック)

  11. Citizen LabとLookoutから指摘を受けたセキュリティ問題を修正したiOS 9.3.5をリリース(Apple)

  12. 非認可の不正APや不正デバイスを検知し遮断、Wi-Fiセキュリティセンサーを販売開始(レンジャーシステムズ)

  13. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  14. 振り込め詐欺や迷惑電話対策の機能を強化したデジタルコードレス電話機を発売(パナソニック)

  15. ランサムウェアの暗号化を検知し復旧する「ウイルスバスター」最新版(トレンドマイクロ)

  16. ネットワーク“迷宮化”ソリューションにランサムウェア検知・防御機能(アズジェント)

  17. 暗号処理にかかるエネルギーを50%以上削減、IoT機器の次世代ネットワークの安全性向上に期待(東北大学、NEC)

  18. 内部脅威対策製品にデジタル変革の波、外部脅威対策製品より伸びる予測(IDC Japan)

  19. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  20. 組織内CSIRTの構築から運営までを総合的に支援するソリューション(IIJ)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×