サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法! | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.06.29(木)
コンテンツ
注目検索ワード
記事

サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法!

製品・サービス・業界動向 業界動向

 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。
 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではないかと思うわけである。


>> 目からうろこが落ちる発想の転換! 個人情報なんか漏れても問題ない!?
このところの動きを見ていると、どうやら世間では

 ・脆弱であることを知っていながら、それを放置してサーバを運営することは問題ではない。
 ・上記に関して刑事責任を問われることもない
 ・損害賠償(民事上の責任)はしなくてもいいし、してもいい。民事で告訴されることはめったにない。

ということになっているらしい。
 今回の事件についてもACCSが脆弱性を放置し、個人情報を漏洩させてしまったことには刑事責任は問われないし、被害者にもなんも保障もしないようである。
 office 氏が個人情報を公開してしまったことは問題であると認識しているが、その一方で脆弱性を放置し個人情報を漏洩にいたった側にも同様の責任があると感じている。
 被害者とっては、どちらも office 氏もACCSも加害者なのである。

 とはいえ、どうもそのようには、世の中は動いていないらしい。
 脆弱性を放置し、問題が発生してもおとがめなしであるなら、放置した方がお得というものである。

個人情報流出はネット公害 当事者意識のない企業と関係官庁(2002.9.2)
https://www.netsecurity.ne.jp/article/1/6487.html

IT政策大綱の正しい読み方 〜多様性廃し経済性優先。
尊い犠牲者大量募集!〜(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7116.html

 以前から、そうじゃないかとは思っていたが、やはりそうだったのである。しかも、今回は、これをさらに発展させて新しい防御メソッドまで登場した。題して「メソッドA」である。


>> 必殺! サイバーノーガード戦法! メソッドA

「利用者のみなさまへ
本サイトはメソッドA サイバーノーガード戦法で運用しております。
本サーバには脆弱性がありますが、それを利用して情報を抜き出した場合、不正アクセス禁止法および威力業務妨害により刑事罰に処せられる可能性があります。当社は、こうしたクラッキング活動に対して徹底して戦い、利用者の方の保護に全力をつくします。」

メソッドAとは要するにこういうことである。

その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。

その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

その5 もし、本当に被害が発生したら、迅速にお詫びのメールを被害者に送付する。世間がうるさかったら、商品券でも送る。商品券のコストがセキュリティ投資のコストを上回る可能性はまずないので、これでも損ではない。

 なお、タイトルにある「安全」というのは、運営者が安全という意味で利用者はきわめて危険な状態におかれる。


>> 深く静かに広がるサイバーノーガード戦法 メソッドA

 筆者は寡聞にして知らなかったが、このメソッドAは、かなり広く普及しているらしい。

 そういえば、筆者が脆弱性を通知したサイトの多くもこのメソッドにしたがって「よその人間にセキュリティの問題を指摘されるのは不快である。これ以上いうと訴える」とか「お互いに不幸なことになりますので、ご配慮たまわりたくお願い申し上げます」といったお話しをいただくことも少なくなかった。
 筆者の知らないところでこうした事態が進行し、さらにはロビイスト活動を行ってサーバ管理者が絶対負けない=ノーガードでも安心な状況になっていたとはびっくりである。

 というわけで筆者は、これからノーガード戦法=メソッドAの導入実態と運営ノウハウなどを調査してみたいと思っている。
 読者の方で「ぜひ、うちで実施しているメソッドAを紹介して欲しい」という方は、下記のアドレスまでメールで投稿していただければ幸いである。

投稿アドレス scan@vagabond.co.jp


[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

欧州で被害が確認された「Petya」など、ランサムウェアの新種や亜種に注意(JPCERT/CC) 画像

欧州で被害が確認された「Petya」など、ランサムウェアの新種や亜種に注意(JPCERT/CC)
グローバルIPアドレスが割り振られているPCやサーバなどの対策を呼びかけ(JPCERT/CC) 画像

グローバルIPアドレスが割り振られているPCやサーバなどの対策を呼びかけ(JPCERT/CC)
スライドPDF作成アプリ「Marp」に情報漏えいの脆弱性(JVN) 画像

スライドPDF作成アプリ「Marp」に情報漏えいの脆弱性(JVN)

インシデント・事故 記事一覧へ

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)
建造物侵入・現金窃盗事件で逮捕された元行員が顧客情報を持ち出し(佐賀銀行) 画像

建造物侵入・現金窃盗事件で逮捕された元行員が顧客情報を持ち出し(佐賀銀行)
Apache Struts2 の脆弱性を利用した不正アクセスでアンケート情報流出の可能性(国土交通省) 画像

Apache Struts2 の脆弱性を利用した不正アクセスでアンケート情報流出の可能性(国土交通省)

調査・レポート・白書 記事一覧へ

モバイルマルウェアの倍増とMac向けアドウェアによりマルウェアが増加(マカフィー) 画像

モバイルマルウェアの倍増とMac向けアドウェアによりマルウェアが増加(マカフィー)
ランサムウェア実被害は22%、セキュリティ投資は1千万以上が4割--実態調査(KPMGコンサルティング) 画像

ランサムウェア実被害は22%、セキュリティ投資は1千万以上が4割--実態調査(KPMGコンサルティング)
日本に精通した標的型攻撃「BRONZE BUTLER」の詳細レポートを公開(SecureWorks) 画像

日本に精通した標的型攻撃「BRONZE BUTLER」の詳細レポートを公開(SecureWorks)

研修・セミナー・カンファレンス 記事一覧へ

セキュリティ対策に必要な実践的知識を学ぶ中小企業向け無料セミナー(IPA) 画像

セキュリティ対策に必要な実践的知識を学ぶ中小企業向け無料セミナー(IPA)
無料の夏休み親子教室を開催、子供も注意すべき最新のサイバー犯罪手口を解説(トレンドマイクロ) 画像

無料の夏休み親子教室を開催、子供も注意すべき最新のサイバー犯罪手口を解説(トレンドマイクロ)
スマートフォンの利用が増える夏休み前に親子でセキュリティを考える機会を提供(トレンドマイクロ、LINE) 画像

スマートフォンの利用が増える夏休み前に親子でセキュリティを考える機会を提供(トレンドマイクロ、LINE)

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 給料、現場、成長…、セキュリティの仕事の「今」をセキュ鉄の服部氏に聞いた

    給料、現場、成長…、セキュリティの仕事の「今」をセキュ鉄の服部氏に聞いた

  2. 仮想の企業をネットワーク上に構築、サイバー攻撃を誘引し挙動を観測(NICT)

    仮想の企業をネットワーク上に構築、サイバー攻撃を誘引し挙動を観測(NICT)

  3. ネットワークセキュリティを強化する専用BOXを設置、対応サポートも提供(NTT東日本)

    ネットワークセキュリティを強化する専用BOXを設置、対応サポートも提供(NTT東日本)

  4. 金融機関向けにカスタマイズされた「Splunk」用Appを顧客及び検討中企業へ無償提供(GSX)

  5. 日立の寺田氏、piyokango氏、SECCON実行委員会が総務大臣奨励賞を受賞(総務省)

  6. 規約に同意してワンクリックでWannaCryなどを自己診断(ラック)

  7. AWSユーザ向け、サービスリリース前の脆弱性診断オプション(クラスメソッド)

  8. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  9. 8社でイニシアティブ発足、クラウド時代のセキュリティ対策普及促進を目指す(日本マイクロソフト、ラック)

  10. 国内セキュリティ市場は2,839億円、2021年は2020年までの反動で軟化予測(IDC Japan)

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×