サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法! | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.20(木)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法!

 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。  はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではな

製品・サービス・業界動向 業界動向
 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。
 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではないかと思うわけである。


>> 目からうろこが落ちる発想の転換! 個人情報なんか漏れても問題ない!?
このところの動きを見ていると、どうやら世間では

 ・脆弱であることを知っていながら、それを放置してサーバを運営することは問題ではない。
 ・上記に関して刑事責任を問われることもない
 ・損害賠償(民事上の責任)はしなくてもいいし、してもいい。民事で告訴されることはめったにない。

ということになっているらしい。
 今回の事件についてもACCSが脆弱性を放置し、個人情報を漏洩させてしまったことには刑事責任は問われないし、被害者にもなんも保障もしないようである。
 office 氏が個人情報を公開してしまったことは問題であると認識しているが、その一方で脆弱性を放置し個人情報を漏洩にいたった側にも同様の責任があると感じている。
 被害者とっては、どちらも office 氏もACCSも加害者なのである。

 とはいえ、どうもそのようには、世の中は動いていないらしい。
 脆弱性を放置し、問題が発生してもおとがめなしであるなら、放置した方がお得というものである。

個人情報流出はネット公害 当事者意識のない企業と関係官庁(2002.9.2)
https://www.netsecurity.ne.jp/article/1/6487.html

IT政策大綱の正しい読み方 〜多様性廃し経済性優先。
尊い犠牲者大量募集!〜(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7116.html

 以前から、そうじゃないかとは思っていたが、やはりそうだったのである。しかも、今回は、これをさらに発展させて新しい防御メソッドまで登場した。題して「メソッドA」である。


>> 必殺! サイバーノーガード戦法! メソッドA

「利用者のみなさまへ
本サイトはメソッドA サイバーノーガード戦法で運用しております。
本サーバには脆弱性がありますが、それを利用して情報を抜き出した場合、不正アクセス禁止法および威力業務妨害により刑事罰に処せられる可能性があります。当社は、こうしたクラッキング活動に対して徹底して戦い、利用者の方の保護に全力をつくします。」

メソッドAとは要するにこういうことである。

その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。

その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

その5 もし、本当に被害が発生したら、迅速にお詫びのメールを被害者に送付する。世間がうるさかったら、商品券でも送る。商品券のコストがセキュリティ投資のコストを上回る可能性はまずないので、これでも損ではない。

 なお、タイトルにある「安全」というのは、運営者が安全という意味で利用者はきわめて危険な状態におかれる。


>> 深く静かに広がるサイバーノーガード戦法 メソッドA

 筆者は寡聞にして知らなかったが、このメソッドAは、かなり広く普及しているらしい。

 そういえば、筆者が脆弱性を通知したサイトの多くもこのメソッドにしたがって「よその人間にセキュリティの問題を指摘されるのは不快である。これ以上いうと訴える」とか「お互いに不幸なことになりますので、ご配慮たまわりたくお願い申し上げます」といったお話しをいただくことも少なくなかった。
 筆者の知らないところでこうした事態が進行し、さらにはロビイスト活動を行ってサーバ管理者が絶対負けない=ノーガードでも安心な状況になっていたとはびっくりである。

 というわけで筆者は、これからノーガード戦法=メソッドAの導入実態と運営ノウハウなどを調査してみたいと思っている。
 読者の方で「ぜひ、うちで実施しているメソッドAを紹介して欲しい」という方は、下記のアドレスまでメールで投稿していただければ幸いである。

投稿アドレス scan@vagabond.co.jp


[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC) 画像

仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC)
MyJCBを騙るフィッシングメール、期限を設定も記載はなし(フィッシング対策協議会) 画像

MyJCBを騙るフィッシングメール、期限を設定も記載はなし(フィッシング対策協議会)
Appleが「Safari」「iOS」など5製品のセキュリティアップデートを公開(JVN) 画像

Appleが「Safari」「iOS」など5製品のセキュリティアップデートを公開(JVN)
正規のデジタル証明書で署名されたマルウェアを確認(カスペルスキー) 画像

正規のデジタル証明書で署名されたマルウェアを確認(カスペルスキー)
複数のFXC製ネットワーク機器に、任意スクリプト実行の脆弱性(JVN) 画像

複数のFXC製ネットワーク機器に、任意スクリプト実行の脆弱性(JVN)
月例セキュリティ情報、1件に「悪用の事実を確認済み」(IPA、JPCERT/CC) 画像

月例セキュリティ情報、1件に「悪用の事実を確認済み」(IPA、JPCERT/CC)

インシデント・事故 記事一覧へ

リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング) 画像

リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)
ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン) 画像

ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)
特定条件での脆弱性が発覚、「消費税転嫁・下請取引申告受付システム」を一時停止(経済産業省) 画像

特定条件での脆弱性が発覚、「消費税転嫁・下請取引申告受付システム」を一時停止(経済産業省)
サーバへの不正アクセスでデータ書き換え被害、一部データは復元不可能に(BCCKS) 画像

サーバへの不正アクセスでデータ書き換え被害、一部データは復元不可能に(BCCKS)
ローソンIDサイトにパスワードリスト攻撃が多発、全パスワードのリセットを実施(ローソン) 画像

ローソンIDサイトにパスワードリスト攻撃が多発、全パスワードのリセットを実施(ローソン)
海外語学研修先のオーストラリアで生徒の個人情報を紛失(立命館宇治中学校・高等学校) 画像

海外語学研修先のオーストラリアで生徒の個人情報を紛失(立命館宇治中学校・高等学校)

調査・レポート・白書 記事一覧へ

パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード) 画像

パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード)
IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック) 画像

IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック)
世界の子供の夏休みオンライン活動、統計データ(カスペルスキー) 画像

世界の子供の夏休みオンライン活動、統計データ(カスペルスキー)
拡張子「.iqy」のファイルが添付されたマルウェアメールが増加(IIJ) 画像

拡張子「.iqy」のファイルが添付されたマルウェアメールが増加(IIJ)
フィッシング詐欺が過去最大、法人を狙うケースも(トレンドマイクロ) 画像

フィッシング詐欺が過去最大、法人を狙うケースも(トレンドマイクロ)
不正払い戻しの被害が個人・法人ともに増加、口座不正利用被害も微増(全銀協) 画像

不正払い戻しの被害が個人・法人ともに増加、口座不正利用被害も微増(全銀協)

研修・セミナー・カンファレンス 記事一覧へ

サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進む 画像

サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進む
“衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催 画像

“衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催
つながる世界の安全をテーマに「Trend Micro DIRECTION」東京・大阪で開催(トレンドマイクロ) 画像

つながる世界の安全をテーマに「Trend Micro DIRECTION」東京・大阪で開催(トレンドマイクロ)
「会いに行ける編集長 」ScanNetSecurity 上野宣も登壇、事例に学ぶ組織的セキュリティ対策セミナー(マイナビ) 画像

「会いに行ける編集長 」ScanNetSecurity 上野宣も登壇、事例に学ぶ組織的セキュリティ対策セミナー(マイナビ)
すでに満席も、Security Days Fall 2018 を大阪・東京で開催(ナノオプト・メディア) 画像

すでに満席も、Security Days Fall 2018 を大阪・東京で開催(ナノオプト・メディア)
ペンテストのエキスパートトレーニングを開催(ナノオプト・メディア) 画像

ペンテストのエキスパートトレーニングを開催(ナノオプト・メディア)

製品・サービス・業界動向 記事一覧へ

新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ) 画像

新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ)
2つのアンチウイルスとIT資産管理を1つのクラウドサービスで提供(IIJ) 画像

2つのアンチウイルスとIT資産管理を1つのクラウドサービスで提供(IIJ)
他社での被害や対処事例も、セキュリティ・カウンセリングサービス(NRIセキュア) 画像

他社での被害や対処事例も、セキュリティ・カウンセリングサービス(NRIセキュア)
日本に22番目の拠点を設立、シェア3位を狙う(ESET、キヤノンITS) 画像

日本に22番目の拠点を設立、シェア3位を狙う(ESET、キヤノンITS)
PCや入館証等の法人向け紛失防止サービス、月480円 SaaS版も提供(MAMORIO) 画像

PCや入館証等の法人向け紛失防止サービス、月480円 SaaS版も提供(MAMORIO)
「将来の脅威を予測し新技術を先行開発」--ウイルスバスター新版(トレンドマイクロ) 画像

「将来の脅威を予測し新技術を先行開発」--ウイルスバスター新版(トレンドマイクロ)

おしらせ 記事一覧へ

編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×