サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法! | ScanNetSecurity
2020.09.24(木)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法!

 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。  はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではな

製品・サービス・業界動向 業界動向
 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。
 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではないかと思うわけである。


>> 目からうろこが落ちる発想の転換! 個人情報なんか漏れても問題ない!?
このところの動きを見ていると、どうやら世間では

 ・脆弱であることを知っていながら、それを放置してサーバを運営することは問題ではない。
 ・上記に関して刑事責任を問われることもない
 ・損害賠償(民事上の責任)はしなくてもいいし、してもいい。民事で告訴されることはめったにない。

ということになっているらしい。
 今回の事件についてもACCSが脆弱性を放置し、個人情報を漏洩させてしまったことには刑事責任は問われないし、被害者にもなんも保障もしないようである。
 office 氏が個人情報を公開してしまったことは問題であると認識しているが、その一方で脆弱性を放置し個人情報を漏洩にいたった側にも同様の責任があると感じている。
 被害者とっては、どちらも office 氏もACCSも加害者なのである。

 とはいえ、どうもそのようには、世の中は動いていないらしい。
 脆弱性を放置し、問題が発生してもおとがめなしであるなら、放置した方がお得というものである。

個人情報流出はネット公害 当事者意識のない企業と関係官庁(2002.9.2)
https://www.netsecurity.ne.jp/article/1/6487.html

IT政策大綱の正しい読み方 〜多様性廃し経済性優先。
尊い犠牲者大量募集!〜(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7116.html

 以前から、そうじゃないかとは思っていたが、やはりそうだったのである。しかも、今回は、これをさらに発展させて新しい防御メソッドまで登場した。題して「メソッドA」である。


>> 必殺! サイバーノーガード戦法! メソッドA

「利用者のみなさまへ
本サイトはメソッドA サイバーノーガード戦法で運用しております。
本サーバには脆弱性がありますが、それを利用して情報を抜き出した場合、不正アクセス禁止法および威力業務妨害により刑事罰に処せられる可能性があります。当社は、こうしたクラッキング活動に対して徹底して戦い、利用者の方の保護に全力をつくします。」

メソッドAとは要するにこういうことである。

その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。

その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

その5 もし、本当に被害が発生したら、迅速にお詫びのメールを被害者に送付する。世間がうるさかったら、商品券でも送る。商品券のコストがセキュリティ投資のコストを上回る可能性はまずないので、これでも損ではない。

 なお、タイトルにある「安全」というのは、運営者が安全という意味で利用者はきわめて危険な状態におかれる。


>> 深く静かに広がるサイバーノーガード戦法 メソッドA

 筆者は寡聞にして知らなかったが、このメソッドAは、かなり広く普及しているらしい。

 そういえば、筆者が脆弱性を通知したサイトの多くもこのメソッドにしたがって「よその人間にセキュリティの問題を指摘されるのは不快である。これ以上いうと訴える」とか「お互いに不幸なことになりますので、ご配慮たまわりたくお願い申し上げます」といったお話しをいただくことも少なくなかった。
 筆者の知らないところでこうした事態が進行し、さらにはロビイスト活動を行ってサーバ管理者が絶対負けない=ノーガードでも安心な状況になっていたとはびっくりである。

 というわけで筆者は、これからノーガード戦法=メソッドAの導入実態と運営ノウハウなどを調査してみたいと思っている。
 読者の方で「ぜひ、うちで実施しているメソッドAを紹介して欲しい」という方は、下記のアドレスまでメールで投稿していただければ幸いである。

投稿アドレス scan@vagabond.co.jp


[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

WordPress用プラグイン「File Manager」の脆弱性、最新版へのアップデートを呼びかけ(IPA) 画像

WordPress用プラグイン「File Manager」の脆弱性、最新版へのアップデートを呼びかけ(IPA)
Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN) 画像

Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)
MobileIron提供の複数のMDM関連製品に脆弱性、パッチ適用を呼びかけ(JPCERT/CC) 画像

MobileIron提供の複数のMDM関連製品に脆弱性、パッチ適用を呼びかけ(JPCERT/CC)
TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN) 画像

TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)
10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA) 画像

10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)
Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性、対象製品を追加(JVN) 画像

Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性、対象製品を追加(JVN)

インシデント・事故 記事一覧へ

私的に校内サーバから保護者連絡先を取得、特別支援学校58歳教職員を懲戒処分(宮城県教育委員会) 画像

私的に校内サーバから保護者連絡先を取得、特別支援学校58歳教職員を懲戒処分(宮城県教育委員会)
オンライン融資プラットフォーム開発会社がサービス利用者へメールを誤送信(クレジットエンジン) 画像

オンライン融資プラットフォーム開発会社がサービス利用者へメールを誤送信(クレジットエンジン)
顧客口座への不正アクセスで資産9,864万円が流出(SBI証券) 画像

顧客口座への不正アクセスで資産9,864万円が流出(SBI証券)
「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール) 画像

「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)
社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事) 画像

社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)
LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE) 画像

LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE)

調査・レポート・白書 記事一覧へ

スキャン活動は引き続き活発、すでに2018年の総観測数を突破(NICT) 画像

スキャン活動は引き続き活発、すでに2018年の総観測数を突破(NICT)
わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省) 画像

わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)
コロナウイルス関連のサイバー攻撃が急増--四半期レポート(NTTデータ) 画像

コロナウイルス関連のサイバー攻撃が急増--四半期レポート(NTTデータ)
二段階認証は資産関係でニーズが高いものの、2割は「面倒」(フィッシング対策協議会) 画像

二段階認証は資産関係でニーズが高いものの、2割は「面倒」(フィッシング対策協議会)
半導体と医療、制御システムで起こったランサムウェア事案公開(IPA) 画像

半導体と医療、制御システムで起こったランサムウェア事案公開(IPA)
「対策しないとどうなるか」まで記載、IoTガイドラインの解説編を公開(CCDS) 画像

「対策しないとどうなるか」まで記載、IoTガイドラインの解説編を公開(CCDS)

研修・セミナー・カンファレンス 記事一覧へ

フォレンジック調査の「後」を考えるオンラインセミナー開催 (CrowdStrike) 画像

フォレンジック調査の「後」を考えるオンラインセミナー開催 (CrowdStrike)
選挙へのサイバー攻撃:その真の狙い ~ オランダ、ウクライナ、ギリシャの事例から 画像

選挙へのサイバー攻撃:その真の狙い ~ オランダ、ウクライナ、ギリシャの事例から
優勝賞金100万円、Trend Micro CTF予選開催迫る(トレンドマイクロ) 画像

優勝賞金100万円、Trend Micro CTF予選開催迫る(トレンドマイクロ)
AIで自分のクローンを作る方法 画像

AIで自分のクローンを作る方法
中露が展開する世論ハッキング「キルチェーン」概要 画像

中露が展開する世論ハッキング「キルチェーン」概要
川口洋座談会ウェビナー第2回のテーマは「攻撃者目線でのホワイトボックス診断のメリット」(イエラエセキュリティ) 画像

川口洋座談会ウェビナー第2回のテーマは「攻撃者目線でのホワイトボックス診断のメリット」(イエラエセキュリティ)

製品・サービス・業界動向 記事一覧へ

QRコード決済での不正な銀行口座紐づけ防止策に関するガイドラインを策定(経済産業省) 画像

QRコード決済での不正な銀行口座紐づけ防止策に関するガイドラインを策定(経済産業省)
口座振替による不正出金をふまえ、会員銀行へ認証強化等を示達(全国銀行協会) 画像

口座振替による不正出金をふまえ、会員銀行へ認証強化等を示達(全国銀行協会)
脆弱性検査ツール「Vex」認定資格者を共同育成(ユービーセキュア、パーソルテクノロジースタッフ) 画像

脆弱性検査ツール「Vex」認定資格者を共同育成(ユービーセキュア、パーソルテクノロジースタッフ)
「インターネットトラブル事例集(2020年版)追補版」を公表(総務省) 画像

「インターネットトラブル事例集(2020年版)追補版」を公表(総務省)
Active Directoryへの脅威を初期段階で検出(S&J) 画像

Active Directoryへの脅威を初期段階で検出(S&J)
開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security) 画像

開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)

おしらせ 記事一覧へ

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×