orangeitems’s diary

40代ITエンジニアが毎日何か書くブログ

どうやってセキュリティーを守るかという観点

毎日のように個人情報漏洩の話を聞く。そのたびにセキュリティー設計が悪いとか、経営者が悪いとか、いろんな原因分析がなされるが、根本解決は難しいよなと毎回のように思う。 特に内部流出に関係する案件は考えさせられる。そもそも人間自体にメモリー機能…

curlの脆弱性の件(CVE-2023-38545)メモ

過去最悪の脆弱性が、超有名なコマンドcurlで発見されたということで、巷で噂になっていました。あまりにも最悪と言うことで、修正版が公開される今日までは中身が秘密にされていたほどです。 forest.watch.impress.co.jp データ転送ライブラリ「curl」が10…

ChatGPTの偽サイトがたくさん生まれている

いやあ、よくできてますね。 www.nikkei.com 何かが話題になると、サイバー犯罪者は必ず便乗する。偽サイトなどを用意して、流行に乗り遅れまいとする人たちをフィッシング詐欺やマルウエア(悪意のあるプログラム)感染の犠牲者にする。 現在サイバー犯罪者…

もうメール止めようよ。どんだけ社会的損失大きいのさ。

最近、メールの利用のセキュリティー取り締まりの勢いが強くてさ。 「身に覚えがない宛先のメールが届いたら、見ないで捨てるように!」 「リンクは押すなよ!」 「画像は表示させるなよ!」 だってさ。 中身を見ないで捨てろって、ほぼ無理ゲーじゃない?。…

セキュリティーリスクを減らしたいときにありがちなこと

仕事が落ち着いたので、最近はセキュリティーリスクを減らすことに力を注いでいる。特に問題が発生したということじゃなくて、世間のニュースを見ていると不安だからだ。いくつものニュースを見たけれど、一つたりとも起こっていいことはない。 セキュリティ…

パスワードの仕組み自体をなくしてしまう? 「パスキー」を学ぼう

パスキー、という言葉が日経新聞で取り上げられた。 www.nikkei.com ネットサービスのユーザー認証からパスワードを無くす動きが加速している。2022年9月以降、米アップルと米グーグルが、スマートフォンやパソコン向けの基本ソフト(OS)やウェブブラウザー…

明日の試験に出るセキュリティーインシデント報告書

これは生々しい。 www.city.amagasaki.hyogo.jp 尼崎市は、本日28日に同調査委員会から受けた答申の中で、本件事案における市民の皆様の個人情報の漏えいは確認されなかったとの報告を受けました。 詳しくは添付「調査報告書」をご覧ください。 業界関係者の…

システム更新できない経営難の会社や団体はシステムやパソコンを入れるな

某セキュリティー被害がWindows 7を狙ったものと聴いて、まあそりゃあ問題が起こるべくして起こったなと納得。 過去入れたシステムやパソコンはもちろん古くなるし古くなったら更新しなきゃいけないけど、ITに疎い人には理解不能だと思う。だって動いてるか…

再委託まみれの仲良し現場、よくある風景

経験あるんですよねぇ。商流がぐっちゃぐっちゃの仲良し現場。 www.yomiuri.co.jp ビプロジーはコロナ禍に伴う「臨時特別給付金」の業務を市から受託。個人情報を扱う業務であり、再委託する場合は市に許可を得る契約になっていたが、無断で2社に委託、うち…

セキュリティーはどうやったら担保できるというのか

きちんと考えてみたいUSBメモリー紛失の件。 xtech.nikkei.com BIPROGY(旧日本ユニシス)は2022年6月24日、兵庫県尼崎市の全市民情報が入ったUSBメモリーの紛失に関して、記者会見を開いた。平岡昭良社長はUSBメモリーの紛失を巡って「緩みというか、慣れに…

大量の個人情報を取得したら何ができるか

例のUSBメモリー紛失の件で社会はもやっているわけだが、実際に第三者に個人情報が全市民分渡ったとしたら、いったい何ができるのだろうか。個人情報がキーっ!、となる前に、あくまでもフィクションとして、手口を考えてみる。 これはサイバーセキュリティ…

史上最悪の脆弱性が見つかったみたいな話と、現実の乖離

業界も長いと、たまーに「史上最悪の脆弱性が見つかった」みたいなニュースに巻き込まれるわけ。まずネットメディアのニュースに出て、それを見た顧客が騒ぎ出すという流れなのが定番。ほっとくと「どうなってんだ」みたいになりかねないので、とりあえず目…

社内のセキュリティーはだいたい弱い

時代が時代なので不正アクセスが流行しており、IPAも注意喚起をしているが日々被害が増えている。企業も能天気ではないのでいろいろとセキュリティー対策をしているはずだが残念ながら被害は減らない。なぜなのか。 これは、セキュリティーの考え方が昔なが…

スマートフォンを物理的に盗まれたらいろいろ詰む二段階認証の話

そりゃね、パスワードはみんな複数のサイトで使いまわししているから、電話、SMS、または最近流行のAuthenticatorアプリで、二段階認証したくなるのはわかるよ。 でも、ほとんど、「スマートフォン(あるいはその中のSIM)の所持」とひもづいているわけ。 ど…

電話やSMSの二段階認証には本当に気を付けよう

過去、複数回後悔したので、書いておく。 セキュリティーが厳しいサイトで、電話番号とひもづけて認証するサイトが増えている。パスワードだけだとサイバー攻撃に対して脆弱なので、音声電話をかけたり、SMSでコードを送ったり、またはパスコードを発行する…

情報セキュリティー人材に敬意を払わない現状を憂う

ここ数日、セキュリティーインシデントの事例が激しい。 自動車工場が稼働を止めてしまったり、クレジットカードの情報がダダ漏れになっていたりと、いろんなことが起きている。戦争と関係するかどうかに関わらず、いつも、何かにさらされている。 もはや、…

LINE Pay決済情報がGitHubに流出する件は防げたのか

LINE Payの件、ご存知かとは思いますが、こんなことが起きています。 linecorp.com このたび、ソフトウェア開発のプラットフォームである「GitHub」上で、一部ユーザーのキャンペーン参加に関わる情報が閲覧できる状態になっていました。閲覧可能となってい…

サイバーセキュリティーの盲点 行き過ぎた集中管理はシステムを脆弱にする

サイバーセキュリティーについて思っていることを話しておきます。 運用管理者の責務の中でもっとも大事なのは把握です。会社にどんなネットワークが構築され、その中にどんなサーバーがあり、何を動かしているか。そしてユーザー管理、権限管理がどのように…

個人情報保護法の施行内容が2022年、大幅に変わる件まとめ

個人情報保護法が変わる これは重要なお話。 日本の個人情報に関する決まりは、「個人情報保護法」で制定されているのは誰しも承知している話だとは思いますが、施行内容が2022年4月(令和4年4月)から大幅に変わります。 具体的には二本柱です。 ①令和2年…

「村田製作所の情報を不正持ち出し」の件、正しく理解する

「村田製作所の情報を不正持ち出し」の件、初報だけ見た方は関連記事をもう少し読んで理解を深めた方が良いと思いましてまとめます。 www.jiji.com 村田製作所は5日、会計システム更新の委託先である日本IBMが再委託した中国企業で、個人情報など約7万…

ゼロクリック攻撃とは何か

Yahoo!ニュースのトップにゼロクリック攻撃の話が載ったので、そろそろいろんな情報システム担当が「君、ゼロクリック攻撃って知ってる?」と質問される頃じゃないでしょうか。知りません、とは言えませんよね。 「私のスマホ、大丈夫かな?」と言われ、「iP…

紛失防止タグの危険性に関して

「紛失防止タグ」をVTuberへの差し入れに混入させ、居場所を突き止めるストーキングの可能性が払拭できないため、差し入れを停止すると言う話です。 nlab.itmedia.co.jp VTuber専門プロダクション「LiverCity」は6月10日、同日より所属ライバー(配信者)へ…

ファイルサーバーはもうオワコン 危険性を認識せよ

どんな会社にも、ファイルサーバーはありますよね。 そのデータが流出したら。 www.asahi.com 企業や組織の機密情報を盗み取り金銭を要求するサイバー犯罪グループが、ゲーム大手カプコン(大阪市)に攻撃を仕掛けて機密情報などを入手したとして、同社に取…

「情報セキュリティ10大脅威 2020」とクラウド利用の増大

毎年話題になる「情報セキュリティ10大脅威 2020」ですが、いろいろ今年は状況が激変していてつい見忘れていました。 www.ipa.go.jp なかなか気づきのあるランキング変動です。 特にクラウドの利用が増大しているからこそのランクインと思われる項目が散見さ…

ドキュメントにプログラムを加えてしまったマイクロソフトのしくじり

ドキュメントとは本来データであって、プログラムではありません。 紙の書類を手にしたら、急に動き出してナイフが出てきたら危ないですよね。 ドキュメントと、プログラムは本来は別モノとして厳格に管理するべきでした。 しかし、VBAというものをこの世に…

紙文書管理における不正の数々を思い出す

ハンコ利用が不経済・非効率の象徴みたいな話になっています。が、そもそも紙文書でのワークフロー自体が、一見ちゃんとしているけれども中身は嘘だらけ、のような日本にありがちな現象を助長しているように大昔から思っていました。 過去の職場で見た、実際…

仕様通りに作ってバグもないのに大問題になるケースをどう防ぐか

ドコモ口座問題、大変なことになっていますね。 www.itmedia.co.jp NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとして…

テレワークは古い社内システムの考え方だと危険な件

ホンダにサイバー攻撃 ホンダの社内ネットワークがサイバー攻撃を受けた件、これ、もっと企業は危機感を持った方がいいと思いますので書きます。 www.bbc.com ホンダは9日、社内ネットワークがサイバー攻撃を受けたと発表した。世界各地の工場などが影響を受…

テレワークしている人のパソコンが狙われている

セキュリティー攻撃も新しい展開へ テレワークしている人のパソコンが今狙われています。 www.sankei.com 新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わ…

インフラエンジニア、WEBサイト高負荷との戦いを振り返る

高負荷との戦い インフラエンジニアをやっているとどこかで遭遇する、高負荷との戦い。先日はシャープのECサイトが高負荷と戦っていると聞きました。 pc.watch.impress.co.jp シャープは、4月21日午前10時から開始した、自社生産の不織布マスク「MA-1050」の…