楽天で不正アクセスされてポイントが盗まれてるみたいですね。
最近ヤフーや楽天など不正アクセスが続いているので、みなさん気をつけて!ヤフーショッピングでは、8400円相当のポイントがゼロになったという男性も現れ、被害が広まっているようです。http://t.co/7evX98dyGD http://t.co/wgvMmKf1F8
— AVG@Japan (@AVG_Japan) July 12, 2013
「他社から流出したと見られるIDとパスワードが用いられ」と断定的になっていますね。/【セキュリティ ニュース】楽天でなりすましによる不正ログイン、ポイント窃取が発生 – 被害会員に補償実施:Security NEXT http://t.co/6zT3LBXsGm (続く
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) July 12, 2013
続き) 楽天からのリリース。断定していますね。「他社サイトから流出したと思われるユーザーID・パスワードを不正に入手し、第三者が本人になりすまして同一のID・パスワードを使い、-SNIP- 判明しました。」 http://t.co/Ps6jP4uqXd (続く
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) July 12, 2013
続き) トップページに出てるのかな?と思って見てみたらえらくページ下部にリンクがありましたよ。 http://t.co/bbPm7wb4vS (続く
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) July 12, 2013
続き)使い回しを狙うリスト型攻撃はサービス提供側からすると対策のハードルが高く、ユーザの協力がある程度必須となると思います。しかし、そうと言える根拠(試行回数と被害件数など)を示さないまま使い回しによるものだというのは免罪符的になる傾向を生みそうでよくないと思いますよ。(終り
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) July 12, 2013
政府がセキュリティのため無料サービスを使わせないか否かの議論がまた。
武田先生が至極まっとうなコメントしてたw “環境省 外部の無料サービスは使用禁止” NHKニュース http://t.co/z6U9X99J47
— HAWK (@neohawk) July 12, 2013
@neohawk 無料か有料か関係無いし、民間か公営かも関係無いと思う。むしろ、越境データの方が問題だと思う。自国の国家機密を、令状提示なしに外国政府が閲覧できるサーバに置く方が問題。カナダ政府とかだと、データを保存するのは論外、生でネットワークを通すのも禁止のはず。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat やっぱし日本ドメな仕事の方々はデータ越境問題に真っ先に意識行かないみたいですね〜。先週今週とEU議会のNSA問題議論を視聴してましたが日本と温度差あり杉。採決で落ちたけど、EU版TPPの交渉凍結しろって主張出てた。日本だってネタに使えるはずなのにw @neohawk
— Gohsuke Takama (@gohsuket) July 12, 2013
@_nat @neohawk この事件に関するコメントとして越境の話を持ってくるのはそれはそれで場違いな気がしますが。有料か無料かは契約に基づく統制範囲に関して関係すると思いますよ。
— keijitakeda (@keijitakeda) July 12, 2013
@gohsuket @_nat @neohawk この問題について公共的な視点で何をコメントするのが適切かを考えました。自己主張の場ではないので。
— keijitakeda (@keijitakeda) July 12, 2013
@_nat @neohawk あと今回のケースはメーリングリストとして利用しているので利用者自身にサーバーに置くという認識が無かった点が最大の問題かと。まぁそれ以前に平文のメール送信ですが。
— keijitakeda (@keijitakeda) July 12, 2013
有料無料のサービスというのは単純化した表現ですが、有料サービスとなれば発注行為が伴い通常組織のリスク統制下に入ります。職員が勝手に無料サービスを利用する場合は組織のリスク統制を外れます。組織のリスク統制下において無料サービスを利用することを組織的に選択するのは許容できると思います
— keijitakeda (@keijitakeda) July 12, 2013
@keijitakeda @neohawk Google Groups は掲示板サービスですよね。メール投稿/配信はひとつのI/Fです。Webだけで完結することもできます。このようなサービスを使った時の情報漏えいの脅威に対して、有料・無料、民営・官営が主要な…
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@keijitakeda @neohawk …有料・無料、民営・官営が主要な分岐点になるかが論点です。まず、有料・無料に関してですが、有料の公開掲示板がある以上、論点では無いと思われます。次に、民営・官営ですが、官営の公開掲示板がある異常、これも論点ではないと思われます。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@keijitakeda @neohawk そうすると、何が論点になるかというと、利用者のリテラシーとサービスの脆弱性であろうかと思います。今回のケースの主要な問題点が利用者のリテラシーであることは論を待たないと思います。…
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat @neohawk 利用者のリテラシに依存するのではなう組織として適切な情報セキュリティマネジメントシステムを構築しその統制下で重要情報を取り扱うことの方が重要ではないでしょうか?
— keijitakeda (@keijitakeda) July 12, 2013
@keijitakeda @neohawk (何かうまく投稿できない…ネットが悪いからかな…)次に何が論点になるかというと、サービスの脆弱性です。今回の件に関して言うと、一般的な意味でのサービスの脆弱性はありませんでした。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat @neohawk この問題をリテラシで片付けるのは問題の本質を見ずにトカゲのシッポ切りをするだけだと思います。
— keijitakeda (@keijitakeda) July 12, 2013
@_nat @neohawk 現在の官公庁の多くは情報の取扱い区分の設定を統一的なポリシーを持って行っていません。枠組みは示されていますがどの文書をどう取り扱うかは大抵起案部署等の裁量に委ねられています。(続く)
— keijitakeda (@keijitakeda) July 12, 2013
@_nat @neohawk (承前)また区分に基づく具体的な取扱い要領も各組織の裁量の負うところが大きく、結果としてなし崩し的な運用が行われています。つまり民間企業で行われているような情報のリスク分析結果に基づくリスク管理は十分に行われているとはいい難い状況です。
— keijitakeda (@keijitakeda) July 12, 2013
@_nat @neohawk (承前)なのでセキュリティ対策を職員個人のリテラシーや意識に委ねるのではなく、業務効率とリスクを考慮した上で組織的な管理を行い職員がそういった外部サービスを利用しなくても済む環境において組織として機密等の重要情報を管理すべきだと考えています。
— keijitakeda (@keijitakeda) July 12, 2013
@keijitakeda @_nat @neohawk confidentiality の観点だけではなく、integrity, availability の観点からも、政府全体での取組が必要でしょうね。「政府共通プラットフォーム」のやることなのか、その上の話かは知りませんが。
— SAKIYAMA Nobuo/崎山伸夫 (@sakichan) July 12, 2013
@sakichan そもそも、使いやすく無いと、すぐに低きに流れますからね。色んな意味でのavailability 重要。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@keijitakeda @neohawk 国家機密を扱うんですから、まっとうな情報セキュリティポリシーが有り、マネジメントシステムが回っているのが必要なのは当然です。しかし、この点と有料・無料/民営・官営は orthogonal です。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat @neohawk では民間の無料サービスを使えと
— keijitakeda (@keijitakeda) July 12, 2013
どう読んだらそういう風に取れるのか、理解に苦しみます。orthogonal だと、有料か無料かが問題なのではなく、サービスが提供するものがポリシーにあうかどうかが問題だと。 RT @keijitakeda: @_nat @neohawk では民間の無料サービスを使えと
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat @neohawk まあ、これは言い過ぎでしたね。すみません。ただ組織的な統制がかからないという意味で一般的な無料サービスは利用すべきではないと考えています。リテラシの問題についてはいかがでしょうか。
— keijitakeda (@keijitakeda) July 12, 2013
@_nat @keijitakeda @neohawk サービスが提供するものがポリシーにあうかどうかの判断は個々の官僚の能力や専門性に関係ないので、中で抱えるにせよ外のサービスを使うにせよ判断の仕組が必要ということで、お二人の両方の意見をマージしたほうがいいのでは。
— SAKIYAMA Nobuo/崎山伸夫 (@sakichan) July 12, 2013
@sakichan @_nat @neohawk その論旨には同意します。
— keijitakeda (@keijitakeda) July 12, 2013
@_nat 誤解があるといけないので補足しておきます。→ただ組織的な統制がかからないという意味で「国家機密等の重要情報の取扱いには」一般的な無料サービスは利用すべきではないと考えています。
— keijitakeda (@keijitakeda) July 12, 2013
@sakichan @keijitakeda @neohawk はい。普通に考えたら、サービスをホワイトリストする形になると思います。で、その時には、越境データ問題はサービス選定の際の重要な要素になります←これはポリシーに書かれているべき。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@keijitakeda 組織的な統制は有料サービスでもかかるとは限らないですよね。個人で有料サービスに入って使うこともありえますから。だから有料・無料でくくるのではなく、組織として統制がかかるサービスを選定してホワイトリストして組織の構成員に提供することが肝要です。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat まぁ厳密に言えばそうなんですけど、、、今回のニュースに対するコメントとして、海外サービス利用の是非なども含めいろいろ話はしてますが、そういう抽象的な話の部分は使ってもらえないですし一般視聴者や官公庁には伝わりにくいかと。ちなみにニュースの前に私もツイートはしています。
— keijitakeda (@keijitakeda) July 12, 2013
@_nat そこで反証として例示するなら無料でもOKな例を挙げるべきかと
— keijitakeda (@keijitakeda) July 12, 2013
@_nat 私は有料なら良いと言っているわけではないので、、、
— keijitakeda (@keijitakeda) July 12, 2013
「国家機密等の重要情報」を見落としてました。 RT @sakichan: @keijitakeda @_nat 広報目的でtwitterを使ってるのは無料でOKな例では。
— SAKIYAMA Nobuo/崎山伸夫 (@sakichan) July 12, 2013
@keijitakeda たとえば、越境データや PRISM の件がなければ、Skype などはOKだった例かと思います。あと、運営会社のデータアクセスポリシーを確認しなければなりませんが、サイボウズLiveとかもひょっとしたら大丈夫かも知れない。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@keijitakeda まぁ、サイボウズLIVEは認証がダメですね…。ちなみに、ある一定以上の国家機密を扱う場合は、OKなサービスは有料でもほぼ無いと思います。基本的には自分で作らないと。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat 「Skype などはOKだった例」というのは何か根拠があるのでしょうか?利用規約の非保証の条項など見ると文面だけでも規則等との整合が難しそうな印象ですが。 http://t.co/cDirGGP09P
— keijitakeda (@keijitakeda) July 12, 2013
@_nat 「国家機密等の重要情報の取扱いに民間の無料サービスを利用することについてどう思いますか?」という質問に対して「民間の無料サービスであっても利用してもよい。例えばskypeなどはOK。」といった回答をすべきでしょうか?(私がそう思っているわけではありません。)
— keijitakeda (@keijitakeda) July 12, 2013
@_nat ちなみに「国家の機密に関わるような重要な情報を扱う際には、」という前提条件の明示はなんとか私がねじ込んだつもりです。
— keijitakeda (@keijitakeda) July 12, 2013
@keijitakeda この手の非保証文言は大抵のものに入ってませんか?Skype を例としてあげたのは、End2end で暗号化されており、今回のNSAの件のように迂回路を使わない限り、盗聴が出来ないからです。
— 崎村夏彦 (=nat) (@_nat) July 12, 2013
@_nat 無料のものには大抵含まれていますが受注形態のものには守秘義務条項、セキュリティ要件、瑕疵担保責任などが明記されていると思います。End2Endで暗号化されていると主張されている無料サービスであれば「国家機密等の重要情報の取扱いに」使用しても良いというお考えなのですね?
— keijitakeda (@keijitakeda) July 12, 2013
@keijitakeda アメリカのサービスや製品には、商用のものでもたいてい入ってると思いますよ。何か議論のための議論になってませんか?私は国家機密を扱うような場合には、おそらく自営しなければならないだろうと前に言ってますよ。論点は無料か有料かというところが分岐点に…
— 崎村夏彦 (=nat) (@_nat) July 13, 2013
@keijitakeda …分岐点になるかどうかであって、私は「分岐点にならない。ポリシーに合致するかどうかが分岐点だ。」と言っているのです。論点をずらすのは良くないですよ。
— 崎村夏彦 (=nat) (@_nat) July 13, 2013
テレビに武田圭史先生が出てて、家内に「この人どういう人?」ときかれて「セキュリティ界の穏健派」と答えるなど。
— hebikuzure rené (@hebikuzure) July 12, 2013
つづくのかな…
その他に気になったことはこのあたり。
エリート・セキュリティ・ニンジャ 5人のうち4人がパスワード管理ソフトを使うことを勧めています。> How elite security ninjas choose and safeguard their passwords http://t.co/MQYD0X54Ue
— 北河拓士🔰 (@kitagawa_takuji) July 12, 2013
西鉄:HP改ざん被害 個人情報の流出なし http://t.co/aCx7TXuRGu
— piyokango (@piyokango) July 12, 2013
“(PDF)弊社ホームページの改ざんに関するお詫びとご報告 – 西日本鉄道株式会社” http://t.co/Ijn7OIupOO
— piyokango (@piyokango) July 12, 2013
ブログをポストしました。「ストア アプリに対する新しいポリシーを発表」http://t.co/5J1UcP8fuN #JSECTEAM
— マイクロソフト セキュリティチーム (@JSECTEAM) July 12, 2013
クリックジャッキングとのこと。『画像をよく見ると分かるが、本来のFacebookの入力窓の説明とボタンがうっすらと見えてしまっている』<「武士の情け」か? Facebookのアダルト動画リンク攻撃が多発中、YouTubeの偽装に要注意 http://t.co/p8kC162xjl
— 徳丸 浩 (@ockeghem) July 12, 2013
クリックジャッキングのデモは僕もしたことがあるけど、わざと攻撃対象がうっすら見えるようにする場合が多くて、僕もデモではそうした。そうしないと分かりにくいから。今回の件は、そういうデモをそのままコピペした可能性と、「武士の情け」説の二説を考えました
— 徳丸 浩 (@ockeghem) July 12, 2013
三上さんに責任はないんだけど、「クリックジャッキングも目を凝らしてよく見れば見破れる」という誤解が広まらなければいいなと思いました。見破れるとしたら、それは罠の不具合ですw
— 徳丸 浩 (@ockeghem) July 12, 2013
MSがIEで一昨日修正されたばかりの脆弱性CVE-2013-3163を突く悪性のFlashを確認したと報告。MS13-055を適用していれば影響は受けないとのこと。 / “Running in the wild, not for …” http://t.co/dXK1BUGN2a
— piyokango (@piyokango) July 12, 2013
MS13-055の内容によれば、CVE-2013-3163の影響を受けるのはIE8~10。http://t.co/XpX7ytM6X5
悪性FlashのVT(を探した人のつぶやき)↓https://t.co/rWRCf4oET6— piyokango (@piyokango) July 12, 2013
『大垣さんは私の指摘に対して、論点のすりかえ・わら人形攻撃・架空の論点の設定・私に対する印象の操作といった、数々の詭弁術を用いて反応しました』 スライド “Rails4 Security” 論争のまとめと、職業的倫理感の話 http://t.co/pClu6AwN81
— 徳丸 浩 (@ockeghem) July 13, 2013
ID厨のみなさんに捧ぐGoogle Identity Cookbookが公開 http://t.co/wHoWUmzAY0
— Eiji Kitamura / えーじ (@agektmr) July 12, 2013
いまさらニュースになる理由がわからない。と、いうことはこの時期にニュースにしたい人がいるということか。
等と、発言するとやばいことになりそうなので、黙っていることにしよう。… http://t.co/idj7f2Y0pj
— 西本逸郎NISHIMOTO Itsuro (@dry2) July 12, 2013
データベース関連でありがちなセキュリティ上の落とし穴10選 http://t.co/6n3eD9QeCW
— ZDNet Japan (@zdnet_japan) July 11, 2013
