なんとなく綴ってみた

アクセスカウンタ

zoom RSS 今度は米Yahoo!からアカウント流出・・・5億人分

<<   作成日時 : 2016/09/23 09:32   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

日本は、親がソフトバンクなので、今のところ関係ないと思われるが、米Yahoo!が提供しているほかの国のYahoo!アカウントを使っている人は、日本人でもそれなりにいる。それらの人は、パスワードやアカウント設定の変更が必要になるだろう。特に、Yahoo以外でパスワードや秘密の合い言葉を使い回している人がいたら、それらのユーザー情報も変更しなければいけない。

本当に有名サイトのアカウント流出が相次ぐと、クラウドサービスや、インターネットサービスは大丈夫なのかと疑問に思う。
http://www.itmedia.co.jp/enterprise/articles/1609/23/news043.html


<相次ぐ情報漏洩・・・追いつかない管理>

たいていの情報漏洩は、外から内部を管理するシステムを経由して始まる。簡単に言えば、管理者がリモート監視に使うシステムが、悪意を持った人に奪われるのだ。または、ウィルスメールなどを管理者や担当者に送付し、それを開くことで、バックドアも開くといったパターンである。

いずれも単純に努力根性だけでは解決が難しいやっかいな問題である。最新のセキュリティに毎年更新できるだけの潤沢な予算があり、さらに毎年1回全社員や職員に対して十分なトレーニングができるなら、まだ対策も向上するだろうが・・・そんな組織はまれである。

特に業績が下がってくると、情報管理の予算も減っていく。何かを守るというシステムは、攻撃を受けて漏洩すれば、大幅な損失になるが、漏洩しなければ安全であることの裏返しになるからだ。要は、今情報が漏洩していないなら、安全なシステムであるということを証明することになり、長く漏洩していなければ漏洩していないほど、それは盤石となる。

まあ、40年安全運転の優良ドライバーは、41年目も安全運転の優良ドライバーであるということと同じだ。本人はそう思っていても、もしかするとその運転を目の当たりにした人からみると、周りがこの運転者は怪しいと思って車間を開けているかもしれない。安全や危険意識に対する投資というのは、ことが起きていない状況では、その人(担当者や企業責任者)が、定期的に世間一般と照らし合わせて、一定水準の安全性があるかを、確認しているかどうかに左右されるが・・・多くの企業の経営者や役員は、それをやるのは自分たちの下にいる担当者である。

この予算は出ているのだからとしかいわないのだ。今までだってそれで安全だった。これからもそうであれと・・・。


そういうところから情報は漏れ出す。

<情報漏洩対策に終わりはない・・・>

まあ、最近はセキュリティを十分に持っていそうな組織からも漏れているので、内部のインフラを抜本的に最新化していない組織なら、どこでも人一人のミスで漏れる可能性はあるのだろうが・・・。

尚、指紋認証や静脈認証などであれば、情報は漏れないと思われがちだが、あれは簡単に言えば写真認証の一種である。パスワードとして「あいうえお」と登録するのと違い、その人が固有に持つ個別のパターンの整合率で、本人を確認するという仕組みであるため、よほど整合率を低く設定しない限りは、文字列認証より遙かに情報量が多く(ようは何百〜何千文字ぐらいのパスワードに相当する)、不正は働きにくいというのが、これの強みでしかない。

たとえば声紋だけで認証するシステムがそうであるように、録音や特殊な機械で指紋を撮影し、機材が認識するように加工すれば・・・。それで本人となる。顔認証なら立体写真やマネキンでできるかもしれない。後は、それを作るコストに対して、得られる情報がどれほど大きいかの違いだけだ。

一個人相手にここまではしないだろうが、企業や政府相手でその情報が、とても大事なら、やる組織はあるだろう。そこが、肝なのだ。

すなわち、情報漏洩対策というのは永遠に終わらないのである。
この認証システムだから、大丈夫ということは永遠にやってこない。インターネットにつながっていなくても、そこに出入りする人が、短期のお金に流されれば、漏洩させることはあるのだから・・・。


<我々ができる対策>

日本でもアカウントサービスを使う事業はたくさんある。海外のサービスではマイクロソフトやApple、Google、Amazonなどがあるが、日本では楽天、ヨドバシ、NTTドコモ、Au by KDDI、ソフトバンクなどもアカウントサービスを持つ。今は漏れていないというだけで、明日発覚する可能性はどの事業者でもあり得ることだ。

一つ確かなことは、今回のYahoo!のように、少し後になって漏れていた原因がわかることが、最近は増えているということだろう。それが示すのは、攻撃者も見つかりにくい情報搾取の手段をすでに十分に身につけているということだ。それは、逆に言えばこの瞬間にももう漏れた後というケースがあるということだ。

だから、カードの支払い履歴はもちろん、システムの自分のメールアドレスに突然迷惑メールが大量に送りつけられるようになった場合などは、どこかから情報が漏れていることを考えた方がよい。一般に、ランダムに不正メールを送りつけるロボット巡回は、同時にたくさんの不正メールを送ることは少ない。これはユーザーがいるか、特定されていないアドレスに一気に多くの事業者が送信すると、それらの事業者のトラフィックが各国監視当局によって、マークされるからである。

すなわち、突然たくさんの迷惑メールが来るということは、すでにそのアドレスが、誰かのものであることを、確認した上で、たくさん送りつけている事業者がいるということだ。すなわち、どこかのサービスから、情報が漏洩し、世界に流れたとみた方がよいのである。

そういう点があれば、そのアドレスを使っているすべてのサービスで、パスワードなどを変更し、可能ならメールアドレスも変えてしまうのだよいだろう。それが、サービスを使う側ができる防衛策かもしれない。







ESET ファミリー セキュリティ 5台3年版(最新版)
キヤノンITソリューションズ
2013-12-12

amazon.co.jpで買う
Amazonアソシエイト by ESET ファミリー セキュリティ 5台3年版(最新版) の詳しい情報を見る / ウェブリブログ商品ポータル


テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
今度は米Yahoo!からアカウント流出・・・5億人分 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる