なんとなく綴ってみた

アクセスカウンタ

zoom RSS 最近のセキュリティ記事を読んで、日本のセキュリティを憂う。

<<   作成日時 : 2018/06/08 12:59   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

ASCIIの記事である。気になる商品ではあるが、ちょっと年間のお値段は高めでなかなか簡単に買えるものでも無さそうだ。
http://ascii.jp/elem/000/001/690/1690096/?topnew=4

この手の機能は、家庭用のルータ側でAPIを決めて導入し、セキュリティソフト側で見られるようにしてくれるのが一番良いのだが……。未だに実現されていない。業務スイッチでは出来ていることで、難しいことではないはずだが……。まあ、ストレージとか長期詳細監視ログの保存場所などの問題があるのだろうが、そこはUSBメモリーを挿してでもよいと思うのだが、まあ、複雑化すれば脆弱性の恐れもあり、無理なのだろう。

それでも、NECやBUFFALOなどは脆弱性問題がいくつも出たことで、USBポートなどを廃止しつつあることを考えると、機能を強化するのが嫌になっているのだろうと思われる。そうすると、余計に買替えは進まず売れなくなるというのに、何という消極姿勢とも思うが……その前にIoT機器を作るメーカーがやらなければいけないことの方が多いのかも知れない。


<IoT時代のセキュリティは専用ハードの充実よりも……>

この手の製品が出るほどに、徐々にIoTデバイスは浸透しているということだろう。我が家でもテレビ、エアコン、レコーダーなど多くの機器がネットに繋がっているが、アップデートが行われる期間は、せいぜい2年〜3年である。これが、処分するまで行われるならたぶんこの問題は起きないのだが、メーカーはあまりそういうことを考えずに、販売しているため、結局脆弱になっていく。

また、IoTデバイスの中には、画面を持たないものも多い。一体どういうコードが中に使われているのか、OSは何を使いバージョンは何なのか?分からないものもある。それが、結果的にそのデバイスが、脆弱性を伴う可能性があるIoTデバイスであるかどうかを人々は認識で無い。

毎年、毎月、毎日この瞬間も脆弱性デバイスは増えていく。これを、セキュリティメーカーが何とかするのは難しいだろう。製造しているメーカーが何とかしない限りは……。何より、こういうのを入れないと、守れないものを、IoTというのなら、それほど後進的な話はない。

現実の話として、ネットワーク社会はどんどん広がっているが、このところ情報漏洩のニュースも増えている。カード番号が漏れて使われたケースまで遂に出始めており、最悪の様相を呈している。

だから、セキュリティハードウェアだというのは、確かにそうかもしれないが、その前に本当にそれを入れてまでIoT化が必要なのかも考える時に来ているのかもしれない。何せ、そういうハードウェアを入れても、攻撃を受けるときには受けるのだから……。

まあ、GoogleやApple、Amazonなどのように、継続的に自社製品に対するアップデートを行っているメーカーや、アップデート保守が終わる時期を明確に提示しているメーカーは良い。しかし、日本のメーカーのように、出しっぱなしで、気が付いたらアップデートも3年以上無いんですっていうのは、怖い話であり、そこにこの手のセキュリティハードを入れれば、大丈夫ですっていうのも違うだろう。それなら、メーカーとしての保守、買い換えサイクルを明確にした方が結果的に良い。

何というか、ハードを作る側がハードウェア保守とは別にセキュリティアップデートの期間を明確にしないところを、セキュリティメーカーの商売道具として上手く突かれているような気がしてならない。



<シニアデジタルリテラシー(高齢者向け電子活用力)であっても>

ちなみに、もう一つセキュリティ関連で気になったのは、以下の記事である。
https://internet.watch.impress.co.jp/docs/column/dlis/1124966.html

この記事を読んで違和感を感じた。「何度かわざと感染した……。」という点だ。これは、誤って実行した時に、それほど影響が起きることは無いから安心して欲しいという意味なのだろうが……。流石にセキュリティ管理をしたことがあるプロなら決して書かないだろう。

これは、あくまで間で流通している汎用的な攻撃コードだったというだけだ。これが、新型のテスト攻撃や本気でどこかから漏れてしまった自分の情報を元に有用だと狙われて攻撃されていた場合は、セキュリティソフトを透過する恐れがあるからだ。

そもそも、「わざと(故意に)」感染する意味が、どこにあったのかも書かれていない。

プロなら実行せずに、まず可能な範囲でコード解析を行うことが多い。そうしなければ、どこに何を送るか、どこに影響するか分からないからだ。処理によっては、ブロードバンド回線では5秒も掛からずいくつかの処理を終えてしまい、見つかると不味い処理を消すこともある。だから、状況によって発信地を隠蔽するため、クシなどで偽装するのも忘れない。

そもそもコード解析だけで、実行すればどういう処理が行われるかが見えることもある。もちろん、セキュリティのプロでも、誤って実行することは、結構あるかもしれない(私は過去に何度かある。それでリカバリーまで必要になったこともある)。ヒヤッとしたら、セキュリティソフトが助けてくれたなんてこともある。恥ずべきことだが、人である以上絶対はないものだ。だからこそ、人は細心の注意をする訳だ。

しかし、わざと実行してというのは、実際に調査目的で何らかの手順があったとしても、記事の書き方として見ると、プロとして失格だろう。調査目的でというのはあっても、意味も書かずに故意はあり得ない。調査目的で実行するとしたら、ドロッパー型で綿密な準備(通常は感染テスト系を使う)をした上で結果を見たい場合など、理由がないとおかしいからだ。

実際、本当にヤバいメールを介した攻撃手法(開いたらそれでいくつかの脆弱性をバイパスし、情報を検索するもの)は、日本でも多くなってきており、それが、大規模漏洩を増やしている。本攻撃は100万通の中の1通でも良いのだ。こういう記事書きが、何だ実行しても大丈夫じゃんと思わせる記事を書いてくれると、それこそ、万々歳だろう。元々攻撃者は、飽和攻撃隠蔽と多量攻撃のためにこのメールを使っているのだから。

要は、1000万通で0.01%が攻撃に引っかかるなら、それでも1000人から金を巻き上げられる。
さらに、1000万通のうち1000通が本気の新型攻撃だとすると、1000人のうち一人は大規模にやられる可能性がある。そして、プロがその1000通しかないものを考慮せず、日頃大丈夫なら大丈夫さと書いてくれれば、1通の成功率が10通や100通になるかもしれない。


こういうプロの記事書きが書く内容は、実は一般の深層意識に作用することが多い。

「うわっ、間違った」と思った時に、この記事で書かれたことが、頭に浮かんで大丈夫と思うのだ。これを、正常性バイアスという。この正常性バイアスに掛かると、実際に酷い症状が裏で起きていて、動きがちょっとおかしくても、そんなはずはないと思い込むことが多い。だからもっと悪くなるまで放置し怖い結果になる。

ある程度、肩書きがあり大きな役割を担っている記事書きは、それを考慮して記事を考えて欲しいと思う。その際の語彙(ごい/ボキャブラリー)は重要である。これを軽く書けば、間違った捉え方をする人も多いからだ。特にこの手の軽いセキュリティ記事は、上級者は読まないが、興味のある人は読む。じゃあ、試して見ようかなという人も出てきやすいのである。

そして、甘い記事にすると、結局その保守を行うような人間に、そのつけまわってくる。高齢者向けだろうが、誰向けだろうが、この辺りは良く考えて書いて欲しい。

セキュリティに対する意識を付けさせたいなら、その気が無くても、絶対に曖昧に(安全の条件を明示せず)安心を与えてはいけない。最低でも、環境を準備して実験としてといった書き方をして、大抵は大丈夫だろうと述べる程度に留めるべきである。

こんな、矢が刺さっても足なら死なないみたいなセキュリティ記事を書いてる国は珍しい。
普通は、同じ矢でも致死毒が塗ってあれば、早く適正な処置をしなければ死ぬ可能性だってあるので、必ず条件を書くものだと思うが……。これが、現場と記事の差なのかも知れない。







【送料無料】BUFFALO セキュリティUSBフラッシュメモリ(4GB)【トレンドマイクロ版・5年間】 RUF3-HSL4GTV5 [RUF3HSL4GTV5]【KK9N0D18P】
エディオン 楽天市場店
[BUFFALO セキュリティUSBフラッシュメモリ(4GB)【トレンドマイクロ版・5年間】 RUF


楽天市場 by 【送料無料】BUFFALO セキュリティUSBフラッシュメモリ(4GB)【トレンドマイクロ版・5年間】 RUF3-HSL4GTV5 [RUF3HSL4GTV5]【KK9N0D18P】 の詳しい情報を見る / ウェブリブログ商品ポータル



テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
最近のセキュリティ記事を読んで、日本のセキュリティを憂う。 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる