アカウント名:
パスワード:
最初に感染したと言うメッセージの段階では、実際には感染してなくて、電話かけて、その指示に従ったのが流出の原因だったのでしょうか?
簡単にマルウェアが機能できないような仕掛けはありませんか?Browseくらい、もっと安全にできてほしいです。(メールもですが)
ポルノサイトではなくても、一見普通のサイトに仕掛けられるようなことがありうるわけだし。
イントラネットにアダルトコンテンツを用意しておいておじさんをそこへ囲い込んでおくというのはどうでしょう(゜∀゜)
ニュースを見る限りそのようですね。実際にはまだ何も起きていないのに不安を煽って問題行動に結びつける、というのは常套手段です。
簡単にマルウェアが機能できないような仕掛けはありませんか?
マルウェアなら検知しやすいですけれど、「インストール時に許可が必要な遠隔操作アプリ」自体は(ちょうどTeamViewerの不正アクセスの話題が出ていますが)しごく真っ当なソフトウェアです。ユーザーが他者の言いなりになって自分でインストールしてしまうことを回避するのは難しいでしょう。
アダルトサイト職場で閲覧→「ウイルス感染」信じて電話→PC遠隔操作され情報流出 町議会事務局長のあきれた危機管理能力 (3/3) - ITmedia ニュース [itmedia.co.jp]
一方、情報流出による具体的な被害が確認されておらず、電子記録の損壊や不正な指令などで業務を妨害する「電子計算機損壊等業務妨害罪」に該当する要素も見当たらないとして、被害届の提出は見送った。 関係者によると、乗っ取りは事務局長がパソコンを操作して招き入れた形になっており、外部から強制的にパソコンを乗っ取られるハッキングとは異なるため、不正アクセス禁止法の適用も難しいという。
一方、情報流出による具体的な被害が確認されておらず、電子記録の損壊や不正な指令などで業務を妨害する「電子計算機損壊等業務妨害罪」に該当する要素も見当たらないとして、被害届の提出は見送った。
関係者によると、乗っ取りは事務局長がパソコンを操作して招き入れた形になっており、外部から強制的にパソコンを乗っ取られるハッキングとは異なるため、不正アクセス禁止法の適用も難しいという。
「感染しました連絡知る」というのは無条件に出す単なる画像で、そこに連絡したらやられるというのは常套手段ですね。
わざわざ指示通りにセットアップしてしまう相手には、防ぐ方法といえば、権限を与えないぐらいしか。
>> 防ぐ方法といえば、権限を与えないぐらいしか。
なるほど、役職を剥奪すれば良いんですね!
役職じゃないでしょ。剥奪するべきは権限。
日本のシステム構築で強い頻度で不思議になるのは、何故か役職が上の人がシステム上でも強い権限を持つこと。例えば部長さんともなれば(何故か)別部署までノゾキ放題の管理者権限を持っていたりする(要求されたりもする)。いやいやいや、そうじゃないでしょ、あなたの仕事には必要ないでしょ、と言うと露骨に「俺を蔑ろにするのか?」的な顔までしてくれる。コンピュータの「コ」の字もわかっていない社長さんが当然のように全権限を持っていたりとかもして、もう、ホラー映画も真っ青。立場と仕事内容は分けて考えて欲しいんだけどなぁ…。
まぁ、元ネタの> なるほど、役職を剥奪すれば良いんですね!
も、そんな日本の現状に対するブラックユーモアだと思うんですけど、
役職==えらさというか、えらさという意味不明な軸が中心にあるのってどうなのという。
役職==係であって、その困難さに給料が払われているのであって、えらさ()関係ないのに。
稟議で上位者の裁可が必要なケースを考えると、役職の上位者にシステム内で高い権限を与えるのは理にかなってるけどシステムの管理者権限も与えてしまうというのは、客というより、客の誤解を放置した開発者の側に問題があるような・・・
裁可に必要な権限は"高い"のかな。決裁は必要なだけで高くはないんじゃない?
管理者権限と役職者権限というかそういうのって名前の付け方見せ方が難しいんですなぁ…
「ネタにマジレス」
海外の現状をよく知ってる風ですが、そうなんですか?
・ROMしか積んでない端末を使う(但し当たり前だがその端末にデータは残せないし、外部の記録端末を使えば、それがマルウェアの潜伏先になりうる)・マイナーすぎてマルウェア開発者に相手にされないようなアーキテクチャの環境を用意する(但し標的型攻撃には無力)
ウェブやメールをスキャンして、マルウェアを検知する機器が何種類もあるよ。個人なら兎も角、企業から見ればそこまで高くないし、クラウドサービスもある。もちろんそれ以外の経路での侵入に備えて、端末にウイルス対策ソフトをインストールしておくのも大事。
でもこのケースでは自分の意思でインストールしているから、マルウェアじゃないと思うよ……。
いや、遠隔操作自体はごくごく真っ当なソフトウェア。MacにもWinにも元から付いてる機能だし(Winの一部のエディションでは使えないけど)。
家でノートパソコンを使う場合は、デスクトップに繋いであるラグジュアリーなモニタやらキーボードやらを使って操作したい、という程度のちょっとした用途でも当たり前に使われている機能。クラウドの普及でそういう使い方をする利点が減ってきているけど。
きちんと設定すれば地球の裏側からでも使えるけど、きちんと設定するのがめんどくさい、諸般の事情で難しい、より便利な追加の機能が欲しい、というような人のために、遠隔操作用のソフトウェアもいろいろと公開されている。
TeamViewerとかRealVNCとかに、悪意があるとは思えないよ。
ちなみに機器(メーカ)にもよるけど、遠隔操作系ソフトは「リスクウェア」として分類されて、設定次第で遮断できたりもするよ。
>最初に感染したと言うメッセージ
このストーリー通り、この段階で感染と呼べる状態にする必要は無い。単に、「お前は狙われている。助かりたければここに電話」と表示するだけのサイト。
>簡単にマルウェアが機能できないような仕掛けはありませんか?
ある意味出来るけど、期待されるような完璧さでは不可能。
できるというのは、その事務所の管理者以外はソフトウェアをインストールを出来ない、PCの設定を変更できない、としておけば遠隔操作されるまでには至らない。
完璧ではないというのは、その対策がされていても、電話での指示を「遠隔操作ツールをインストールし
お金を渡された子山羊たちはそれぞれにお家を建てましたひとりはコンクリート製の強固なお家を建てましたがもうお金は残りませんでしたひとりは木造の家を建てて護身用に小さな拳銃を買いましたひとりは家の代わりに寝袋と、残りのすべてのお金でライフルや軽機関銃などで武装しました
あれ?3匹しかいないが、こんな感じだったような
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
電話かけて指示に従ったのが問題なのかな (スコア:1)
最初に感染したと言うメッセージの段階では、実際には感染してなくて、電話かけて、その指示に従ったのが流出の原因だったのでしょうか?
簡単にマルウェアが機能できないような仕掛けはありませんか?
Browseくらい、もっと安全にできてほしいです。
(メールもですが)
ポルノサイトではなくても、一見普通のサイトに仕掛けられるようなことがありうるわけだし。
Re:電話かけて指示に従ったのが問題なのかな (スコア:3, おもしろおかしい)
イントラネットにアダルトコンテンツを用意しておいて
おじさんをそこへ囲い込んでおくというのはどうでしょう(゜∀゜)
Re:電話かけて指示に従ったのが問題なのかな (スコア:1)
ニュースを見る限りそのようですね。実際にはまだ何も起きていないのに不安を煽って問題行動に結びつける、というのは常套手段です。
マルウェアなら検知しやすいですけれど、「インストール時に許可が必要な遠隔操作アプリ」自体は(ちょうどTeamViewerの不正アクセスの話題が出ていますが)しごく真っ当なソフトウェアです。ユーザーが他者の言いなりになって自分でインストールしてしまうことを回避するのは難しいでしょう。
Re:電話かけて指示に従ったため不正アクセスにも問えない (スコア:1)
アダルトサイト職場で閲覧→「ウイルス感染」信じて電話→PC遠隔操作され情報流出 町議会事務局長のあきれた危機管理能力 (3/3) - ITmedia ニュース [itmedia.co.jp]
モデレータは基本役立たずなの気にしてないよ
Re:電話かけて指示に従ったのが問題なのかな (スコア:1)
「感染しました連絡知る」というのは無条件に出す単なる画像で、そこに連絡したらやられるというのは常套手段ですね。
わざわざ指示通りにセットアップしてしまう相手には、防ぐ方法といえば、権限を与えないぐらいしか。
Re: (スコア:0)
>> 防ぐ方法といえば、権限を与えないぐらいしか。
なるほど、役職を剥奪すれば良いんですね!
Re:電話かけて指示に従ったのが問題なのかな (スコア:5, すばらしい洞察)
役職じゃないでしょ。剥奪するべきは権限。
日本のシステム構築で強い頻度で不思議になるのは、何故か役職が上の人がシステム上でも強い権限を持つこと。
例えば部長さんともなれば(何故か)別部署までノゾキ放題の管理者権限を持っていたりする(要求されたりもする)。
いやいやいや、そうじゃないでしょ、あなたの仕事には必要ないでしょ、と言うと露骨に「俺を蔑ろにするのか?」的な顔までしてくれる。
コンピュータの「コ」の字もわかっていない社長さんが当然のように全権限を持っていたりとかもして、もう、ホラー映画も真っ青。
立場と仕事内容は分けて考えて欲しいんだけどなぁ…。
Re:電話かけて指示に従ったのが問題なのかな (スコア:1)
まぁ、元ネタの
> なるほど、役職を剥奪すれば良いんですね!
も、そんな日本の現状に対するブラックユーモアだと思うんですけど、
役職==えらさ
というか、えらさという意味不明な軸が中心にあるのってどうなのという。
役職==係であって、その困難さに給料が払われているのであって、
えらさ()関係ないのに。
Re: (スコア:0)
稟議で上位者の裁可が必要なケースを考えると、
役職の上位者にシステム内で高い権限を与えるのは理にかなってるけど
システムの管理者権限も与えてしまうというのは、
客というより、客の誤解を放置した開発者の側に問題があるような・・・
Re: (スコア:0)
裁可に必要な権限は"高い"のかな。決裁は必要なだけで高くはないんじゃない?
Re: (スコア:0)
管理者権限と役職者権限というか
そういうのって名前の付け方見せ方が難しいんですなぁ…
Re: (スコア:0)
「ネタにマジレス」
Re: (スコア:0)
海外の現状をよく知ってる風ですが、そうなんですか?
Re: (スコア:0)
・ROMしか積んでない端末を使う(但し当たり前だがその端末にデータは残せないし、外部の記録端末を使えば、それがマルウェアの潜伏先になりうる)
・マイナーすぎてマルウェア開発者に相手にされないようなアーキテクチャの環境を用意する(但し標的型攻撃には無力)
Re: (スコア:0)
ウェブやメールをスキャンして、マルウェアを検知する機器が何種類もあるよ。
個人なら兎も角、企業から見ればそこまで高くないし、クラウドサービスもある。
もちろんそれ以外の経路での侵入に備えて、端末にウイルス対策ソフトをインストールしておくのも大事。
でもこのケースでは自分の意思でインストールしているから、マルウェアじゃないと思うよ……。
Re: (スコア:0)
Re: (スコア:0)
いや、遠隔操作自体はごくごく真っ当なソフトウェア。MacにもWinにも元から付いてる機能だし(Winの一部のエディションでは使えないけど)。
家でノートパソコンを使う場合は、デスクトップに繋いであるラグジュアリーなモニタやらキーボードやらを使って操作したい、
という程度のちょっとした用途でも当たり前に使われている機能。クラウドの普及でそういう使い方をする利点が減ってきているけど。
きちんと設定すれば地球の裏側からでも使えるけど、きちんと設定するのがめんどくさい、諸般の事情で難しい、
より便利な追加の機能が欲しい、というような人のために、遠隔操作用のソフトウェアもいろいろと公開されている。
Re: (スコア:0)
TeamViewerとかRealVNCとかに、悪意があるとは思えないよ。
ちなみに機器(メーカ)にもよるけど、遠隔操作系ソフトは「リスクウェア」として分類されて、
設定次第で遮断できたりもするよ。
Re: (スコア:0)
>最初に感染したと言うメッセージ
このストーリー通り、この段階で感染と呼べる状態にする必要は無い。
単に、「お前は狙われている。助かりたければここに電話」と表示するだけのサイト。
>簡単にマルウェアが機能できないような仕掛けはありませんか?
ある意味出来るけど、期待されるような完璧さでは不可能。
できるというのは、その事務所の管理者以外はソフトウェアをインストールを出来ない、
PCの設定を変更できない、としておけば遠隔操作されるまでには至らない。
完璧ではないというのは、その対策がされていても、電話での指示を「遠隔操作ツールをインストールし
Re:電話かけて指示に従ったのが問題なのかな (スコア:1)
お金を渡された子山羊たちはそれぞれにお家を建てました
ひとりはコンクリート製の強固なお家を建てましたがもうお金は残りませんでした
ひとりは木造の家を建てて護身用に小さな拳銃を買いました
ひとりは家の代わりに寝袋と、残りのすべてのお金でライフルや軽機関銃などで武装しました
あれ?3匹しかいないが、こんな感じだったような