年金機構、職員の電子メールを当面禁止、公式サイトは脆弱性発見で閲覧不可に 88
ストーリー by hylom
踏んだり蹴ったり 部門より
踏んだり蹴ったり 部門より
あるAnonymous Coward 曰く、
日本年金機構は個人情報流出事件を受けて、当面の間職員が使用する外部向け電子メールの使用を禁止したことを発表した(CNET)。
また、このリリースが掲載されているはずの公式サイトは脆弱性が発見され、「日本年金機構ホームページ (復旧作業中)」という暫定ページが出る状態となっている。アナウンスによると、6月6日の15時40分から閲覧を停止したという。当初は6日中の復旧を目指していたが、作業が長引いているとのこと(朝日新聞)。中の人たちはかなりグダグタになってそうだ。
国民に情報漏洩の補償をする必要はないが (スコア:5, すばらしい洞察)
情報漏洩に対して職員を罰し責任を取らせるのは必要だろう。
# 無償で働いていたのならば、この限りではないが…
Re:国民に情報漏洩の補償をする必要はないが (スコア:1)
この種のメール経由の攻撃について、過大な罰を与えても何も改善しませんよ。
改善すると思ってるなら、リスクを軽く見すぎてます。
Re:国民に情報漏洩の補償をする必要はないが (スコア:1)
リスクに対する認知度はあがると思います。
とてもレベルの低い話ですが、まずは知ってもらわないと・・・。
Re: (スコア:0)
だからこそのメール禁止ですねわかります。
Re:国民に情報漏洩の補償をする必要はないが (スコア:2)
ていうかさ、戦争だよねコレ
Re: (スコア:0)
ちゃんとした管理システムを入れているなら、メール禁止でもそんな困らないはず。
Re: (スコア:0)
働かざるもの食うべからずという言葉があってだな…
Re:国民に情報漏洩の補償をする必要はないが (スコア:1)
語源はここらへん [wikipedia.org]だと思っていたけど、ちょっと意味合いが違うか。
働かざるもの食うべからずのwikipediaの記述 [wikipedia.org]って、勤労の義務に関してはちょっと驚く記述になってるな。Uncyclopediaじゃないのかとちょっと疑った。
#存在自体がホラー
Re: (スコア:0)
それはレーニンが不労所得で食ってる金持ちに言ったイヤミだけど、この件とどういう関係が?
Re: (スコア:0)
語源はともかくその後の一般的な使われ方も知らないのならしょうがないね。
Re:国民に情報漏洩の補償をする必要はないが (スコア:2)
ソ連憲法第一条だということを覚えていない人(学ばなかった人も含む)、多そうですね。
Re: (スコア:0)
金持ち批判から無職ニート批判の言葉として矛先がまるっきり変わったのは何らかの陰謀ではないか?
Re: (スコア:0)
わかる。
>改善すると思ってるなら、リスクを軽く見すぎてます。
全く意味が分からん。リスクの見積もりがどう関係するんだ?
Re: (スコア:0)
>> 改善すると思ってるなら、リスクを軽く見すぎてます。
> 全く意味が分からん。リスクの見積もりがどう関係するんだ?
あ、ここで言ってるリスクは、「十分な教育をしていたとしても、malware入り添付ファイルを
開いてしまうリスク」のことです。分かりづらい表現ですみません。
Re: (スコア:0)
マルウェアに引っかかる確率や頻度は高いから対策としてNG、というのなら同意できねぇ。
なぜなら頻度が低い事案であっても結果罰じゃ意味無いと思うから。
Re: (スコア:0)
何を持って過大としているの?
Re:国民に情報漏洩の補償をする必要はないが (スコア:1)
見せしめ的に職員を罰しても加入者にはなんの益もない。
少なくとも形式上、国が外部委託していることになっていて
だらしなく情報漏洩して、その処理費用を保険料から支出するということなので
個人情報を預けて年金を預けることを強制する正当性が失われている。
任意加入にして、加入したくない人には元本だけでも返還すべきでしょ。
Re:国民に情報漏洩の補償をする必要はないが (スコア:1)
公務員は身内を守る傾向があるから、特に罰がなくても不思議ではない。
失態を犯して罰を与えないことは、もし自分がその立場になったときに罰されないからだ。
自分を守るために周りの問題を見て見ぬ振りをする。
そういう馴れ合い組織が問題を解決していけるとは思えないな。また今回のような事象を起こすだろう。
Re:国民に情報漏洩の補償をする必要はないが (スコア:4, 興味深い)
悪質な規定違反があったのならともかく、「うっかり」でやらかしたことに罰を与えるとインシデントが発生したときにそれを隠そうとするインセンティブが強烈にはたらくから、絶対にやっちゃいけない方法。
規定がなかった/あっても守られてなかったのなら組織・仕組みの問題だから、罰を受けるべきは経営サイドのみ。
Re:国民に情報漏洩の補償をする必要はないが (スコア:1)
規定を守らなかった職員本人も、そのような運用を強制していた上司も、罰せられて当然。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:国民に情報漏洩の補償をする必要はないが (スコア:1)
マジメに仕事してなかったという意味での処罰は必要だろうけど、漏洩そのものの責任は職員の根性に寄りかかった環境を作ったヤツが取るべきでは。
Re: (スコア:0)
# 無償で働いていたのならば、この限りではないが…
えっ?
Re: (スコア:0)
サービス残業になった途端、ありとあらゆる法規を超越して奴隷労働を要求するのはいかがなものか
メール禁止? (スコア:3, すばらしい洞察)
トラップメールを開いた事よりもデータをインターネットにつながったコンピューターにコピーして運用していた事のほうが問題なような
※さすがに今どき.exeを開いちゃうのは擁護できませんが
Re:メール禁止? (スコア:3, 興味深い)
ところが秘文というものがあってですね… >今どき.exeを開いちゃうのは擁護できませんが
日立ソリューションズ『秘文 File Encryption』と自己解凍型exeファイルに対する反応
http://togetter.com/li/831672 [togetter.com]
Re:メール禁止? (スコア:2, 参考になる)
NTT(ciphercraft)も添付ファイルに自己解凍型exeを送ってきたよ。
日立もNTTも顧客の安全なんて考えてないんだろう。
Re:メール禁止? (スコア:1)
今どきのWindowsだとデフォルトでは拡張子って見え無くしてて、一般的なユーザだとその存在も知らなさそう。
標的型攻撃だと「意識」だけで防ぐのは無理でしょうね。
その認識が無い人たちに情報管理させてたとしたらそれが穴になってそうなので、そこからがんばってくだされ>責任者とコンサルの人たち。
Re: (スコア:0)
> 今どきのWindowsだとデフォルトでは拡張子って見え無くしてて、
今どきっていつ頃からを指すんだろう……。
自分の感覚ではかなり前からなんだけど。
Re:メール禁止? (スコア:1)
>今どきっていつ頃からを指すんだろう……。
Windows3.1より後・・・
#年寄ですまんです
Re: (スコア:0)
絶対に隔離すべきデータをさわるのにもかかわらず、インターネットに接続したPCに
そのデータをコピーしているなんて、どう考えても馬鹿がやっているとしか思えない
そもそもウイルスチェッカーやワクチンソフトなるものはどうなっていたのだろう
すり抜けてきた?それともお役所得意のノーガード戦法?
Re: (スコア:0)
ターゲット攻撃にアンチウイルスソフトは無効ですよ。
Re: (スコア:0)
無効というより無力のほうが合ってるかな。
アンチウイルスはすでに知られてるものにしか対処できないわけで、新種は完全スルーするしかない。
ファイルのパーミッションだけではなく、AppArmorみたいなアプリ単位のファイルアクセス制御を付加するとかで、ウイルスに引っかかってもダメージを抑える方策じゃないと無理じゃないかな。
もしくは規定されたアプリしか開けないようにきっちり管理するとか。
Re:メール禁止? (スコア:1)
一応、ヒューリスティック分析で対応できる種類の「未知のウィルス」もあるので、一概に「無効」とか「無力」までは言えないかと。
>アンチウイルスはすでに知られてるものにしか対処できないわけで、新種は完全スルーするしかない。
というわけではない。
ただ、巧妙に作られているものに対応するのはやはり難しいようだが。
Re:メール禁止? (スコア:2, 興味深い)
ほぼ「無力」ですよ。マルウェア製作者は、ローカルPC上のヒューリスティック解析に引っかからないように、複数のアンチウィルスソフトを試しながら作ってますので。
後のサーバー上での詳細なヒューリスティック解析では引っかかるかもしれませんが、それでは遅すぎます。
Re: (スコア:0)
Windowsにも、一応、強制アクセス制御としてMandatory Integrity Control [wikipedia.org]が載っていますが、大まかな制御しかできないので微妙です…。
Re: (スコア:0)
Windowsはもう長い間使ってないのでわからないけど、たしかvistaあたりから実装された管理者権限じゃないと実行できない場合ダイアログでパスワードやら確認を聞いてくるようなもの。*nix系でいうsudo。
あれさえも一般のユーザーはわずらわしい、ってことで文句言ってたんじゃなかったっけ。
セキュリティより利便性の方が重視されてしまうから、たとえ機能があっても使ってくれないんだろうなぁ。
強制すればいいんだろうけど・・・
Re: (スコア:0)
既にコメントにある秘文を始め、ファイル暗号化送信ソリューションの多くには、
自己復号形式の.exeファイルを作成する物が多くあります。
もちろん証明書なしの.exeになるのでたいていのメールゲートウェイで止められるのですが、
さらにたちの悪いことに、.exeを.ex_にして送信しろ、
.ex_を受け取ったらこう開け、というマニュアルまであるのです。
魚拓 http://megalodon.jp/2015-0606-1800-44/www.skygroup.jp/decode/exe.html [megalodon.jp]
で、こういったソフトの導入実績として官公庁があることを鑑みると、
そういったところ同士のやりとりでも使われていた可能性が高く、
.exeを開くなというルールが徹底できなかったのも分かる気がします。
Microsoft も拡張子偽装を推奨しているので同罪 (スコア:3)
Outlook でブロックされる添付ファイル [office.com]によると、
"exe" ファイルの拡張子を "docx" に偽装しろと言っているようです。何故これが「安全にファイルを共有する」方法であるのか理解に苦しみます。
Re: (スコア:0)
# そしてメールの先頭に"MZ"って書くだけでブロックされる事例が発生
Re: (スコア:0)
PEヘッダ [codezine.jp]で弾かないで、拡張子で弾いているというのもおかしいです。 >メールゲートウェイで止められるのですが、[...]、.exeを.ex_にして送信しろ、
ヘッダで弾く、まともなメールゲートウェイは普及していないんですか?
Re: (スコア:0)
そして、暗号化zipにしておいて
「パスワードは「Password」と入力して添付のZIPを展開いただいた後、中にある「重要文書.exe」を実行して下さい」
と言う怪文書が…(実話
Re: (スコア:0)
暗号化zipは、中のファイル名が平文で見えるので、中のファイル名の拡張子で弾けるはず。それに加えて、古くて弱い暗号化zip(非AES)も弾くべきかと。
# それでもexeを送る抜け道はまだまだありますね…
中の人たちは (スコア:0)
✕ 中の人たちはかなりグダグタになってそうだ。
◯ 中の人たちは昔からグダグダだったし、今も、これからもそうだ。
Re: (スコア:0)
グダグダな人たちを再雇用した当時の政府もグダグダ。
「禁止」などという決定をした担当者をクビにしろ (スコア:0)
まずはLANケーブルを引っこ抜く事からだ。
それが基本であり絶対のポリシー。
人間の統制だけして問題が起きたら現場担当のせいってやり方はセキュリティの世界では通用しない。
それがわかってないからこういう事になる。
卵が先か鶏が先かという話ではなく、
トラブルに対する対処ポリシーがそもそものトラブルの原因になっていることに気付いていない。
Re: (スコア:0)
USBや光学メディアも感染源になりますし、安全にセキュリティ更新できない環境というのも微妙ですよ。
ハードウェア型ファイアーウォールを導入しろ、ファイアーウォールの設定をキツくしろと主張するなら分かりますが、LANケーブルを抜くのは無いと思います。
Re: (スコア:0)
ならUSBもふさげばいいだけじゃない。
どこの会社もそうしてる。
設定終わったって確認できる、メール系と個人情報系のネットワークの分離ができたと確認できるまでは仕事止まろうがなんだろうが抜けって話。
何も対策をせずに人間の教育が解決に繋がると思ってる甘い考えがそもそもでしょ。
根本的な原因は単なるオペミスではなくメール系と個人情報系の作業を同じPCでやっていた事。
分離がすぐにできないのならまずは個人情報系を安全なネットワークに隔離しないといけない。それが最優先。
それはつまり外部へのラインを切る事。
メール以外の要因でも漏れる可能性を孕んだままメールだけ禁止してるって状況をもうちょっと危険視しないと。
伝書鳩の出番 (スコア:0)
このビル [wikipedia.org]の屋上にど~んと鳩小屋を設置してだな
Re: (スコア:0)
そしてRFC 1149のIPoACでまた流出、と
年金支給に影響が出るかも (スコア:0)
サイバー攻撃じゃなくて、ヒステリックな「対策」のせいで業務が滞ったために。
首を吊る人、飛び降りる人、電車に飛び込む人も出るかも。