アカウント名:
パスワード:
年金情報“流出” 不審メールの内容入手日本テレビ系(NNN) 6月3日(水)5時29分配信http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかけるhttp://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
モノがどうかというより、送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
そういう話じゃないでしょうに。不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
別系統に分けるだけの予算があるのかとかが問題になる悪寒…今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、実際には守られていない。仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、実際にできなくする「仕組み」が必要。
『実際にできなくする「仕組み」』などというものは、結局はその組織を運営する人間の意識を改革しない限り維持できない。教育なしに厳正なシステム維持など不可能。
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。「お偉いさん」なら法で強制されれば守るだろう。
セキュリティを法律で義務化するのは割とアリだと思います。セキュリティの手法なんて、幅が少なくてほとんど同じですしね。セキュリティの問題が相手側にあることも多いですし (古いブラウザやOfficeを使いつづけるクライアント会社とか)、義務化すれば多くの問題が解決できると思います。既に、クレジットカードの取り扱いでは、「PCIデータセキュリティスタンダード」(PCI SSC) が義務化されています。ただし、法律に罰則規定がないですが (契約には免責条項があります)。
PCI DSS への準拠は義務か http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp] > 改正割賦販売法という法令に基づ
>個人情報保護法
それはちょっとだけ違う(揚げ足取りになってゴメン)。民間が対象の法律。日本年金機構による情報取扱は独立行政法人等の保有する個人情報の保護に関する法律(平成十五年五月三十日法律第五十九号) [e-gov.go.jp]に縛られる。
日本年金機構法 [nenkin.go.jp]の12条4 二を参照のこと:
(業務に際しての個人情報(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第二項 に規定する個人情報その他厚生労働省令で定めるものをいう。第三十八条第一項において同じ。)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
LZH書庫は開いちゃダメ (スコア:1)
年金情報“流出” 不審メールの内容入手
日本テレビ系(NNN) 6月3日(水)5時29分配信
http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
Re: (スコア:0)
モノがどうかというより、
送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。
突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
Re: (スコア:1)
そういう話じゃないでしょうに。
不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。
ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
Re: (スコア:0)
別系統に分けるだけの予算があるのかとかが問題になる悪寒…
今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、
本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、
実際には守られていない。
仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
Re: (スコア:0)
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。
禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、
実際にできなくする「仕組み」が必要。
Re: (スコア:0)
『実際にできなくする「仕組み」』などというものは、
結局はその組織を運営する人間の意識を改革しない限り維持できない。
教育なしに厳正なシステム維持など不可能。
Re: (スコア:0)
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。
「お偉いさん」なら法で強制されれば守るだろう。
Re: (スコア:0)
セキュリティを法律で義務化するのは割とアリだと思います。セキュリティの手法なんて、幅が少なくてほとんど同じですしね。
セキュリティの問題が相手側にあることも多いですし (古いブラウザやOfficeを使いつづけるクライアント会社とか)、義務化すれば多くの問題が解決できると思います。
既に、クレジットカードの取り扱いでは、「PCIデータセキュリティスタンダード」(PCI SSC) が義務化されています。ただし、法律に罰則規定がないですが (契約には免責条項があります)。
PCI DSS への準拠は義務か
http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp]
> 改正割賦販売法という法令に基づ
Re: (スコア:0)
実際ウッカリとかあるわけで、
添付ファイルは意識の問題という部分もあるけど
メールを開くまではやっちゃうことあると思う(流れ作業というか)。
変なメールだと気付いたけど閉じるときに操作ミスったとかさ。
ルールを決めるのは注意喚起にはいいけど起きた後の罰だけ定義してたって仕方がない。
人間はミスをする生き物物理的にできなくなる方法を考える方が良い。
ばら撒かれた側にとってもその人がどう責任をとるかなんかどうでもいいわけで。ちょっと気が収まるぐらい?
不便になりすぎない塩梅が難しいところだけどね。あと作り込みが必要ならコストも。
メールだけは別端末とか(でもネット見てての感染もあるんだっけ?)
テキストしか表示しない、添付ファイルの受信にはデイリーパスワードが必要とか
Re:LZH書庫は開いちゃダメ (スコア:1)
>個人情報保護法
それはちょっとだけ違う(揚げ足取りになってゴメン)。民間が対象の法律。
日本年金機構による情報取扱は
独立行政法人等の保有する個人情報の保護に関する法律(平成十五年五月三十日法律第五十九号) [e-gov.go.jp]
に縛られる。
日本年金機構法 [nenkin.go.jp]
の12条4 二を参照のこと: