パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

JTB、標的型メールによる攻撃を受け顧客情報流出」記事へのコメント

  • ウイルスに遠隔操作されても個人情報にアクセスできないような気がするのですが。。。

    • ウイルスに遠隔監視されてる端末上で、職員が個人情報へのアクセスを行うと……。

      • ウイルスに遠隔監視されてる端末上で、職員が個人情報へのアクセスを行うと……。

        監視された状態で個人情報にアクセスすれば遠隔地でその情報を見れるのはわかるんですが、
        790万人分にアクセスって相当な量ですので不思議に思って。

        遠隔操作もあったにしても790万件のアクセスってなかなかできないですよ。

        • アクセスして得た個人情報それ自体を見ることが重要なのではなく、
          その直前に認証してアクセス権限を取得する手続きを見ることが重要なのです。

          • データベースサーバに自由自在にアクセスできる権限のあるPCというのを外部と接触するネットワークから完全に隔離しておけば、漏洩はしなかったはず。

            完全隔離と業務の効率化とを両立させるような仕掛けはありえないのでしょうか?

            • by Anonymous Coward on 2016年06月16日 2時06分 (#3030342)

              クレデンシャルを入力出来るのは、シェル上で手動で実行した時に限る、

              みたいな仕組みは、SELinuxにもPowerShellにも有るのでは無いでしょうか?

              親コメント
              • シェル上に手動で入力とリモート操作での入力とを区別できるような仕組みは
                どうしてもサーバ側ではなくクライアント端末側にソフトウェア実装が必要なので、
                結局クライアント端末が自由に改変できる状況下では時間稼ぎにしかならないですね。
                とはいえ外部との通信遮断などの対策に必要となる貴重な時間を稼げるのなら
                対策としては十分目的を果たしているのかもしれません。

                確実(それもある程度でしかない)な対策はハード的に分離する方法しかないですが、
                実運用を考えると……というのは他の方がコメントされている通りだと思います。

                親コメント
              • DB操作系と受付業務系の実質隔離としては、

                1. VMやsandboxによる一台のPC内での分離
                2. (漫画的だけど)DB操作系PCと受付業務系PCの二台使用、受付業務系PCからの文字列のコピペは、画面をカメラでモニタしつつ、OCRして取り込む。受け付業務系PCへは、USBキーボードをエミュレートして、文字列を送信。など。
                3. DB操作はコマンドの送信後、そのコマンドの実行を指紋認証で行う。ただし、指紋認証のデバイスはPCとは別のもの、別のネットワーク、あるいは、RS-232C等で行う。PCには指紋認証のデバイスは付属させない、指紋情報が盗まれないように。

                などがありうるような気がします。

                親コメント

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...