アカウント名:
パスワード:
管理者権限があればIDが見れるのは普通だが、パスワードや暗証番号を見れるのは駄目だろ。復号可能なシステムにしてたことにも責任がある(それもSCSKなのかもだが)
今オレが使ってるネット証券会社なんか、パスワードリセットすると「登録時の」パスワードにリセットして郵送してくれたしもちろん二要素認証なんか対応してないんだぜぇ日本の証券会社を舐めてもらっちゃ困ります
そんなネット証券会社を使い続けてるアナタの頭がヤバい。
2020年9月に発表されたSBI証券や岡三オンライン証券で顧客口座から資金が流出した不正アクセス事件の時に松井証券も調査して今回の不正に気づいて警察に相談してたんじゃないかと思ってしまう。松井証券は先日までパスワードの長さが8文字までで文字の種類は英字のみだった。この制約が先週末のメンテで改善されたと思ったら今回の発表。被害にあったのは15名かもしれないけど、ユーザID,ログインパスワード,取引パスワードは全部漏洩してるんじゃないだろうか。
漏れてる可能性に気付いたけど犯人不明被害範囲不明だと騒ぎが広がるから、監視しつつ放置して具体的な被害範囲(≠全容)が出せる犯人が掛かるまで待ってたとかも有り得るかな?
証券会社に限らずあるある。ユーザーのパスワード運用には無茶苦茶厳しい癖に、何かあると「初期パスワードを使ってください」って所。
ハッシュ化の鍵を設定するのも管理者だろうから、ブルートフォースや辞書攻撃でハッシュ作って一致したトコを探したのかもしれん。これだと復号せずにパスワードや暗証番号が手に入る。
そんな機密情報を外部の人間がアクセスできるってのがやばいと思うが。てか、どの企業も「委託」が多すぎじゃない?自分とこで人材もてよ。
不正を許すような組織なら今度は自社で抱えたIT要員が不正を働くだろうから委託かどうかというのはあまり重要じゃない。
委託も含めて不正が発覚した場合どうなるかを繰り返し教育することと日常の本番データに接する際のログを事細かに取って少しでも怪しい振る舞いをした人間をパージすることが大切だと思う。
パスワードが盗まれたと言えば、平文で盗まれたとしか考えられない低レベルはいい加減セキュリティの話に首を突っ込むのを止めろ。
いや、これ単なるシステム管理者じゃなく、システム開発者でしょ?「松井証券様のシステム開発等に専任で従事していた当該元社員」ってSCSKの開示情報にあるんだし。元から不正を行うつもりだったのなら、「ハッシュ化する」と偽って、平文もしくは復号可能な暗号文で保存していた可能性もあるんじゃないかな。
まあ、最もお手軽な書き出し先候補はログですね。しれっとログイン時の入力情報を吐いておく。安易に見られないように暗号化したとでも言っておけば、パスワードが混ざってても気付かれにくいですね。
元コメはそういう手口でパスワードを抜かれたのではなくて、貧弱な妄想で平文あるいは復号可能でDBに保存してあるシステムがダメだと言ってるのでは?
そんなコード混入できるとしたら、平文でパスワード保存してるよらヤバくね?
ヤバいに決まってんだろwww開発者に明確な悪意があんだよwwww
と言いたくなるが、とはいえそういう感想があるのも普通の事で、どちらかというとすば洞を付けるモデレータの方に違和感がある。
このコメは、復号可能な形で保存したパスワードにシステム管理者がアクセス可能だった、という想定でしょ。変なコメントじゃない。
ただ、復号可能でないハッシュ値でも沢山入手すれば弱いパスワードは抜けるので、実際にどういう形で保存していたかは分からないかな。(既に公表されていたらすまぬ)
想定だけならまだいいが、そんな無能の想定で批判までしちゃった上にすば洞なんて、ヤフコメ以下じゃん。
ではどのように盗まれたと考えるのが高レベルなのでしょうか。
ログに仕込んで~ってやつがいるが、それだと計画的、それも長期的な犯行なわけだけど、そっちのほうが無理がある。
この犯罪者は計画的・長期的に犯行を実行できる条件を持ってるんだからそこに無理はないでしょ。#4000793は全く頭を使っていないのが否定されてるだけ。スクリプト挿入でもハッシュ解析でも可能性があるのに、いきなりDBが平文がと決めつける発想が貧しいってこと。それしか知らないところが察せられるから低レベルって言われる。
いきなりステーキのトピックによると、従業員の業務中の犯罪については企業は無限責任であり、賠償しても許されることのない永久責任であるとのことなのでSCSKは即刻破産、会社解散して責任を取るべき。
経済犯と自殺事件の区別つかない?
# まあ勝手に決済したのなら本来客が得るはずだった損益を追加(もしくは減額)負担する必要があるので、賠償額は無限かもしれないが。
法律の運用上は、経済犯の方が重罪とされます。知りませんか?
そもそもこの手の横領は掃いて捨てるほどの大量の判例があるし
判例は関係ないですよ。いきなりステーキのトピックで述べられているのは、社会正義の体現者である、善良な市民による社会的制裁の話です。
善良な市民が考える社会正義として、ペッパーランチやSCSKは、雇用者責任として、無限、永久の責任を負うというものです。被害を弁償したから罪が消えるというものではなく、永久に謝罪と賠償を行わなければならないとする考え方です。
韓国はもういいです
無限責任っていうのは被害者の言い値で賠償するということではなく賠償金額に上限が無いってことだよ。対義語は有限責任でこれは自分の出資分を手放せばOK。
ああお詫びのしるしに松井証券を買ってCSK証券にするってか。。。それ全員がハッピーな結末なんでは?
> 住友商事グループで売り上げが4000億円もある
住友商事の売上高は2020年3月期の単独で約2兆円、連結で約5兆円だ。4000億円とは、「まあ、随分と軽く見られたもんだな」って言うんじゃない?住友商事はさ。
> なんなら売り上げ250億円の松井証券を丸ごと買って詫びることもやぶさかではない。
企業買収の値決めに対して、その会社の売上高は副次的な意味しか持たない。というか、参考程度の意味しかない。やはり本筋は利益、それも純利益ね。
松井証券のここ3四半期の純利益は約153億円、通期換算だと約204億円。この会社
普通に読んだら売り上げが4000億円なのはSCSKだってわかるだろうに…https://www.scsk.jp/ir/library/briefing/pdf/scsk/20200428_financial_re... [www.scsk.jp]2019年で387G¥
> 普通に読んだら売り上げが4000億円なのはSCSKだってわかるだろうに…
おう。SCSKの売上が連結で約4000億円ね。了解。だが、売上を言う場合には連結を使わずに、普通は単独を使うんだよ。持分の補正を行わないケースが多いので、連結売上は大幅な水増しとなる可能性があるのが使わない理由。常識ハズレの記述だったので、誤読しちゃったよ。
で、SCSK。純利益は?約300億円しかないじゃん。そんな規模しかない会社が、松井証券を買う?住友商事が買うより無理無理じゃん。(笑)「なんなら売り上げ250億円の松井証券を丸ごと買って詫びることもやぶさかではない」って、考えるだけでも愚かしいよ。
> 素直に間違い認められずにマウントとることしか考えてないマン
重箱の隅をせせって、楽しいかね?些細な間違いを指摘したら、素人っぽい言い方をしてたのがバレて、更に松井証券買収が更に非現実的になったという、恥ずかしいおまけ付き。
ご苦労様。
> プレミアム300~400%のあまり聞いたことないTOBになるが、お詫びならそのぐらいは当然ってか。> 1兆円と言えばLINEの買収額だ。妥当な価格は頑張ってもZOZOの4000億円ぐらいじゃないか。純利益は松井の倍近くあったがな。
一兆だろうが4000億だろうが、どっちにしろ、SCSKが払える様な額じゃないな。日立金属は、20年3月期は赤字だが、19年3月期は約300億の純利益。デューデリの最中ではあるが、持分50%程度の売却で予定価格は7000億だそうだ。100%なら1.4兆だな。これも高いとか言い出すのかな?KKRが失笑しそうだぞ?
zozoは実質ボロ会社だからなあ。よく買い手があったもんだよ。ハゲ社長に感謝しないとな。
ZOZOは救済買収、対して松井は救済して貰う必要なんか無いし、ウケに入ってる会社だしな。なら、ZOZOはディスカウントされるし、松井はプレミアムがつく。それを同列に並べるとは、なんたるシロウト。シロウトが鉄火場にいれば、巻き添えを食うよ。どっかにすっこんでたほうが良くねえか。
それが400%のアホみたいなプレミアの見解か?つか松井の倍の利益を出してる会社の何を救済するんだカス。LINEと同額の買収額の見解もシロウトに教えてくれや。
ZOZOの買収って持分50%の買収じゃん。買収時の利益って160億で松井より少ないし。どこが松井の倍なんだ?
そんなもんが4000億なら松井が1兆でもお買い得じゃね?
それが400%のアホみたいなプレミアの見解か?
買収プレミアムとか言ってるから、日本の会社は買収に失敗するんじゃないかな。
松井の倍の利益を出してる会社
これは嘘だな。嘘を基礎に、何を議論しようとしてるのかな。
住商エレクトレードという黒歴史があるので、買収すらしたくないと思う・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
いろいろヤバくね? (スコア:4, すばらしい洞察)
管理者権限があればIDが見れるのは普通だが、パスワードや暗証番号を見れるのは駄目だろ。
復号可能なシステムにしてたことにも責任がある(それもSCSKなのかもだが)
Re:いろいろヤバくね? (スコア:3, 興味深い)
今オレが使ってるネット証券会社なんか、パスワードリセットすると
「登録時の」パスワードにリセットして郵送してくれたし
もちろん二要素認証なんか対応してないんだぜぇ
日本の証券会社を舐めてもらっちゃ困ります
Re:いろいろヤバくね? (スコア:2)
そんなネット証券会社を使い続けてるアナタの頭がヤバい。
Re:いろいろヤバくね? (スコア:1)
2020年9月に発表されたSBI証券や岡三オンライン証券で顧客口座から
資金が流出した不正アクセス事件の時に松井証券も調査して今回の不正に
気づいて警察に相談してたんじゃないかと思ってしまう。
松井証券は先日までパスワードの長さが8文字までで文字の種類は英字のみだった。
この制約が先週末のメンテで改善されたと思ったら今回の発表。
被害にあったのは15名かもしれないけど、ユーザID,ログインパスワード,
取引パスワードは全部漏洩してるんじゃないだろうか。
Re: (スコア:0)
漏れてる可能性に気付いたけど犯人不明被害範囲不明だと騒ぎが広がるから、
監視しつつ放置して具体的な被害範囲(≠全容)が出せる犯人が掛かるまで待ってたとかも有り得るかな?
Re: (スコア:0)
証券会社に限らずあるある。
ユーザーのパスワード運用には無茶苦茶厳しい癖に、何かあると「初期パスワードを使ってください」って所。
Re: (スコア:0)
ハッシュ化の鍵を設定するのも管理者だろうから、ブルートフォースや辞書攻撃でハッシュ作って一致したトコを探したのかもしれん。
これだと復号せずにパスワードや暗証番号が手に入る。
Re: (スコア:0)
そんな機密情報を外部の人間がアクセスできるってのがやばいと思うが。
てか、どの企業も「委託」が多すぎじゃない?自分とこで人材もてよ。
Re: (スコア:0)
不正を許すような組織なら今度は自社で抱えたIT要員が不正を働くだろうから委託かどうかというのはあまり重要じゃない。
委託も含めて不正が発覚した場合どうなるかを繰り返し教育することと
日常の本番データに接する際のログを事細かに取って少しでも怪しい振る舞いをした人間をパージすることが大切だと思う。
Re:いろいろヤバくね? (スコア:1)
Re: (スコア:0, 興味深い)
パスワードが盗まれたと言えば、平文で盗まれたとしか考えられない低レベルはいい加減セキュリティの話に首を突っ込むのを止めろ。
Re:いろいろヤバくね? (スコア:1)
いや、これ単なるシステム管理者じゃなく、システム開発者でしょ?
「松井証券様のシステム開発等に専任で従事していた当該元社員」ってSCSKの開示情報にあるんだし。
元から不正を行うつもりだったのなら、「ハッシュ化する」と偽って、平文もしくは復号可能な暗号文で保存していた可能性もあるんじゃないかな。
Re: (スコア:0)
まあ、最もお手軽な書き出し先候補はログですね。しれっとログイン時の入力情報を吐いておく。
安易に見られないように暗号化したとでも言っておけば、パスワードが混ざってても気付かれにくいですね。
Re: (スコア:0)
元コメはそういう手口でパスワードを抜かれたのではなくて、
貧弱な妄想で平文あるいは復号可能でDBに保存してあるシステムがダメだと言ってるのでは?
Re: (スコア:0)
そんなコード混入できるとしたら、平文でパスワード保存してるよらヤバくね?
Re: (スコア:0)
ヤバいに決まってんだろwww開発者に明確な悪意があんだよwwww
Re: (スコア:0)
と言いたくなるが、とはいえそういう感想があるのも普通の事で、どちらかというとすば洞を付けるモデレータの方に違和感がある。
Re: (スコア:0)
このコメは、
復号可能な形で保存したパスワードに
システム管理者がアクセス可能だった、
という想定でしょ。変なコメントじゃない。
ただ、復号可能でないハッシュ値でも沢山入手すれば弱いパスワードは抜けるので、実際にどういう形で保存していたかは分からないかな。
(既に公表されていたらすまぬ)
Re: (スコア:0)
想定だけならまだいいが、そんな無能の想定で批判までしちゃった上にすば洞なんて、ヤフコメ以下じゃん。
Re: (スコア:0)
ではどのように盗まれたと考えるのが高レベルなのでしょうか。
ログに仕込んで~ってやつがいるが、それだと計画的、それも長期的な犯行なわけだけど、そっちのほうが無理がある。
Re: (スコア:0)
この犯罪者は計画的・長期的に犯行を実行できる条件を持ってるんだからそこに無理はないでしょ。
#4000793は全く頭を使っていないのが否定されてるだけ。
スクリプト挿入でもハッシュ解析でも可能性があるのに、いきなりDBが平文がと決めつける発想が貧しいってこと。
それしか知らないところが察せられるから低レベルって言われる。
Re: (スコア:0)
いきなりステーキのトピックによると、
従業員の業務中の犯罪については企業は無限責任であり、
賠償しても許されることのない永久責任であるとのことなので
SCSKは即刻破産、会社解散して責任を取るべき。
Re: (スコア:0)
経済犯と自殺事件の区別つかない?
# まあ勝手に決済したのなら本来客が得るはずだった損益を追加(もしくは減額)負担する必要があるので、賠償額は無限かもしれないが。
Re: (スコア:0)
法律の運用上は、経済犯の方が重罪とされます。
知りませんか?
Re: (スコア:0)
そもそもこの手の横領は掃いて捨てるほどの大量の判例があるし
Re: (スコア:0)
判例は関係ないですよ。
いきなりステーキのトピックで述べられているのは、
社会正義の体現者である、善良な市民による社会的制裁の話です。
善良な市民が考える社会正義として、ペッパーランチやSCSKは、雇用者責任として、無限、永久の責任を負うというものです。
被害を弁償したから罪が消えるというものではなく、
永久に謝罪と賠償を行わなければならないとする考え方です。
Re: (スコア:0)
韓国はもういいです
Re: (スコア:0)
無限責任っていうのは被害者の言い値で賠償するということではなく賠償金額に上限が無いってことだよ。
対義語は有限責任でこれは自分の出資分を手放せばOK。
Re: (スコア:0)
ああお詫びのしるしに松井証券を買ってCSK証券にするってか。。。
それ全員がハッピーな結末なんでは?
Re: (スコア:0)
> 住友商事グループで売り上げが4000億円もある
住友商事の売上高は2020年3月期の単独で約2兆円、連結で約5兆円だ。4000億円とは、「まあ、随分と軽く見られたもんだな」って言うんじゃない?住友商事はさ。
> なんなら売り上げ250億円の松井証券を丸ごと買って詫びることもやぶさかではない。
企業買収の値決めに対して、その会社の売上高は副次的な意味しか持たない。というか、参考程度の意味しかない。やはり本筋は利益、それも純利益ね。
松井証券のここ3四半期の純利益は約153億円、通期換算だと約204億円。この会社
Re: (スコア:0)
普通に読んだら売り上げが4000億円なのはSCSKだってわかるだろうに…
https://www.scsk.jp/ir/library/briefing/pdf/scsk/20200428_financial_re... [www.scsk.jp]
2019年で387G¥
Re: (スコア:0)
> 普通に読んだら売り上げが4000億円なのはSCSKだってわかるだろうに…
おう。SCSKの売上が連結で約4000億円ね。了解。だが、売上を言う場合には連結を使わずに、普通は単独を使うんだよ。持分の補正を行わないケースが多いので、連結売上は大幅な水増しとなる可能性があるのが使わない理由。常識ハズレの記述だったので、誤読しちゃったよ。
で、SCSK。純利益は?約300億円しかないじゃん。そんな規模しかない会社が、松井証券を買う?住友商事が買うより無理無理じゃん。(笑)「なんなら売り上げ250億円の松井証券を丸ごと買って詫びることもやぶさかではない」って、考えるだけでも愚かしいよ。
Re: (スコア:0)
> 素直に間違い認められずにマウントとることしか考えてないマン
重箱の隅をせせって、楽しいかね?
些細な間違いを指摘したら、素人っぽい言い方をしてたのがバレて、更に松井証券買収が更に非現実的になったという、恥ずかしいおまけ付き。
ご苦労様。
Re: (スコア:0)
> プレミアム300~400%のあまり聞いたことないTOBになるが、お詫びならそのぐらいは当然ってか。
> 1兆円と言えばLINEの買収額だ。妥当な価格は頑張ってもZOZOの4000億円ぐらいじゃないか。純利益は松井の倍近くあったがな。
一兆だろうが4000億だろうが、どっちにしろ、SCSKが払える様な額じゃないな。
日立金属は、20年3月期は赤字だが、19年3月期は約300億の純利益。デューデリの最中ではあるが、持分50%程度の売却で予定価格は7000億だそうだ。100%なら1.4兆だな。これも高いとか言い出すのかな?KKRが失笑しそうだぞ?
zozoは実質ボロ会社だからなあ。よく買い手があったもんだよ。ハゲ社長に感謝しないとな。
Re: (スコア:0)
ZOZOは救済買収、対して松井は救済して貰う必要なんか無いし、ウケに入ってる会社だしな。
なら、ZOZOはディスカウントされるし、松井はプレミアムがつく。
それを同列に並べるとは、なんたるシロウト。
シロウトが鉄火場にいれば、巻き添えを食うよ。
どっかにすっこんでたほうが良くねえか。
Re: (スコア:0)
それが400%のアホみたいなプレミアの見解か?
つか松井の倍の利益を出してる会社の何を救済するんだカス。
LINEと同額の買収額の見解もシロウトに教えてくれや。
ZOZOの買収って持分50%の買収じゃん。
買収時の利益って160億で松井より少ないし。
どこが松井の倍なんだ?
そんなもんが4000億なら松井が1兆でもお買い得じゃね?
Re: (スコア:0)
それが400%のアホみたいなプレミアの見解か?
買収プレミアムとか言ってるから、日本の会社は買収に失敗するんじゃないかな。
松井の倍の利益を出してる会社
これは嘘だな。嘘を基礎に、何を議論しようとしてるのかな。
Re: (スコア:0)
住商エレクトレードという黒歴史があるので、買収すらしたくないと思う・・・