情報漏えいを発見してしまったらどうするべき? 51
ストーリー by hylom
スルーできれば良いのだが、 部門より
スルーできれば良いのだが、 部門より
あるAnonymous Coward 曰く、
ScanNetSecurityに「サイバーセキュリティ賢者の選択-自分が被害者で発見者になってしまったら」という記事が掲載されている。内容は、自分のメールアドレスを含む大量のメールアドレスがネットに漏えいしていたのを発見してしまったらどう対処すべきかを検討する、というもの。
これは2004年から連載されてきたシリーズであり、サイバー・ノーガード戦法という言葉が初めて使われた記事と思われる。この記事にある会話は空想ではあるが、実際にインターネット上に漏えいしているようだ。テレビドラマや映画などで、主人公があり得ない未来を予測し、予測を馬鹿にしたキャラクターは被害にあい後悔するシーンがあるが、現実でも無名な顧客に漏えいを指摘された時点で対処をすることが被害を縮小できる唯一の手段と思われる。
/.Jerの皆さんはマニュアル外の緊急事態が起きてしまった場合、無視せずにどう対処するのだろうか。
ちなみにサイバー・ノーガード戦法とは、「セキュリティ対策は行わない」「問題が発生したら自らは被害者であると主張する」などといった、「セキュリティ対策をちゃんと行っておらず、インシデントが起きてもお詫びだけですませようと考えているサイト運営者とそんなサイト運営者をかばうような制度を皮肉ったもの」(ScanNetSecurityの記事)である。
消えない、情報 (スコア:5, すばらしい洞察)
となっていますが、Googleで個人情報見えちゃうようなタコいサイトを作っているところで、サービスの利用をやめたところで自分の個人情報がきちんと消してもらえない可能性、って考慮する必要はないのでしょうかね?
#え、あれ、あたし釣られた?(他の人のコメ見つつ)
神社でC#.NET
Re: (スコア:0)
だったらとっとと自分だけトンズラこいて後は運に任せると。
Re: (スコア:0)
退会したあとに再度確認すればいいじゃない。
Re:消えない、情報 (スコア:1)
ただし、電話番号を03-1101-4893とかにしてはいけません。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
>って考慮する必要はないのでしょうかね?
めちゃめちゃあるのでは? そもそもアカウントの削除すら出来ないクソなサイトがあったりするし…
http://osdn.co.jp/pp.shtml [osdn.co.jp] によると、個人情報を削除したい場合は連絡してと書いてあるけど、
ここに連絡したらアカウント削除してくれるのかな?
Re: (スコア:0)
それは、先日勝手に他人のgoogleアカウントにログインさせてくれたgoogle自身の事?
探したけどgoogleへの報告先がなかったので放置したが。
--
青が空い日が大好きです。でも仕事の日は雨が楽なのでもっと好きです。
Re: (スコア:0)
>探したけどgoogleへの報告先がなかったので放置したが。
探し方が悪いんじゃね?すぐ見つかったよ。
つか、他人の署名を弄って遊ぶのって楽しいと思ってやってるの?見ててウザいだけなんだけど。
Re: (スコア:0)
偉そうに言う割にはリンク先確認して無いんだろなぁ。それは、アメリカサイトへのリンクだよ。
>署名を弄って遊ぶのって楽しいと思ってやってるの?見ててウザいだけなんだけど。
たしかに、n_ayaseの署名はウザいが、なら非表示にすれば?
Re: (スコア:0)
こんなヨタ記事に踊らされてはいけない (スコア:5, 参考になる)
(1) 筆者が無知を認めたくないがゆえに、話を広げてるだけじゃないかと思えるフシがある
(2) 筆者自身が一連の記事の中で事実誤認を認めている。
(3) 不正アクセス禁止法については完全に事実誤認
(1) について
発見した事件や脆弱性の通報先 誰か受け取って! [fc2.com]
曰く「どこに通報すればよいのかわからない。」「発生もとの会社」「警察?」「持ち込み先がないのである。」
IPAとかJPCERT/CCとかいう選択肢を思いつかなかったように、「私には」そう見えました。
その後、それを認めない理由付けとしてこれらの団体が信用ならないという理屈をひねり出したように「私には」思えます。
(2) について
その次に、話題になっている記事を書いて、その後にこの記事を書いています。
修正情報 筆者の事実誤認などを修正しました [fc2.com]
(3) についてはとりあえず不正アクセス禁止法って、ウィルスとは関係ない。
無知を晒す目的でこのストーリーを掲載したのなら悪趣味だし、参考になる記事だと思って掲載したのなら、実際は参考にしてはならないレベルだと指摘しておきます。
Re: (スコア:0)
トロイ型のウィルスは十分引っかかる気がします。
これ [ipa.go.jp]を読むと 3条2項の1に引っかかるけど、ウィルスのような自分の意志に関わらないものを
除くみたいな但し書きもないですし
Re:こんなヨタ記事に踊らされてはいけない (スコア:1)
該当の条文って「他人のパスワード使っちゃいけないよ」ですよね。
Re: (スコア:0)
トロイ系のウィルスで踏み台にされてどこかを攻撃した場合でも
この場合不正アクセスになりますよね?
ウィルスが自動化されている場合などはどうしようも無いと思うんですが....
積極的ノーガード戦法 (スコア:4, おもしろおかしい)
・電話番号が流出したらケータイ新規で買い換える
・住所が流出したら引っ越す
・名前が流出したら改名する
・顔写真が流出したら整形する
まぁ、なんとかバーガーとかペロペロ教諭とか露出店長レベルになると
これ全部やらないと生きていけないんでしょうかね。
さらに一歩踏み込んで (スコア:0)
・電話なんて持たない
・住所不定でいる
・自分の名前なんて忘れてしまう
・常に仮面を被っておく。ついでに赤い服を着てマントを羽織っておく。
ガードする必要がないからノーガード
#しょーもないのでAC
Re: (スコア:0)
ここもそう。
とりあえず/.Jは個人情報保護のため、ユーザーがIDを削除する機能を実装するか、ユーザーの求めによりIDを削除するサービスを提供してください。
Re: (スコア:0)
#自分自身には選択権がないと言う致命的な問題はあるけれど。
Re:さらに一歩踏み込んで (スコア:1, 参考になる)
後は野となれ山となれ。
Re:さらに一歩踏み込んで (スコア:1)
「あー、近藤さんはマジで重要だよね」
とかおもっちゃったよ。てへ。
// 童貞だけdうわまて何をする(:>^
Re: (スコア:0)
黙って見守ることにしました (スコア:3, 興味深い)
教訓「下手な親切余計なお世話。親切は災いの元。」
Re: (スコア:0)
厚かましい態度で言ったら無下にしたくもなろう…
# ごめんなさい
Re: (スコア:0)
Re: (スコア:0)
そのサイトが好きだから報告するというわけではなく、そのサイトへの厚情(思いやり)で報告するのでしょうから。
かくいう私も、とあるメーカーのサイトでパーミッション設定がメチャクチャで管理者パスワードや掲示板の設定ファイルが洩れていたので「厚意」で報告してみたのですが、完全に無視されたので、そのメーカーへの「好意」も無くなりましたね。
自爆。 (スコア:3, 興味深い)
長いことログインしていなかったのですっかり忘れてました。
すぐさま修正しましたけれど、他にもやらかしていないか不安です。
#恥ずかしいネタなのでID.
puts "This user is a beginning Ruby programmer."
People Search (スコア:1)
グーグルの検索で漢字で本名(フルネーム)を入れると最初の方は半分以上私なんですが。
# 個人的にはネットに対して匿名であることは諦めています。
Best regards, でぃーすけ
なんてこったい (スコア:0)
随分前に、買い物経験のあるサイト(amazon.com)にコメントを書いたののですが、Piplのクローラが優秀なのか、非公開の住所まで、途中まで表示されるではありませんか!
もちろん、コメントは即刻削除しました。キャッシュの残存期間が気になるところではありますが、後の祭りですね。
小心者なのでAC
Re: (スコア:0)
相手による (スコア:2, 興味深い)
→丁寧に状況報告
市場にβ版を有償でバラまき、あまつさえ「脆弱性は悪人が見つけるもの」と言い切る会社
→無視無視w
現実的な他の例
→Anonymous Cowardでここにタレコむか、名無しさんで2chに書くか、放置
…もちろん上のには冗談も含まれてますが、全ての相手に同じ対応をするって事はないですね。
例えば威力業務妨害だって言い張りそうな相手に素直に説明するだけ無駄だし。
Re:相手による (スコア:4, 興味深い)
まぁ、それに対しても元記事の筆者は懸念を示してます [fc2.com]が。
はまちや2さんの事例 [hatena.ne.jp]を見るに実はIPAでもフォームからなら仮名とかでも良いかもですよ。上の筆者のBlogでも柔軟に対応してもらえたという記述があります。
まぁ、毎回前向きに対応してもらうための努力をするなんてのは無駄だと思いますが。
なので自分なら2chにスレ立てますよ。多分。
◆IZUMI162i6 [mailto]
Re:相手による (スコア:1)
--
のりたま@平仮名でも片仮名でもない文字@が1つ混じっていますけど
Re:相手による (スコア:3, おもしろおかしい)
サイバー・ノーガード戦法お勧めです。
Re:相手による (スコア:2, 参考になる)
情報漏洩でなく脆弱性の話ですが、下の記事が参考になると思います。
「未知のぜい弱性を発見した。どーすんの!?オレ」
(その1) [nikkeibp.co.jp]
(その2) [nikkeibp.co.jp]
(その3) [nikkeibp.co.jp]
匠気だけでは商機なく、正気なだけでは勝機なし。
Prisoner なんとか (スコア:0)
ちょっと普通じゃないでしょ。セキュリティの本道じゃないよねこの人ら。
何者なの?
真面目なあなたへ 贈る言葉 (スコア:3, おもしろおかしい)
Re:Prisoner なんとか (スコア:1)
iDefenseの代理店もやってるみたいですし、まるで外道かというとそれはさすがに失礼かと。
Re: (スコア:0)
/.jにタレこみ (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
とりあえず管理元に連絡する (スコア:0)
Re: (スコア:0)
笑えないミスだったよな。
マジレス (スコア:0)
IPAへの報告では実名が原則ですが、IPAとしても届けられた報告に記載されている名前が実名かどうかを簡単に確認する手段は持っていないでしょうから、やむを得ない事情があって実名を出したくない場合には、自己責任で偽名を使うこともできなくはないと思います(人名に見えないハンドルなどは不受理になる公算が高いでしょう)。
問題を発見した人が自分でサイト運営者の連絡先を探すよりは、かなり手間が楽できるだけでなく、一般窓口のような汎用の連絡先に問題を届け出てしまって、誤って問題自体が公になるリスクも減らせますし、サイト運営者の「脆弱性?はいはいわろすわろす」といった対応も直接しなくてすむので精神的にもよいです。
IPAは、サイト運営者とメールや電話で連絡がつかなければ、郵便も使って問題を知らせようとしてくれるようですので、個人が直接サイトに連絡することに比べれば、正しく連絡が到達できる確実性も格段に高いでしょう。
Re:マジレス (スコア:1, 参考になる)
仕方ないので適当な日本人ぽい名前で書いたら受理してもらえました。なんだかなぁ。
#ACが本名の人が居たら面白そうだと思ったのでAC
情報漏洩を見つけたときは~ (スコア:0, オフトピック)
typo (スコア:0)
○漏洩
Re: (スコア:0)