IPA 職員の私物 PC から Winny による個人情報流出 207
ストーリー by reo
おまえもか、 部門より
おまえもか、 部門より
独立行政法人情報処理推進機構 (IPA) と言えばコンピュータウイルスやセキュリティに関する調査などのほか、2007 年まで行われてきた「未踏ソフトウェア創造事業」でも知られる団体だが、同機構職員が自宅で使っていた私物 PC から Winny ネットワークに個人情報が流出したとの事 (参考:IPA 職員の私物パソコンによる情報流出について) 。
大体、Winny の危険性について理解していなきゃならない筈の IPA 職員が何で使うかね ? どうやら .scr 経由で暴露ウイルスに感染したらしいが、流出した個人情報の内容が・・・家庭が壊れる危険性すらありそうなんですけど :p
細かいことだけど (スコア:4, すばらしい洞察)
昔は「ハッカーとクラッカーは違う」とか「それはウイルスじゃなくてトロイだろ」みたいな指摘が必ずあってウザーと思ってたけど(^^;
Re:細かいことだけど (スコア:2, 興味深い)
だそうですよ。
詳細な情報も数日中には発表されるんじゃないかと。
何が問題なのでしょう? (スコア:1, すばらしい洞察)
「当機構の業務関連の非公開情報は含まれておりません」とIPAが発表しているとおりならば、別に問題ないんじゃないかな。
>家庭が壊れる危険性
漏洩以前に Winny で落としまくったであろうエロファイルを家族に見つけられた方がよほど問題だね。今回の件で家族にバレた恐れもある。
どちらにしても恥ずかしいの一言に尽きるけど。
# この方、IPA 内部ではどんな処分が下るのでしょうね
モデレータは基本役立たずなの気にしてないよ
むしろ問題なのは 2ch の住人 (スコア:4, すばらしい洞察)
家庭どころか親類縁者がみな被害者になる恐れもあるというのに、2ch の住人は告訴されないのだろうか。
モデレータは基本役立たずなの気にしてないよ
「検索するなよ、絶対するなよ!」という事でしょうか (スコア:2, すばらしい洞察)
Re:むしろ問題なのは 2ch の住人 (スコア:1, すばらしい洞察)
隣人の家族関係を知ってるからといって2chに載せますか?
まぁ載せてれば訴えられてるでしょうけど。
もしかして「IPAの職員のくせにWinnyなんかしてるほうが悪い」とか偽善者ぶってるのであれば、
それこそ救いようが無いでしょうね。(何も考えてなさそうですけど)
Re:むしろ問題なのは 2ch の住人 (スコア:1, すばらしい洞察)
Re:むしろ問題なのは 2ch の住人(オフトピ (スコア:2)
>なおXXXいくらでも出てくる。
(一部勝手に伏せ字:-P)
この二行が余計なのではないでしょうか。特に後者は手法を解説している分、前者より有害です。脆弱性の公表もそうなのですが、公表するメリットデメリットを考えてからの方が良いと思います。
# その意味でタレコミ文の「流出した個人情報の内容が・・・家庭が壊れる危険性すらありそうなんですけど :p」は必要かなあ。
# /.Jにはわざわざ野次馬するようなモラルの低いやつは居ないという判断かもですが:-P
Re:むしろ問題なのは 2ch の住人 (スコア:1)
Re:何が問題なのでしょう? (スコア:2, 興味深い)
masakun氏の言われるとおり、自組織に関係ない個人情報だったから漏れても問題ないって考えてインストールしたのかな。
つまり、IPAの教育が行き届いていなかったって事ですね、分かります(←分かっていません)
今回情報漏洩してしまったIPA職員は、Winnyの危険性を侮っていたんですね。
一番良いのはWinnyを使わないというのが最善策だと思うのですが、僕の考え方は古いんでしょうかねぇ。
#結果にぐだぐだ言えるのは蚊帳の外だからID
Re:何が問題なのでしょう? (スコア:2)
これからは個人での使用も禁止する事で再発防止していくそうです。
なんていうか職員の意識が低すぎって思うのですが、問題無いんですかね?
対応もお役所的でどうも再発しそうな感じです。
Re:何が問題なのでしょう? (スコア:2, 参考になる)
「人としてどうなのよ?」というファイルもあったようです。
経験からいうとエロだけなら家庭は壊れません。
#李下に冠を正さず
Re:何が問題なのでしょう? (スコア:1, 興味深い)
激しく引っかかった。御自分の経験でしょうか、それとも端から見ていた経験でしょうか。
後学のためにおしえてください。
Re:何が問題なのでしょう? (スコア:1)
Re:何が問題なのでしょう? (スコア:5, おもしろおかしい)
Re:何が問題なのでしょう? (スコア:1)
#そういうものには興味が無いのでID
OMO
Kazuki Omo "You can subdue, but never tame me..."
Re:何が問題なのでしょう? (スコア:2, すばらしい洞察)
いや、IPAの言葉から説得力が無くなるという点で問題でしょう
少なくともWinnyに関していえば、「お前の所の職員だって使ってるじゃねーか」となってもおかしくない
今回の件で「この程度の組織か」という印象を持った人もいるでしょう
Re:何が問題なのでしょう? (スコア:1, 参考になる)
そもそも、Winnyがいろいろな意味でヤバいことは色々なメディアで周知されていたんだから、情報通信に携わる公務員が今になって「知らなかった」では済まされまい。
それに、公務に関係なかった、というより、そうした情報の漏洩が「発見できていない」に過ぎない。
Re:何が問題なのでしょう? (スコア:1)
普通は任期が来なくてもお払い箱じゃないですか?
Re:何が問題なのでしょう? (スコア:1, 参考になる)
大いに疑問なんですが、私的とはいえ公務員が非合法活動をしたことが
ばれたことに問題がないと、どうして思えるのか不思議です。
今回の場合、「Winnyを使うのは止めよう」と呼びかけていた組織の
人がやらかしたということなので、白バイ隊員が自分のバイクで
スピード違反していたことが問題ないって言ってるようなものですか?
Re:何が問題なのでしょう? (スコア:1, 参考になる)
・独立行政法人の職員は公務員ではないよ.
・公務員であろうとサラリーマンであろうとニートであろうと非合法活動は悪.なぜ職業や所属組織を大げさに扱う必要があるのか?
例えば電機メーカに勤務していてもDVDとTVの配線が苦手なタイプの人はいますね.それと同じで,IPAという組織がどうであっても,中にいる人間が全員セキュリティ関係の専門家というわけではないし,中にはバカなことをしてしまうようなレベルの人がいることもあり得るでしょう.「IPAだから」と,あたかも普通の会社と違うかのように扱うこと自体が変だと思いますけどね.
先に「独法憎し」「独法は潰すべき」という結論あって,そこに良いネタが飛び込んできたから喜んでるという図式にしか見えません.
Re:何が問題なのでしょう? (スコア:1)
警察官の家が空き巣に入られて制服を盗まれたとか
先生が淫行をしたとか
経済学の専門家がたくさんいるはずの大学で金融商品投資が赤字になった
といった事例と同じようなものしょう。
Re:何が問題なのでしょう? (スコア:1, おもしろおかしい)
どうみても架空の人物だろ。画像とか明らかに CG だし。
これは Winny の危険性を世に知らしめるための新春企画だ。
…みたいな陰謀論はまだですか?
問題あるでしょ? (スコア:1)
「人の子」なんて言葉で簡単に問題無しにしていいのかな?
お金を貰って組織に所属している訳ですから、プライベートでも他人より厳しくなくてはならないでしょ。
飲酒運転を注意、啓蒙してた団体の職員が飲酒運転してたら、その組織運営が問われて当然です。
個を重視する風潮になっていますが、組織に属しているという感覚は薄れているの?
リベラルっぽい風潮に傾き過ぎてなんか嫌です。
Re:問題あるでしょ? (スコア:2)
ただ、今回の事例をネタにして情報漏洩のベストエフォートな対応テンプレートを確立し、
それを適切に実践してみせれば、IPAの立場も_微妙ながら_マシになるのではないかとも考
えていますよ。
日曜の時点で経過報告をアップしたのは悪くない対応でしょう。
当初、文中に記載していた"Winny"の文言を削除したりして迷走している感じもありますが、
さすがにヤマト運輸のような暴言は吐かないでしょうね。
http://blog.livedoor.jp/dqnplus/archives/945342.html [livedoor.jp]
これまでの事例ではあいまいな言動で言葉を濁すことがほとんどでしたが、IPAには徹底的
な分析と誤摩化しの無いレポートを期待しています。個人的には今週金曜日までに、何らか
の結論を出さないと立場的にまずいのではないかと考えています。
Re:問題あるでしょ? (スコア:2)
それは違いませんか?
IPAという団体が注意、啓蒙活動している部署が同じ組織でも守れないのに
別の会社にセキュリティー強化しましょう。こうした運営をしていきましょうなんて
言えなくなりませんか?
ましてやIPAの資料によると職員は80人程度だそうです。
1万人規模の企業じゃあるまいし、”事業が広範だから”なんて言い訳は無理過ぎる気がします。
Re:何が問題なのでしょう? (スコア:5, おもしろおかしい)
Re:何が問題なのでしょう? (スコア:1, 参考になる)
これが
>そんなこと言ったら、「人の子」という言葉でなんでも擁護できてしまいます。
こうなるのは読解力かカルシウムが足りていない証拠。
「IPA職員でありながら」と例外化から始まるより、「IPA職員であっても」と普遍化する。
前者の属性に注目して憤りたい気持ちは解らなくないが、責任ばかりを追及する態度は、
冷静な原因究明と有効性ある対策を曇らせてしまう事がある。
結局、私的なPCで私的目的のツールを動かしていたから
>>「当機構の業務関連の非公開情報は含まれておりません」
で済んだ、功の部分も見落としてはいけないでしょう。
「功」と言うには健全な目的のツールで無いから変、と言われれば確かにそうなんだけど。
>>IPAが発表しているとおりならば、別に問題ない。
発表とおり、一個人にとってクリティカルな情報しか漏れずに済んだというのなら、
外部がいきり立つ理由ってのは…公務員批判的な部分での「問題」だけでしょう。
「個人"的な"情報」流出は、一般的に想定される「個人情報流出事件」とは区別できる。
もちろん「注意する組織の一員でありながらWinnyを利用した」という行為自体が、
IPAに対する信頼が揺らぐとか、組織的な責任問題は影響力としてはゼロではない。
そういう影響は残るにしても、「個人情報流出」という問題はIPA組織として無害。
であれば、「何が問題なのか」考える時に、表題の「個人情報流出」ではなく、
「IPA職員が利用していた」それがたまたまウイルス感染で明らかになった、
という組織的体面だけに絞ったほうがいいんじゃないかという事でしょう。
とはいえ、そういう意味で正確に記すなら「別に問題がない」ではなく、
「問題は別のところにある」が正しかったと思われる。
まるで「問題が一切無い」と聞こえた、しかもすばらしい洞察がついた、
そこで短絡的な反発感を生んでしまったという訳だろう。
Re:むしろ問題なのはomanchinトラップに引っかかったこと (スコア:1)
民間会社でもそこまでやってるのに、IPAでは出来ないなんて情けない。
Re:むしろ問題なのはomanchinトラップに引っかかったこと (スコア:4, 参考になる)
民間会社でもそこまでやってるのに、IPAでは出来ないなんて情けない。
宣誓書、P2Pソフトウェアチェックツールのログ提出くらいは普通です。
チェックツールログにしても、インストールしていないサブPCでチェックして
結局意味をなさないパターンもあるくらいではないでしょうか。
事実、調査員(社員)が自宅訪問し直接調査という企業もあるんですよ。
Ringerilの3%は気の迷いで出来ています。
Re:むしろ問題なのはomanchinトラップに引っかかったこと (スコア:2, すばらしい洞察)
日本では社員が私的な時間に起こした犯罪(痴漢でも傷害でもいいですが)に対して、会社が謝ってしまいますよね。そして社会もそれを求めている節がある。
つまり、私有財産、はては個人の思想・信条すらも会社が管理すべき、というかなりアレな思想で社会が動いていてあんまり疑問に思ってる人もいなさそうというのが現状だと思います。
Re:むしろ問題なのはomanchinトラップに引っかかったこと (スコア:2, 興味深い)
それ技術的実効性が伴ってない事は解りますよね?
例えば直近のIBMの件、宣誓書を書いてないと思いますか?
こんなもん、事が起きた場合を想定して、罰則に対して不服申し立てたり
させないための、いわば人事・総務的な書類上の都合に過ぎないわけです。
組織の体制、契約条件によっては、そういう担保は無くても問題ないです。
実効性の無い事なんだから、こういう事やっていたから情けなくない組織、
と事が起きてからダメージ緩和になりません。
むしろ、そういう事やっていたのにどうしてこうなったんだ?バカ組織が、
というような批判に繋がる可能性さえあります。
評価も変 (スコア:2)
個人の問題だから組織は関係無いでしょ?っていうのが今の世の中なの?
組織に属するって意識が少なくなっているんですかね?
どうでもいい事だけど、ちょっと気になるのが (スコア:1)
そういう事例を起こした場合、ちゃんと自己申告するように内部に決まりがあるの?
それならそれで、きちんと管理された組織なんだ、事例の検証とかに力を入れているんだって思うけど。
#ただ、休憩時間、茶飲み話している際にぽろっと出た会話で突っ込まれて…って事も。
#あと、気になったのは、1/4付けで公表されてること。(セキュリティー関連の動向調査の為に)もう仕事してたって事?
/* Kachou Utumi
I'm Not Rich... */
Re:どうでもいい事だけど、ちょっと気になるのが (スコア:1, おもしろおかしい)
Re:どうでもいい事だけど、ちょっと気になるのが (スコア:2)
「国のため」という重大な使命の下で働く方々だからこそ、適切な休養を摂って、その分勤務時に高いパフォーマンスを維持してもらわなければ困るのではないですか?
#勿論、有事の際には休日返上で頑張ってもらわなきゃならないこともありますが
機械ですら無茶な運用をすればパフォーマンスが低下するでしょう?いわんや人間をや。
/.Jに集う技術者の皆様であれば、パフォーマンス維持という極めて重要な課題を単なる根性論で片付けることの愚を、色々な意味で日頃から実感されているものと推察するのですが。
#といいつつ年末年始も仕事してたので(公務員じゃないですが)ID
Re:どうでもいい事だけど、ちょっと気になるのが (スコア:1, 興味深い)
ということなのでは?
本人も気づかず2chで騒がれて初めて知ったのなら、自己申告以前の問題だと思います。
もしかする2chで騒がれてすぐに本人の知るところとなり、本人自らが上司へ報告した可能性もありますが。
Re:どうでもいい事だけど、ちょっと気になるのが (スコア:1, 興味深い)
もう驚きません (スコア:1)
IPAのIPAによるIPAのための人的対策技術を開発して下さい。
ちょっと待って、これはわざと感染したんだ!(という仮説) (スコア:1)
Re:ちょっと待って、これはわざと感染したんだ!(という仮説) (スコア:1)
わざと、までは行かなくても Winnyを語るなら Winnyを実際に使ってみなくては。
今後、この職員は、ファイル交換ソフトの監視を専門にすれば良い。
Re:ちょっと待って、これはわざと感染したんだ!(という仮説) (スコア:1, おもしろおかしい)
…なんだかドモホルンリンクルを1滴1滴見張る仕事を思い出した。
Re:ちょっと待って、これはわざと感染したんだ!(という仮説) (スコア:1)
>…なんだかドモホルンリンクルを1滴1滴見張る仕事を思い出した。
ACCSとoffice氏が和解~掲示板の監視義務を課す仮処分申請で [impress.co.jp]
Re:IPAって (スコア:1)
個人情報漏洩保険 [aiu.co.jp]のような保険の割引に、多少なり加味されていたはずです。
#本当に微々たる「加味」ですが、何だかんだ信頼されていたわけで。
puts "This user is a beginning Ruby programmer."
Re:IPAって (スコア:2, おもしろおかしい)
Re:IPAって (スコア:1)
どんなライセンス違反ですか?
Re:IPAって (スコア:2, すばらしい洞察)
アプリケーションを配布しているならそうだけれども
内部で使っているだけの場合はそういう規定はないはずだけれども?
Re:素朴な疑問ですが (スコア:1)
>日本IBMはネットワークを継続的に監視し、11月20日までにShare上への流出に関係したとみられる人物につながる情報を入手。
IBMも同じ穴の狢だったのか、知らんなかった。
というか毎日新聞なんてWinny漏えい事件が発生し初めたころからけっこう監視してた気がするんですが。
Re:企業や組織のWinny対策としては、自宅からのインターネット接続に制限をかけるしかない (スコア:1)
・ホストPCは常にクリーンに(winnyを使うなら仮想PC上で。JOB毎に仮想PCを作って作業。メールも仮想PC)
これだけで個人情報の流出は防げる
常に警戒を怠るな (スコア:2, 興味深い)
仮想PCにセキュリティホールがある可能性
乗っ取られた仮想PCから土台のPCあるいはLAN上の他のPCへの侵入の可能性
仮想PC上にあるファイルを他にコピーor移動する際にヤられてしまう可能性
etc...
個人的な経験では、
ウィルス対策ソフトを全てのPCにインストールすることに執心していた人、
ウィルス対策ソフトをインストールしないのは論外だと主張していた人が、
職場に0day的なワームを持ち込んで被害を出してました。
彼らは、不審なメールに添付されたexeファイルを実行し、
ウィルス対策ソフトが入っているから大丈夫だと思ったと言い訳しました。
さらには、活動中のワームを根絶していない状態で、
休眠中のPCも危険だから今すぐ電源を入れて(社内LANから)パターンファイルをアップデートしろ
などと言いました。
自分の頭で考えて判断するのは、情報不足や判断ミスを招くこともありますが、
不適切な固定化したルールを杓子定規に使うのもまた、非常に危険なことですね。