パスワードを忘れた? アカウント作成
1790403 story
セキュリティ

蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる 55

ストーリー by hylom
チェーンはどうやって解除したのだろう 部門より
danceman 曰く、

オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(本家/.University of Twente公式サイト)。

同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。

パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き忘れてしまったが、宿題を終わらせなくてはならずパソコンが今すぐ必要だ」などの嘘をついて部屋の鍵を開けてもらうのである。

この実験の結果、団体組織のセキュリティがどんなに強化されようとも、人間行動が要因となってセキュリティが活かされないことが露呈されることとなった。また同実験に協力した学生らには単位が与えられたとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年02月18日 15時44分 (#2101615)

    あのケビン・ミトニックもソーシャルエンジニアリングに長けていたそうです。
    今ではセキュリティの専門家になっているそうですが…

    ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説
    http://internet.watch.impress.co.jp/cda/event/2008/05/20/19618.html [impress.co.jp]

    # 参加した生徒がこのまま悪の道に走ってしまうことはないのだろうか?

  • 日本で同じ実験をやったら学生と教授が処分を受けて、「対策」として誰も守らないA4一枚のガイドライン作って終了とかになりそう

    --
    言ってないことに反論するなよ
    • by Anonymous Coward

      処分を受けないように準備をしておくのも課題に含まれると考えればOK。
      してなきゃマヌケすぎ。

  • つなぎ方 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2012年02月20日 17時04分 (#2102644)

    A「盗まれたPCはチェーンで机につないでいたのだね?」
    B「はい、間違いありません」
    A「どんな風に?」
    A「ちょうちょ結びで」

  • ちらっとタレコミ文を読んだ範囲では職員らは「何に使うわけでもないPCをしばらく管理する追加の仕事を与える」という謎の業務命令を受けたみたいに見えてかわいそう。

    どういう経緯のお仕事かがはっきり分かってもなお、そんなことしても意味がないんじゃと言う気がしてしまうと、モチベーションが下がるというのに。 自分たちだけ余分な仕事で押しつけられたそんな何だか分からないモノを必死に防衛してくれるとも思いにくい。 普段使いのそこそこ機密情報が入ったPCがどの程度杜撰に管理されているか、とは若干の乖離があると思う。

    流出したら処分とか、1ヶ月守り切ったらボーナスとかのインセンティブを付けた場合にどう効果があるのかとか見てみたい。
    • 一般的な業務においても、防御側にインセンティブが与えられることなど稀なのでは。
      とはいえ、確かに防衛側に守りきった場合のインセンティブが与えられたらどうなるか、というのは気になりますね。

      --
      一人以外は全員敗者
      それでもあきらめるより熱くなれ
      親コメント
    • 逆インセンティブというか、
      普通、管理を任された物が盗難にあったら怒られるぐらいのことは想定して「管理」するんじゃないでしょうか。
      そのための給料なんて出ない?でもそれが普通の職場じゃないですかw

      親コメント
      • by Anonymous Coward

        求められてる最低限の管理をしていれば盗まれても怒られないのが普通だと思いますが

        • ですから、それをしてなかった(指示されたのにチェーンをかけ忘れたなど)、
          あるいは生徒が頼み込むので仕方なくあけてやってしまった、
          結果盗まれた場合は怒られるでしょ。
          初めから「実験だから適当にやってね♪」と指示されてたなら知りませんが。

          親コメント
          • by Anonymous Coward

            チェーンをかけ忘れたソースは?

        • by Anonymous Coward

          求めているのはこちらが指示した管理を実行することではなくて、最低限それを実行し、物品を盗難から守ることですよね。
          そんな指示したことしかしないんだったら人間である必要は無いですね。機械で十分です。人間の強みは臨機応変に動けることですから。
          最低限のことはやったからいい。指示不足だろ。なんて言ったら会社クビになりますよ。

    • ユーザ調査という名目で貸し出されたんだからいつものマシンの代わりに通常業務に使ってたんじゃないですかね。

      この実験は普通に業務利用されているPCがどれくらい盗まれやすいのかというのを実証する実験であって、
      防御側と攻撃側で対抗する性質のものではないので必死に防衛されてしまっては実験の意味をなさないでしょう。

      部屋に鍵をかけ、チェーンでロックし、パスワードもかけておくという一般には盗難対策としてはよくやってるかなと
      いえるレベル(一般で業務に使うノートPCをチェーンで机にロックしておくことなんてことは展示品でもない限りないでしょ)の
      指示を出されてどれくらい守られたか、なんてのも回収の手口やマシンの調査で今後報告されるんでしょうね。
      指示を出しただけで実施を強制したわけではないという所も重要なポイントなんだと思います。

      --
      スルースキル:Lv2
      Keep It Simple, Stupid!
      親コメント
      • 一般で業務に使うノートPCをチェーンで机にロックしておくことなんてことは展示品でもない限りないでしょ

        ソフト開発系の会社だからなのかもしれませんが、普通にチェーンロックやってますよ。
        机に最初からチェーンロックが1個づつ有れば後は持ってきたら鍵掛けるだけですし。
        # チェーンロックしてても、机にだしっぱで帰れないですけどね・・・

        まぁ、チェーンロックがすり替えられてたら気づかないかもしれない。
        見た目そっくりで、機能も同等にも関わらずバックドア(0000で開くとか実はどんな鍵でも施錠・解錠可能とか)仕掛けられたらアウトかもしれませんが。

        親コメント
    • by Anonymous Coward on 2012年02月20日 17時08分 (#2102647)

      セキュリティ対策をテストするんだったら、防御側に必要以上にインセンティブを与えて、元々のセキュリティ対策が予定している以上の工夫をしてしまうような状況にしてはダメだと思う。
      それをすると、セキュリティ対策が優れていたのか、防御側にたまたま優れた人間が居ただけか分からなくなる。
      もちろん、インセンティブを与えた防御者と、インセンティブを与えていない防御者の比較実験なら、また話は別だけど。

      親コメント
    • by Anonymous Coward

      自分のわかっている、価値が理解できる仕事だけに力を注げれば、
      今の若いもんでも、極めて優秀な仕事人となってしまうね。
      (それでもできないのは煽りでなく本当に、中学生以下でしょ)
      訳もわからないところを、いかに理解してこなすかが仕事のすべてと言ってもいいくらい。

      どちらかと言えば、盗み出す方が学生であり、盗む動機もないところで盗まねばならない
      ことのほうに(授業単位以上の)もっとインセンティブがあってもいいかもね。

      でも、掃除夫や技術保守だと言われたら、なかなか守るのは難しいよな。

  • by Anonymous Coward on 2012年02月20日 16時13分 (#2102612)

    >職員のパソコンを盗み出す課題を与えた。

    ソーシャルな方法で盗んだから良いものの、
    ドア壊したり、シャベルカーで校舎壊したりして
    盗まれたら目も当てられない気が…

  • by imaic (31975) on 2012年02月20日 16時23分 (#2102616) 日記

    盗まれたPCを取り返してください。

    #以下ループ

  • by motu (40385) on 2012年02月20日 16時28分 (#2102621)
    今後、自室のPCのセキュリティには相当敏感になっているだろうね
    • この実験は団体組織に与えられた「共用PC」について、管理者や管理者でない人(清掃員)が「融通を効かせる」ことでセキュリティが破られてしまった、って話ですから、
      教授のPCの場合、教授の家族に「僕学生なんですが教授にPCを持って来いと頼まれました」といって持ち出す可能性でしょうか。
      なんかリアルにありえる話に思えてきたw
      ま、ホントにやったらすぐ捕まるでしょうけど。

      親コメント
    • この教授はおそらくこの結果を見越して実験を行ってるはず。

      だから結果を見て敏感になるなんて事はないと思うよ。

      --
      スルースキル:Lv2
      Keep It Simple, Stupid!
      親コメント
  • けど、普通そんな盗み勝たしたら、自分が犯人てバレバレなんで、そんなリスキーな泥棒はしないわけで・・・

    誰に盗まれたか分からないように盗めって課題だと、そうそう簡単にはいかないんじゃないですかね。

  • by Anonymous Coward on 2012年02月20日 15時49分 (#2102596)

    身内が泥棒みたいな状態なんだから。

    追跡調査して、穴を塞いだら、ひじょーに棲みにくいキャンパスになりましたとさ。

    • 教員に対する学生というのは身内のようで身内では無い関係に思えます。
      看守と囚人のような関係というか。国家権力と国民というか。

      親コメント
    • パソコンに触れられるあたりまでは防御しようがない(対策のほとんどは身内向けには効果が薄い)よね、というのは同意。
      守衛さんとかカード入退室記録システムとかは全く無力ですもんね。

      まあ他の部分はともかく、

      >必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。

      の部分の守られた割合と破った手法に興味が湧きます。
      単にチェーンは切ってパスワードは解いてないとかならともかく
      痕跡も残さず盗み出し、誕生日や好きな食べ物をも調査してパスワードを突破したりしてないかな。

      親コメント
    • by Anonymous Coward on 2012年02月20日 17時29分 (#2102666)

      そうか?
      『パソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。』ものの、嘘をついて部屋の鍵を開けてもらうだけで盗まれた、ってことだろ?
      ってことは、守られたのは『ドアに鍵をかける』ところだけだったんじゃないの?

      あと、技術者の振りをしたり、「指導教授の部屋にパソコンを置き忘れてしまったが、宿題を終わらせなくてはならずパソコンが今すぐ必要だ」などと言ってもすぐには清掃員や管理人が部屋のかぎを開けないようにする、という程度の対策をとった結果が『ひじょーに棲みにくいキャンパスになりました』になるとは思えないんだけど。

      # もしかして、非常に棲みやすいキャンパスとは『学生が金欠になった際には手ごろなPCを拝借して換金できるくらい自由なキャンパス』ってことなんだろうか?

      親コメント
      • by Anonymous Coward
        そーいえばうちの会社もセキュリティだってんでノートPCを机に繋ぐためのチェーン配布されたけど、ドライバ1本で簡単にHDD抜けるんだよなw
        単に会議室に持ってくのが不便になっただけだという…
        • by FTNS (17738) on 2012年02月20日 20時58分 (#2102822)

          何年か前に同じような事がありましたが、ボールペンの軸で簡単に開く(壊す?)チューブラーキーでした。
          上司の前で実際に開けて見せて、それをメーカーに送りつける事でディンプル錠の物に取り替えさせた事がありましたね。
          解錠法は確かここかWiredあたりで紹介されていたような。

          HDDはもちろん暗号化させられてます。TPPまでは使ってませんが。

          --
          --- de FTNS.
          親コメント
        • だからこそのTPM(を使ったBitLocker [microsoft.com]などのドライブ暗号化)なんでしょうね。
          TPMモジュール(又はキーを入れたUSBメモリ)も盗まないと平文化できせん。
          スマートカードでログインから暗号化まで管理したい気もするけど、お手軽なスマートカードないとなぁ・・・

          親コメント
        • ダイヤル式の安物の鍵は構造がとても単純だから1、2分もあれば簡単に
          外れてしまう。100円の知恵の輪の方がよっぽど難しい。

          いつだか部屋の鍵かけろ命令でたが、土日と夜間は建物に入れないのと本借りたり
          なんだりで不便だからほとんどの人は鍵もかけないしPCも放置だな(自分も)。
          親コメント
    • by Anonymous Coward

      そりゃ普通は怪しい人が怪しい格好して侵入するなんてのは稀だからな。最初に内部協力者を探すのが鉄則よ。

  • by Anonymous Coward on 2012年02月20日 16時28分 (#2102622)

    予告状を出してから盗めば単位追加。

  • バカモーン!先生の金時計を盗んでどうする!を思い出した。
  • by Anonymous Coward on 2012年02月20日 18時33分 (#2102711)

    故意か本当か、間違えて別のPC盗んじゃったりするやつ出なかったのかな?

    • by Anonymous Coward

      逆に誰が盗んだか分からないままになってるのもあるんじゃないか。

  • by Anonymous Coward on 2012年02月20日 23時49分 (#2102913)

    そいつがルパンだー! >Trajce Dimkov教授

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...