情報漏洩対策ソフトの脆弱性を狙った攻撃が相次ぐ 18
ストーリー by hylom
意識が高いのか低いのか 部門より
意識が高いのか低いのか 部門より
情報漏洩やマルウェア感染対策を強化するという触れ込みのクライアント運用管理ソフトウェア「SKYSEA Client View」において昨年発見された脆弱性(JVN#84995847)を狙った攻撃が増えているという(JPCERT/CC、NHK)。
問題の脆弱性は、管理対象のPCにインストールするエージェントプログラムに存在するもので、外部から任意のコードが実行可能というもの。すでに対策を行うアップデートは提供されており、利用しているすべての端末でアップデートを実施することが推奨されているのだが、アップデートを行っていない企業などが攻撃されているようだ。特にエージェントがインストールされている端末にグローバルIPアドレスが割り当てられているケースがあり、こういった端末が狙われている模様。
実際の被害として、開発中製品の情報や議事録、メールなどが流出する事件も起きているようだ。
余計な物を作らない (スコア:0)
漏洩対策のための漏洩対策が必要になって、コストが嵩むだけじゃないのかな。
何もしないのがいいとは思わないけど、余計なことが多すぎるような気がします。
Re: (スコア:0)
「ユーザーに厳しく当たる」ということと「情報を管理する」ということの区別がつかないとこうなる
Re: (スコア:0)
情シス部門からすりゃ「何かあったときに詰め腹切らされるのはたまったものじゃないから、これだけやってれば何かあっても仕方ないよねって言えるぐらいガチガチにしておく」しか選択肢がないんだよ。
本当は就業規則とかで「業務中にWebサイト見て漏洩とかやらかしたら責任負え」にして済ませたいのは多分皆、似たような本音があると思うよ?
でも、西欧諸国みたいに解雇が容易じゃないから「漏洩やらかした社員でも解雇しようとすると問題になる」というリスクがあったり、システム利用の規則違反をやらかして実害が出た場合に賠償金を請求しても「会社が対処してなか
Re: (スコア:0)
社員の背中に監視カメラを置けば委縮して安全になるだろうと思ったら、監視カメラ経由で盗み出された訳だろ?
その話をしてるのに規則違反が、個人への損害賠償が、そりゃセキュリティをやる気がない人間の言葉だろ。
「情報漏洩を起こせない」ことを「ガチガチ」と言うならわかるが「nicovideo.jp:80は落とすが0.0.0.0:22は開いてる」のは「ガチガチ」とは言えない。
テーマパークのタイムマシンを比べて技術レベルが高いとか低いとか論じてるようなもんだ。
Re: (スコア:0)
立場上、社員の背中にカメラを置かざるを得ない、ってだけの話だろ。
それこそ監視カメラが不完全なリスクや、導入コスト、不便性を天秤にかけてでも監視カメラが必要になる(から設置してる)というのが「セキュリティをやる気の無い人間の言葉」と読めるのなら、君はセキュリティを理解していない。
セキュリティは不便性を強いるためにやるわけではなく、会社が負うリスクを下げるためにやることなので。
セキュリティシステムがなくても従業員が「やらかす心配がない」なら、セキュリティは不要になる。それも含めてセキュリティの考え方だよ。
Re: (スコア:0)
監視ソフトを入れたことで、従業員の行動とは全く無関係に情報が流出したんだよね?
従業員の操作による会社への損失のリスクが元々大きくて、このソフトはそれを防止していたので
これ経由の流出リスクは正当化されるんだというなら分かるけど、どこからそれが導かれるのか分からない。
根拠のない安心感を目指して余計なものを入れてセキュリティを落としているように見える。
Re: (スコア:0)
監視ソフトを入れたことで、従業員の行動とは全く無関係に情報が流出したんだよね?
従業員の操作による会社への損失のリスクが元々大きくて、このソフトはそれを防止していたので
これ経由の流出リスクは正当化されるんだというなら分かるけど、どこからそれが導かれるのか分からない。
根拠のない安心感を目指して余計なものを入れてセキュリティを落としているように見える。
そりゃ「脆弱性のあるソフトを入れたから流出した」だけで、監視ソフトをいれることの是非と問題をすり替えてる。
監視ソフト全てに脆弱性がある(あるいは監視ソフトは今回脆弱性で問題になった1種類しか販売されていない)ならまだしも。
根拠のない安全性というが、社員が勝手に仕事用PCに、暗号化つきP2Pソフトをインストールして外部にデータ送信しないことをどうやって担保するの?
あるいはWebのいかがわし
Re: (スコア:0)
○情シスが負うリスクを下げるためにやる
その結果セキュリティが下がったり不便になろうが知ったことか
パスワードは英数大文字小文字記号含めて8文字以上で3ヶ月ごとに変更ね
覚えられないならポストイットで貼っといて
それで流出したところで責任問われるのはあんただしね
Re: (スコア:0)
セキュリティが絡むと、他の犯罪と違って、加害者より被害者の方が圧倒的に悪いという不思議な風潮があるよね。
企業に強固な対策を求めれば求めるほど、消費者が負担するコストが上がり、労働者の生産性が低下するのにさ。
Re: (スコア:0)
そりゃ被害者が、被害を受けたことにより加害者になることがあるからさ。
典型例で言えばセキュリティがザルな運用をした通販サイトが攻撃を受けて顧客情報を流出させたら、そのサイト運営者は攻撃の被害者でもあるけど、同時に杜撰な管理をしたことにより顧客情報を流出させた加害者にもなるから。
そこで「セキュリティがザルな運用じゃなかった」となれば仕方が無い部分はあると見なされるのは別にセキュリティ分野に限った話ではないし、別に当たり前のことだと思うけどね?
Re: (スコア:0)
それは理解した上で言っています。
例えば、個人情報が入ったハードディスクを企業が盗まれた場合
A 盗まれた企業の管理が悪い、不買運動を起こそう!
B 盗んだやつが悪い、そいつは死刑!
という反応が考えられるけど、いつもAが多数。
実はBの方が社会全体にとって望ましいのでは?と思った次第。
だって企業が管理を厳重にしたらそのコストは顧客や働き手が負担することになるし、
少数の不届き者のために社会全体がそれを負担するのは実は無駄だと思いません?
Re: (スコア:0)
巻き込まれる可能性が有るか無いか、巻き込まれるとAに、安全ならBに。
Re: (スコア:0)
Aの特定は容易、自白もしてる
Bの特定は困難、逮捕も容易ではない
叩きやすいのはどちら?
特に普段から妬ましく快く思ってない『大企業様』なら?
Re: (スコア:0)
現実的に「盗んだやつを捕まえる」方法がない。特にオンライン犯罪の場合、自国内に居るかも定かではない。
ガチガチに検閲や接続制限やってる中国ですらオンライン犯罪者は出るのに、よしんば日本でそんなのを防止する方法がない。
「泥棒がいなくなれば警察もいらないし、家の扉に施錠する必要もなくなるし、警備会社を雇ったり防犯カメラをつける必要もなくなるよね」は論理としては正しいけど、現実的ではないでしょ。
あれって (スコア:0)
情シスが使うスパイウェアだと思ってたけどちがうのかな。
そんなソフトだとしたら、それに脆弱性があったら被害は甚大だろう。
エージェントを気軽に入れると (スコア:0)
気軽にエージェントを使うシステムを導入するとある落とし穴ですね。
開発側からすると、エージェントを使うと簡単にいろいろなことができるので、やりたくなってしまうのはわかる。
技術力もそんなになくてもできるからwww(エージェントなしで同じようなことをやろうとする方が大変だし、技術力も必要になる)
そういう開発者がどこまでセキュリティについて考えてプログラムを作っているかは・・やっぱり心配だね。
社名にSkyって入ってる会社は傾く (スコア:0)
そういうジンクスあるよね
Re:社名にSkyって入ってる会社は傾く (スコア:1)