パスワードを忘れた? アカウント作成
13465344 story
ワーム

北朝鮮国内の一般PCはセキュリティ対策が不十分? 49

ストーリー by hylom
そもそも平文メールでは機密を守れませんし 部門より

北朝鮮はハッカー養成に力を入れるなど、サイバー攻撃力の強化を進めているとされるが、いっぽうで北朝鮮内のPCは脆弱なものが多いという(産経新聞)。

北朝鮮では、大学の学生や研究者、政府機関職員など一部のユーザーがインターネットを利用できる状況になっているという(トレンドマイクロ)。一方で、セキュリティ対策が不十分なPCも多く、たとえば外国によるサイバー攻撃の踏み台にされた例があるという。また、北朝鮮の一部在外大使館ではGmailやHotmailなどの無料メールサービスが使われているそうだ。

  • 一方、北朝鮮の一部在外大使館では、無料で手軽に使えるものの、IDとパスワードを盗まれると内容をのぞき見される恐れがある「Gmail」や「Hotmail」などのメールサービスが利用されていることも分かった。(北朝鮮、サイバー攻撃に力も国内パソコンがウイルス大量感染 大使館は機密守れぬフリーメール使用 [sankei.com])

    産経記者って、GmailやHotmailが「IDとパスワードを盗まれると内容をのぞき見される」のを防ぐ二段階認証に対応しているのすら知らんの?

    問題なのは、ITとパスワードを盗まれなくても、北朝鮮の敵国のNSAやCIAに内容をのぞき見される恐れのあるメールサービスなことでしょ。

    日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」と驚く。

    GmailもHotmailもMUA-MTA間だけじゃなくて、MTA間のTLS暗号化通信に対応していて、二段階認証にも対応と、有料サービスと同等以上のセキュリティがある。それにフリーメールかどうかは、サービス提供者が機密を奪い取るかどうかとは無関係。GoogleはGmailの広告のマッチングは自社で機械的にやって外部に情報出さないとしている、Microsoftはメール内容によるターゲットマッチ広告はやってないと主張してる。その主張が信用できないなら、GoogleやMicrosoft自体が信用できないってことなんだから、有料サービスのG Suite (Google Apps for Work)、Office 365 も同様に危険。

    お役人だと、日○とか富士○とかのSIerに丸投げして独自のシステム作ってもらってるのかな? その下請けのレベルが低くて脆弱性が紛れ込んでたり、スパイや工作員が紛れ込んでたりするかもしれないし、Gmailの方がまだ安全だと思う(笑) Gmailならアメリカの諜報機関に情報を盗まれるだけで済むけど、低レベルな下請けに丸投げするSIerに依頼すると、中○や韓○などからもスパイされるシステムになりかねない。

    てか、「フリーメールでは危なくて機密のやり取りができない」なんていういうコメントを平気でできるってことは、機密保持をメールサービスに依存しているわけで、外務省では PGP 等の End-to-End 暗号化は使わず機密のやり取りをしてるんでしょうね。

    メールを誰に送ったという事実自体が機密(End-to-End暗号化が不可能なメールヘッダーが機密)なら、それこそお互いが匿名でフリーメールアカウントを取得してやり取りしたほうが安全(本文はPGP暗号化)。

    ここに返信
    • えーと何で外務省の話になるんですかね…?
      そこがついていけないです

      • 他国にいる自国職員に通信する時に中身を覗かれないようにするためでは?

        サンケイともなると、在中国の大使館などの現地職員はすべてスパイに見えるでしょうしね。

        • それは「なぜ外務省の職員は暗号化して通信するべきか」じゃないですか。
          そりゃわかるんですよ。

          わからないのは
          「北朝鮮の話から急に日本の(ですよね)外務省に話が飛んでるのか」
          ってところです。

          「日本の外務省は大丈夫なのか?怪しいんじゃないの?」
          とか、この記事を書いたのが参詣じゃなくて外務省だ、っていうんならわかるんですが

          • わからないのは

            「北朝鮮の話から急に日本の(ですよね)外務省に話が飛んでるのか」

            ってところです。

            このストーリーのソース [sankei.com] に『日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」と驚く。』とあるからです。

            1. 日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」とコメントしている。
            2. PGPなどでEnd-to-End暗号化している限り、「フリーメールでは危なくて機密のやり取りができない」ということにはならない。
            3. 本文の暗号化の有無に触れずに「フリーメールでは危ない」とコメントしていることから、日本の外務省の通信業務担当者はメール本文をPGP等で暗号化するという発想自体がない。故に、日本の外務省の通信業務担当者は、機密のやり取りをする際にPGP等での暗号化をしていないと推定される。

            という三段論法です。

            • 単にソースを読んだ時に私の目が滑っただけでした…失礼しました。
              一度読んで無いと思ったら確認のために読んでも気づかないんだなぁとか
              # いいわけ

            • by Anonymous Coward

              1 あってる
              2 間違ってる。話はEtEに限定されないから
              3 間違ってる。前提2が間違ってる(上に触れないことが知らないことになるのは単なる妄想だ)から

              補足
              そもそもWebUIを使っておらず、クライアントサイドで暗号・復号化をやってる|やってない事が確認されてない

            • by Anonymous Coward

              NSAが将来的な解読を想定してとりあえず盗聴内容を保存しているような現在ではE2E暗号化なんて信用できませんよ。
              何しろ量子コンピューターが出たら解読されるわけですから。
              フリーメールを避けるのは普通に常識で良いと思います。

              ただ、実際昔はTorのエンドノードから外交官同士のメールが平文で読み取れたという話もありますし、各国どこまで普及してるかは怪しいものですけれども。

              • by Anonymous Coward

                > NSAが将来的な解読を想定してとりあえず盗聴内容を保存しているような現在ではE2E暗号化なんて信用できませんよ。
                > 何しろ量子コンピューターが出たら解読されるわけですから。
                > フリーメールを避けるのは普通に常識で良いと思います。

                だったらフリーメールを避け独自のメールサーバ建てたって同じでは?

                インターネットの仕様上、メールを海外に投げた際にアメリカのIXPを経由するのを避けられないんだから
                送信元IPが日本の政府機関のパケットなんて丸ごと盗聴されて保存されてるでしょうし
                E2E暗号化が将来解読されるってのならTLS通信も同じように解読されてしまう

              • by Anonymous Coward

                双方が信頼できる国内サーバーなら良いでしょうよ。
                特に同じサーバー内のメールなら国内にいる限りほぼ安心。
                メールサーバーが信用できればE2Eの優位性はサーバーからユーザーまでの経路だけです。
                ついでにサーバーが本文の暗号化とか、統計的処理とかができる。
                なにより少なくともうっかりミスしても大事になりません。

                そりゃ避けた方が良いに決まってます。

              • by Anonymous Coward

                そういう一点集中型のセキュリティって組織全体のセキュリティレベルを高めるには良いんだけど重要な機密を扱う部署には向かない
                仮にそのメールサーバがクラックされたら全機密が平文のまま漏えいしちゃう

                E2Eなら担当者の秘密鍵が万が一漏えいしても通信を傍受した人が復号できるのはその担当者宛てに送信されたメールに限定される

              • by Anonymous Coward

                そうだとしても、フリーメールを避けるのが単独でも意味ある策なわけだから、E2E暗号化をしていないという根拠にはならないよね。

              • まぁE2E暗号化をしてる、あるいはもっと違う対策を取ってる、にしたって
                直接それを聞かれているわけでさえない新聞記者の取材にそんなことをぺらぺらしゃべるよりは黙ってるほうが正しいし、
                記者も仮に聞いたってそんな書かなくていいこと書かないほうが正しいんだから
                「書いてないからやってない!!」
                と言う話にはならないのは確か
                仮に記者が日本マンセーをしたい余りに「日本の外務省はこうしてる!!」なんて書いたとしてもデスクが止めるのが正しいような話でしょ

              • by Anonymous Coward

                といってフリーメールを採用する理由にゃならんし、フリーメールのサーバ監視できればストレージに仕分けした段階で
                「どのタイミングで誰にメールが飛んでいる」という状況や転送設定も把握できるんでとてもとても同列に扱えるものではない。

                ところで、DNSがキャッシュにかからなかった場合を除いてどーしてもアメリカのIXPって経由しないといけなかったっけ?
                一応日本の限った話でもマップ見ると東南アジアや中合区韓国なんかと直接つながってるはずだけど、あれ全部アメリカの?
                このあたりあまり詳しくないのでちょっと知りたい。

          • by Anonymous Coward

            北朝鮮の事例について日本の外務省の通信業務担当者がコメントしているからではなくて?

    • by Anonymous Coward

      二段階認証をやってるかは確認とれていない、なので恐れがあるで正しい。

      外務省や防衛省の本体での仕事なんて当然のように見元確認までされたし、
      RFPもガチガチだから入れるバージョンやセキュアな設定まできっちり指定されて、
      それ自分達で作った方が早くない?と思ったことが何度もある。

      自分で言ってる通り、問題なのは敵国というか他国に機密情報が漏れることなので、『Googleの方がまだ安全(笑)』何て比較の対象にもならない。

      そもそも、MTA間のセキュリティなんか書かれてもいないし枝葉でしかない。
      なぜなら、内部でのやり取りが漏れることが最大の問題だから。

      • by Anonymous Coward

        > 当然のように見元確認までされた
        元請の身元確認だけしたとしても、その案件を自社や自社グループで完結させず
        協力会社からの派遣社員と一緒にプロジェクトを進めるか下請けを使うのが現状でしょ?

        • by Anonymous Coward

          木っ端中小自治体なら、そのくらい雑な所は良くある。

          ただ、省庁なんかはお役所仕事の本家本元なので、そもそも案件がインフラ構築レベルなら、
          客先のプロジェクトルームに入れる人間が限定されて、当然に情報の持ち込み持ち出しなんて出来ない。(作業用のパソコンが用意される)

          USBメモリ等は指したら警告されるし、多分良くて始末書。

          # OSをCDブートしたら行けんじゃね、とは思ったが恐ろしくてやったことはない。どう考えても、BIOSで無効化されてるだろうしね

          • by Anonymous Coward

            ># OSをCDブートしたら行けんじゃね、
            元電電系大手のセキュリティソフト、Windows起動してから、USBロックまでタイムラグがあった。もしやと思ったが、どうだったのだろうか?

        • by Anonymous Coward

          海保のヘリの暗視カメラが下請けやら孫請けやらを経由してヤフオクで売られてるくらいですからね。

      • by Anonymous Coward

        > 外務省や防衛省の本体での仕事なんて当然のように見元確認までされたし、
        > RFPもガチガチだから入れるバージョンやセキュアな設定まできっちり指定されて、
        > それ自分達で作った方が早くない?と思ったことが何度もある。

        そこまでしっかりしてたんだ
        住基ネットの騒動からお役人が関わる案件は須らく糞だと思ってたから意外

      • by Anonymous Coward

        何を指してるのかよくわからんが、メールシステムなんてものを車輪の際発明する必要あるの?
        Microsoft の Outlook で S/MIME暗号化すれば良いと思うけど

        EtE暗号化がしっかりしてりゃ土管なんてどうでもいいしクライアント以外で暗号化する方式のシステムだったら汎用ソフトより危険になるだけだと思うんだが

        • by Anonymous Coward

          そもそも土管やEtEの強度は本筋ではない(可能性が高い)と言う指摘

          何故ならクライアントサイドでの暗号復号を使わずに、
          組織内メールをその手のメールサービスのみでやり取りしているのであれば、
          サービスベンダが本文読み放題だから

          # これだってあくまで可能性だけど、何故か親コメ主はそうしたものは何も考えず、外に送ることしか考えてない

    • by Anonymous Coward

      そもそもGmailは規約でGoogleへコンテンツの使用権を付与しているので
      信用できるできないに関わらず官公庁や企業は使えないでしょうね

      サービス提供者の信用問題を引きずり出して
      G SuiteやOffice365を同列に扱っている時点で規約も読めない方だとよくわかります

      • by Anonymous Coward

        > そもそもGmailは規約でGoogleへコンテンツの使用権を付与しているので
        > 信用できるできないに関わらず官公庁や企業は使えないでしょうね
        > サービス提供者の信用問題を引きずり出して
        > G SuiteやOffice365を同列に扱っている時点で規約も読めない方だとよくわかります

        まだ、そんなFUD信じているひと居たんだ

        「ユーザーのコンテンツの所有権、主張しない」――Googleが利用規約について説明
        http://www.itmedia.co.jp/news/articles/0809/09/news031.html [itmedia.co.jp]

        Googleは、テキスト、データ、情報、画像、写真、音楽、音

        • by Anonymous Coward

          本サービス内のユーザーのコンテンツ

          ―――本サービスにユーザーがコンテンツをアップロード、提供、保存、送信、または受信すると、ユーザーは Google(および Google と協働する第三者)に対して、そのコンテンツについて、使用、ホスト、保存、複製、変更、派生物の作成(たとえば、Google が行う翻訳、変換、または、ユーザーのコンテンツが本サービスにおいてよりよく機能するような変更により生じる派生物などの作成)、(公衆)送信、出版、公演、上映、(公開)表示、および配布を行うための全世界的なライセンスを付与することになります。―――October 25, 2017

          • by Anonymous Coward

            極めて悪意のある抜き出し方ですなー
            特に「このライセンスでユーザーが付与する権利は、本サービスの運営、プロモーション、改善、および、新しいサービスの開発に目的が限定されます。」を意図的に省くとか悪質極まりない。

            https://www.google.com/intl/ja/policies/terms/ [google.com] 2017年10月25日

            本サービスの一部では、ユーザーがコンテンツをアップロード、提供、保存、送信、または受信することができます。ユーザーは、そのコンテンツに対して保有する知的財産権を引き続き保持します。つまり、ユーザーのものは、そのままユーザーが所有します。

            本サー

            • by Anonymous Coward

              だからコンプライアンスの確保ができないよね、そういったものを求められる団体は使えないよねって話なのだが

              • by Anonymous Coward

                国の中枢とか、セキュリティが超絶必須なところは無理だろうけど、
                一般でいえば、自分でGmail同等のセキュリティと運用を実現するのは難しいから、Googleだけに見られるのは妥協して使うのがベストだろうなとは思う。
                日本の企業の99%は中小企業だからね。自分でメールサーバー運用なんてできないとこばかりだ。
                どっかの企業に管理委託するのもありだけど、結局その企業には見られちゃうわけだし。

                もしGoogleがGmail覗き見して悪いことしたら、もう信頼は回復できないだろうし、ドル箱の検索広告事業にまで影響するし、まず大丈夫だろうとは思うがね。一般人にとってはね。
                国はしっかりやっとくれ。

              • by Anonymous Coward

                中小企業ならGmailに委託してしまった方がいいというのは異議ないが、このスレは北朝鮮の政府職員についての話なので・・・。

              • まーそもそも北朝鮮の外務省がGmailやらのフリーメールを何に使ってるかはわかってないんだよね
                ただ使ってる、と言うだけ

                プライベートに使ってるだけかもしれないし
                フリーメール内に暗号化した本文を入れてるのかもしれないし
                リアルっぽいこと書いて実は欺瞞情報しかないかもしれないからなぁ

            • by Anonymous Coward

              プロモーションって何でもありじゃね?
              プロモーション目的なら(公衆)送信、出版、公演、上映、(公開)表示、および配布できる権利って怖いな。

        • by Anonymous Coward

          同じGoogleが提供するサービスでも規約が異なる旨のコメなのでは

        • by Anonymous Coward

          Googleが言ってるのは財産権を主張しないってだけで、横から見ないとは言ってない。というか、所有権を主張すると、違法なコンテンツをアップロードされた時に話がややこしくなるから、どんなアップローダーでも自分に所有権があるとは言わないだろう。

      • by Anonymous Coward

        アメリカにテロ支援国家指定されると米国製のソフトウェア提供が米国法上禁止されるので、規約違反でいきなりアカウント削除の憂き目にもあいかねない

        • by Anonymous Coward

          米国製のWindowsも使えなくなりそうですね
          Microsoftアカウントが削除されてOSにサインインできなくなるとかWindows Updateサーバに繋がらなくなるとか

      • G Suite [google.co.jp] のサイトフッターから 利用規約 [google.com] にアクセスすると、

        本サービスにユーザーがコンテンツをアップロード、提供、保存、送信、または受信すると、ユーザーは Google(および Google と協働する第三者)に対して、そのコンテンツについて、使用、ホスト、保存、複製、変更、派生物の作成(たとえば、Google が行う翻訳、変換、または、ユーザーのコンテンツが本サービスにおいてよりよく機能するような変更により生じる派生物などの作成)、(公衆)送信、出版、公演、上映、(公開)表示、および配布を行うための全世界的なライセンスを付与することになります。このライセンスでユーザーが付与する権利は、本サービスの運営、プロモーション、改善、および、新しいサービ

  • けっこうな金額なのになあ

    ここに返信
    • by Anonymous Coward

      それにアンチマルウェアソフトとか何を使ってるんでしょうかね
      お国謹製品があるんでしょうか

      • by Anonymous Coward

        カスペルスキーじゃないのか?
        ロシアと仲がいいみたいだし。

    • by Anonymous Coward

      富裕層はスマホも持ってるし、PCも使ってますよ?
      まあ、OSを何使ってるかは知らぬ・・・
      Linuxの北朝鮮ディストリがあるとかいう話は昔あったような・・・
      Windowsとか使ってたりするのかしら、当然海賊版だろうけど

  • by Anonymous Coward on 2017年11月27日 18時37分 (#3319213)

    産経新聞記事2P目
    「無料で手軽に使えるものの、IDとパスワードを盗まれると内容をのぞき見される恐れがある」
    IDとパスワードを盗まれても安全なメールサービスってあれか
    社内に受信用の転送サーバ立ててそこに蓄積するタイプかな?

    ここに返信
    • by Anonymous Coward

      まるで普通のメールサーバの様だ

      Office365でSSOを有効にして、社外利用時向けの認証サーバをダミーにしておけば、
      社内利用以外では使えないクラウドメールサーバの出来上がり、
      とか遊びでしたことあるけど、
      どうやるのがお作法通りの構成何だろう。

    • by Anonymous Coward

      送信専用ならのぞき見は大丈夫。

      # リレーホストとか、メール送信APIなヤツとか。

  • 出入り口細いんだし
    国権で解読できない暗号通信の禁止も楽勝だろうし
    在外公館の規模も数も他所に比べりゃ極小なんだし

    ここに返信
    • by Anonymous Coward

      そんなの必要か?
      普通の先進国のプロバイダレベルで十分に国内カバー出来ちゃう程度だろ。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...