住基ネットのパスワードがWinnyネットワークに流出 | スラド
あるAnonymous Coward曰く、"毎日新聞の29日の記事によると、北海道斜里町の地方公務員が、住民基本台帳ネットワークシステムの操作マニュアルや接続パスワードなどを含む約20のファイルを「住基ネット」というフォルダに入れてWinnyが稼働している自宅PCにコピーし、ウィルス感染によってそれらの機密情報を Winnyネットワークに流出させたらしい。 記事によると、流出中のファイルには「パスワード入力画面が出たら××と入力する」などと記載されているとのこと。 住基ネット全国センターは町に厳重に抗議すると話している。 また、住基ネット全国センターが各市区町村に送った「セキュリティホールの対策について」という2004年8月3日付の通知文も流出中だそうで、ブラウザの脆弱性について速やかに対応するよう求める内容になっている。住基ネットでもInternet Explorerが使われているとは驚
Winny経由の情報流出を元から断つ~「持出禁止」のすすめ~
ファイル共有ソフト「Winny(ウィニー)」経由の情報流出事故が後を絶たない。情報を流出させているのは,「Antinny」などの“Winnyウイルス”である。 事態を重く見た内閣官房情報セキュリティセンター(NISC)などは,即効的な対策としてWinnyを使用しないことを呼びかけるとともに,一般の人にも分かりやすいチェック・リスト(PDFファイル)などを公開している。 ただ,流出事故の経緯を見ると,Winnyの使用だけが問題ではないことが分かる。Winnyを介した情報流出事故の多くでは,企業や組織の「外」へ持ち出された情報が,ウイルスに感染した自宅のPCもしくは個人所有のPCから流出している。 つまり,企業/組織の管理下にないPCで,企業や組織の機密情報を取り扱っていることが問題なのである。顧客情報や個人情報,機密情報などを,企業や組織の外へ容易に持ち出せてしまう,もしくは安易に持ち出して
「Winnyを禁止しても,根本的な解決にはならない」---米Symantecのマネージャ
米Symantec Security ResponseのEMEAおよびJAPAC地域担当シニアマネージャ Kevin Hogan氏 「『Winny(ウィニー)を使ってはいけない』と言うのは容易だが,禁止させても根本的な解決にはならない。別のアプリケーションを悪用する脅威が出現すれば,同じことを繰り返すことになる。ネットを利用することのリスクをユーザーが認識し,セキュリティ・レベルの向上に努めることのほうが重要だ」---。米Symantec Security ResponseのEMEA(欧州・中東・アフリカ)およびJAPAC(日本・アジア・太平洋)地域担当シニアマネージャであるKevin Hogan氏は3月17日,ITproの取材に対して,最近の「Winny問題」について専門家の立場からコメントした(関連記事)。 Hogan氏は,「Winnyに限らず,特定のアプリケーションを悪用する脅威(ウ
安部官房長官が国民に異例の呼びかけ--「パソコンでWinnyを使わない」
「情報漏えいを防ぐ最も確実な対策は、パソコンでWinnyを使わないこと」--。「Winny」を介した情報流出事件が頻発する中で、安部晋三内閣官房長官が3月15日の記者会見でWinny使用について、国民に注意を呼びかけている。政府高官がこうした発言をするのは異例の事態だ。 安部官房長官は、Winnyを経由した情報漏えいについて「政府機関として再発防止のための対策を進めており、重要インフラ事業者に対しても所轄省庁を通じて注意喚起をする」ともコメントしている。 安部氏の発言を受け、内閣官房情報セキュリティーセンター(NISC)でも、地方公共団体を含むインフラ事業者や国民に対しての注意を喚起している。 NISCではWinnyで流通するファイルは誰が作成したのかもわからないファイルであり、悪意のある者がWinny経由で感染するウイルス「Antinny」を紛れこませることは簡単なため、ファイルの実行は
〔33〕情報流出で露呈した私物パソコン頼みの職場環境
「個人情報漏えい事件を斬る(31):電力業界を悩ますファイル交換ソフトからの情報流出 」,「個人情報漏えい事件を斬る(32):IT業界や官公庁でも頻発するファイル交換ソフトからの情報流出 」で,最近のファイル交換ソフトによる情報流出の被害状況を整理してきた。今回は,ファイル交換ソフトによる情報流出の防止対策について,再度考えてみたい。 個人所有パソコンに頼らない職場環境作りが第一 2006年3月8日付の朝日新聞によると,ファイル交換ソフトによる業務データ流出が相次いで発覚した防衛庁では,職務上必要があるのに官品パソコンが支給されていないすべての隊員に対し,官費でパソコンを支給する方針を固めたという。裏を返せば,個人所有パソコンなしでは業務が遂行できない状態が続いていたことになる。パソコン購入のために数十億円規模の予算が必要だという。 実は,全国の警察でも同じような状態が続いていた。警察庁ホ
Webシステム開発でセキュリティが軽視される理由
実社会におけるセキュリティ対策の課題 前述の対応策を正しく採用すれば、技術的な欠陥に関する問題については対処が可能である。しかし、現実の社会においては、ユーザ企業における以下のさまざまな事情から対処できないケースが散見される。 Webアプリケーションに脆弱性があるかどうか分からない(本当は、知りたくもないし、見たくもないし、聞きたくもない システム運用はすべてアウトソースしており、対応してあるはず 開発ベンダに修正対応を依頼したら契約範囲外と断られた 自費で対応するには、コストが掛かり過ぎる 現在運用しているシステムは止められないため、直せない Webアプリケーションの開発は、デザイナーに依頼しているので、セキュリティ対策を依頼しても分かってもらえない これらの事情が発生する原因を考えてみると、以下のように集約できる。 原因1:システムオーナー側の問題 システムのオーナーは、セキュアなWe
@police−セキュリティ解説
我が国でもインターネットの爆発的な普及や個人情報保護法の完全施行等により、情報セキュリティについても関心が高まってきた。 しかしながら、専門家の不足などもあり、情報セキュリティをどのように進展させていけば良いのか迷っている企業・組織も多いように見受けられる。 ISO17799やISMSのような情報セキュリティマネジメントシステムへの関心も高まっているが、隣の企業がISMSを取得したから自社も取得しなければならないと考えている企業も見受けられる。 情報セキュリティを推進して行く上で、情報セキュリティの脅威をどのように考えていくかについて述べてみたい。 1.技術以前? 少し古い資料であるが、米国CERT/CCが作成した侵入者と攻撃ツールの関係を示したものがある(図1)。 年を追うごとに攻撃ツールは高度化しており、それに伴って侵入者の知識レベルは低下していることを示している。 これを
ScanNetSecurity - 海上自衛隊の極秘書類がネット上に流出、Winnyウイルス感染の可能性
海上自衛隊の「極秘」とされる複数のファイルが、ネット上に流出していることが2月22日までに明らかになった。流出したファイルはFD約290枚分あり、約130件の自衛艦船舶電話番号や顔写真付きの隊員名簿、非常時連絡網なども含まれていた。掲示板に情報流出に関する書き込みがあり判明した。 ファイルの中には「暗号関係」というフォルダがあり、ここには「符号変更装置」の操作手順の詳細な記述や、「暗号書表一覧表」、「側方観測換字表」、自衛艦のコールサインをまとめた表なども含まれていたという。ファイルの内容などから、護衛艦「あさゆき」の関係者のPCがWinnyウイルスに感染し、ファイルがネット上に流出した可能性が高いとしている。 防衛庁では、掲示板への書き込みは確認しており、現在詳細について調査中としている。 防衛庁・自衛隊 http://www.jda.go.jp/
「本物の」サーバ証明書を持つフィッシングサイト | スラド
Vorspiel曰く、"日経記事や/.本家で話題になっていますが、いわゆるオレオレ証明書ではなく、ブラウザに組み込まれているroot証明書発行者が認証した「正規の」サーバ証明書を持ったフィッシングサイトが登場しています。 SANS ISC Handler's DiaryやWashington Post SecurityFix blogでの解説によると、今回問題のサーバ証明書を発行したのは Equifax社。サーバ証明書の認証の際に発行対象の身元を正しく確認していなかったというあたり、証明書発行者としての資質を疑わざるを得ません。 なお、前述の日経記事によれば「電子メールのやり取りだけで、サーバー証明書を取得できるサービスが最近登場しており、これを使えば身元をほとんど明らかにする必要がない」とのこと。 「SSL通信ではURLを確認し、かつサーバ証明書の内容を確認する。オレオレ証明書は信用しな
「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告
「正規のサーバー証明書を使ったフィッシング・サイトが2005年末から登場している」。フィッシングを研究するセキュアブレインの星澤裕二プリンシパルセキュリティアナリスト(写真)はこう警告する。 第3者機関に認証をもらっていないサーバー証明書は,アクセスした瞬間にポップアップで警告が出るため,不正を見破りやすい。ところが,正規のサーバー証明書を使って暗号化するWebサイトでは,警告画面を表示せず,すぐにWebブラウザの右下に「鍵マーク」が出る。 これまで正規のサーバー証明書があれば,フィッシング・サイトである可能性は低いと考えられてきた。というのも,正規のサーバー証明書を取得するには,企業の身元を証明する必要があったからだ。身元を明らかにしたくない犯罪者にとって,サーバー証明書を取得するのはリスクが高い。ところが星澤氏によれば「電子メールのやり取りだけで,サーバー証明書を取得できるサービスが最
メールは信頼できても信用できない― @IT ―
ほとんどの人が、メールを送信するときには相手が読んでくれると勝手に信じ、受信したときには差出人と内容が正しいと勝手に信じて、メールというシステムを使っている。 メールの動作は誰も保証していない インターネット上で利用されているものの中で、Webと同じく普及しているのがメールである。わざわざ「電子メール」や「Eメール」といわずとも、「メール」で通じるようになってから何年もたっている。 利用者の大半が、メールというシステムの仕組みを知らずに使っている。それは、世にあるほかの便利な道具類と同様に、「知らなくても不都合が生じないから」といったところだろう。確かに、水や電気などのインフラ、車やコンピュータなどの機械、郵便や宅配便などのサービスは、利用者がその仕組みを知らずとも信頼するメーカーや運営会社があり、動作や品質について保証しているので安心して使うことができている。 しかし、メールはどうだろう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
三井住友銀行 > 簡単!やさしいセキュリティ教室