reoによる
2009年01月05日 9時00分の掲載
おまえもか、部門より。
おまえもか、部門より。
独立行政法人情報処理推進機構 (IPA) と言えばコンピュータウイルスやセキュリティに関する調査などのほか、2007 年まで行われてきた「未踏ソフトウェア創造事業」でも知られる団体だが、同機構職員が自宅で使っていた私物 PC から Winny ネットワークに個人情報が流出したとの事 (参考:IPA 職員の私物パソコンによる情報流出について) 。
大体、Winny の危険性について理解していなきゃならない筈の IPA 職員が何で使うかね ? どうやら .scr 経由で暴露ウイルスに感染したらしいが、流出した個人情報の内容が・・・家庭が壊れる危険性すらありそうなんですけど :p
関連ストーリー
早稲田大学のハラスメント相談リストが流出 51 コメント
日銀支店の内部資料がWinnyで流出 35 コメント
細かいことだけど (スコア: 4, すばらしい洞察)
昔は「ハッカーとクラッカーは違う」とか「それはウイルスじゃなくてトロイだろ」みたいな指摘が必ずあってウザーと思ってたけど(^^;
ここにコメントを書く
Re:細かいことだけど (スコア: 2, 興味深い)
だそうですよ。
詳細な情報も数日中には発表されるんじゃないかと。
ここにコメントを書く
親コメント
何が問題なのでしょう? (スコア: 1, すばらしい洞察)
「当機構の業務関連の非公開情報は含まれておりません」とIPAが発表しているとおりならば、別に問題ないんじゃないかな。
>家庭が壊れる危険性
漏洩以前に Winny で落としまくったであろうエロファイルを家族に見つけられた方がよほど問題だね。今回の件で家族にバレた恐れもある。
どちらにしても恥ずかしいの一言に尽きるけど。
# この方、IPA 内部ではどんな処分が下るのでしょうね
ここにコメントを書く
むしろ問題なのは 2ch の住人 (スコア: 4, すばらしい洞察)
家庭どころか親類縁者がみな被害者になる恐れもあるというのに、2ch の住人は告訴されないのだろうか。
ここにコメントを書く
親コメント
「検索するなよ、絶対するなよ!」という事でしょうか (スコア: 2, すばらしい洞察)
ここにコメントを書く
親コメント
Re:むしろ問題なのは 2ch の住人(オフトピ (スコア: 2)
>なおXXXいくらでも出てくる。
(一部勝手に伏せ字:-P)
この二行が余計なのではないでしょうか。特に後者は手法を解説している分、前者より有害です。脆弱性の公表もそうなのですが、公表するメリットデメリットを考えてからの方が良いと思います。
# その意味でタレコミ文の「流出した個人情報の内容が・・・家庭が壊れる危険性すらありそうなんですけど :p」は必要かなあ。
# /.Jにはわざわざ野次馬するようなモラルの低いやつは居ないという判断かもですが:-P
ここにコメントを書く
親コメント
Re:何が問題なのでしょう? (スコア: 2, 興味深い)
masakun氏の言われるとおり、自組織に関係ない個人情報だったから漏れても問題ないって考えてインストールしたのかな。
つまり、IPAの教育が行き届いていなかったって事ですね、分かります(←分かっていません)
今回情報漏洩してしまったIPA職員は、Winnyの危険性を侮っていたんですね。
一番良いのはWinnyを使わないというのが最善策だと思うのですが、僕の考え方は古いんでしょうかねぇ。
#結果にぐだぐだ言えるのは蚊帳の外だからID
ここにコメントを書く
親コメント
Re:何が問題なのでしょう? (スコア: 2)
これからは個人での使用も禁止する事で再発防止していくそうです。
なんていうか職員の意識が低すぎって思うのですが、問題無いんですかね?
対応もお役所的でどうも再発しそうな感じです。
ここにコメントを書く
親コメント
Re:何が問題なのでしょう? (スコア: 2, 参考になる)
「人としてどうなのよ?」というファイルもあったようです。
経験からいうとエロだけなら家庭は壊れません。
#李下に冠を正さず
ここにコメントを書く
親コメント
Re:何が問題なのでしょう? (スコア: 5, おもしろおかしい)
ここにコメントを書く
親コメント
Re:何が問題なのでしょう? (スコア: 2, すばらしい洞察)
いや、IPAの言葉から説得力が無くなるという点で問題でしょう
少なくともWinnyに関していえば、「お前の所の職員だって使ってるじゃねーか」となってもおかしくない
今回の件で「この程度の組織か」という印象を持った人もいるでしょう
ここにコメントを書く
親コメント
Re:問題あるでしょ? (スコア: 2)
ただ、今回の事例をネタにして情報漏洩のベストエフォートな対応テンプレートを確立し、
それを適切に実践してみせれば、IPAの立場も_微妙ながら_マシになるのではないかとも考
えていますよ。
日曜の時点で経過報告をアップしたのは悪くない対応でしょう。
当初、文中に記載していた"Winny"の文言を削除したりして迷走している感じもありますが、
さすがにヤマト運輸のような暴言は吐かないでしょうね。
http://blog.livedoor.jp/dqnplus/archives/945342.html [livedoor.jp]
これまでの事例ではあいまいな言動で言葉を濁すことがほとんどでしたが、IPAには徹底的
な分析と誤摩化しの無いレポートを期待しています。個人的には今週金曜日までに、何らか
の結論を出さないと立場的にまずいのではないかと考えています。
ここにコメントを書く
親コメント
Re:問題あるでしょ? (スコア: 2)
それは違いませんか?
IPAという団体が注意、啓蒙活動している部署が同じ組織でも守れないのに
別の会社にセキュリティー強化しましょう。こうした運営をしていきましょうなんて
言えなくなりませんか?
ましてやIPAの資料によると職員は80人程度だそうです。
1万人規模の企業じゃあるまいし、”事業が広範だから”なんて言い訳は無理過ぎる気がします。
ここにコメントを書く
親コメント
Re:何が問題なのでしょう? (スコア: 5, おもしろおかしい)
ここにコメントを書く
親コメント
Re:むしろ問題なのはomanchinトラップに引っかかったこと (スコア: 4, 参考になる)
民間会社でもそこまでやってるのに、IPAでは出来ないなんて情けない。
宣誓書、P2Pソフトウェアチェックツールのログ提出くらいは普通です。
チェックツールログにしても、インストールしていないサブPCでチェックして
結局意味をなさないパターンもあるくらいではないでしょうか。
事実、調査員(社員)が自宅訪問し直接調査という企業もあるんですよ。
ここにコメントを書く
親コメント
Re:むしろ問題なのはomanchinトラップに引っかかったこと (スコア: 2, すばらしい洞察)
日本では社員が私的な時間に起こした犯罪(痴漢でも傷害でもいいですが)に対して、会社が謝ってしまいますよね。そして社会もそれを求めている節がある。
つまり、私有財産、はては個人の思想・信条すらも会社が管理すべき、というかなりアレな思想で社会が動いていてあんまり疑問に思ってる人もいなさそうというのが現状だと思います。
ここにコメントを書く
親コメント
Re:むしろ問題なのはomanchinトラップに引っかかったこと (スコア: 2, 興味深い)
それ技術的実効性が伴ってない事は解りますよね?
例えば直近のIBMの件、宣誓書を書いてないと思いますか?
こんなもん、事が起きた場合を想定して、罰則に対して不服申し立てたり
させないための、いわば人事・総務的な書類上の都合に過ぎないわけです。
組織の体制、契約条件によっては、そういう担保は無くても問題ないです。
実効性の無い事なんだから、こういう事やっていたから情けなくない組織、
と事が起きてからダメージ緩和になりません。
むしろ、そういう事やっていたのにどうしてこうなったんだ?バカ組織が、
というような批判に繋がる可能性さえあります。
ここにコメントを書く
親コメント
評価も変 (スコア: 2)
個人の問題だから組織は関係無いでしょ?っていうのが今の世の中なの?
組織に属するって意識が少なくなっているんですかね?
ここにコメントを書く
親コメント
どうでもいい事だけど、ちょっと気になるのが (スコア: 1)
そういう事例を起こした場合、ちゃんと自己申告するように内部に決まりがあるの?
それならそれで、きちんと管理された組織なんだ、事例の検証とかに力を入れているんだって思うけど。
#ただ、休憩時間、茶飲み話している際にぽろっと出た会話で突っ込まれて…って事も。
#あと、気になったのは、1/4付けで公表されてること。(セキュリティー関連の動向調査の為に)もう仕事してたって事?
/* Kachou Utumi
I'm Not Rich... */
ここにコメントを書く
Re:どうでもいい事だけど、ちょっと気になるのが (スコア: 2)
「国のため」という重大な使命の下で働く方々だからこそ、適切な休養を摂って、その分勤務時に高いパフォーマンスを維持してもらわなければ困るのではないですか?
#勿論、有事の際には休日返上で頑張ってもらわなきゃならないこともありますが
機械ですら無茶な運用をすればパフォーマンスが低下するでしょう?いわんや人間をや。
/.Jに集う技術者の皆様であれば、パフォーマンス維持という極めて重要な課題を単なる根性論で片付けることの愚を、色々な意味で日頃から実感されているものと推察するのですが。
#といいつつ年末年始も仕事してたので(公務員じゃないですが)ID
ここにコメントを書く
親コメント
もう驚きません (スコア: 1)
IPAのIPAによるIPAのための人的対策技術を開発して下さい。
ここにコメントを書く
ちょっと待って、これはわざと感染したんだ!(という仮説) (スコア: 1)
ここにコメントを書く
IPAが職員の情報流出で会見 (スコア: 1)
http://internet.watch.impress.co.jp/cda/news/2009/01/06/22018.html
によると、ここでけんけんごうごうやりとりした疑問に関する回答が出ていますね。
流出データやらセキュリティ対策の有無やら検索した内容やら。
この記事の最後の方に、いままでは私物に対して踏み込まない対応だったが今後は明確に禁止とその念書を交わすと
いう旨の記述がありますが、今回の事件後の措置でIPA職員の意識がどの程度引き締まるのか興味深いところです。
ここにコメントを書く
Re:IPAって (スコア: 2, おもしろおかしい)
ここにコメントを書く
親コメント
Re:IPAって (スコア: 1)
どんなライセンス違反ですか?
ここにコメントを書く
親コメント
Re:IPAって (スコア: 2, すばらしい洞察)
アプリケーションを配布しているならそうだけれども
内部で使っているだけの場合はそういう規定はないはずだけれども?
ここにコメントを書く
親コメント
Re:IPAって (スコア: 1)
個人情報漏洩保険 [aiu.co.jp]のような保険の割引に、多少なり加味されていたはずです。
#本当に微々たる「加味」ですが、何だかんだ信頼されていたわけで。
puts "This user is a beginning Ruby programmer."
ここにコメントを書く
親コメント
Re:素朴な疑問ですが (スコア: 1)
>日本IBMはネットワークを継続的に監視し、11月20日までにShare上への流出に関係したとみられる人物につながる情報を入手。
IBMも同じ穴の狢だったのか、知らんなかった。
というか毎日新聞なんてWinny漏えい事件が発生し初めたころからけっこう監視してた気がするんですが。
ここにコメントを書く
親コメント
Re:企業や組織のWinny対策としては、自宅からのインターネット接続に制限をかけるしかない (スコア: 1)
・ホストPCは常にクリーンに(winnyを使うなら仮想PC上で。JOB毎に仮想PCを作って作業。メールも仮想PC)
これだけで個人情報の流出は防げる
ここにコメントを書く
親コメント
常に警戒を怠るな (スコア: 2, 興味深い)
仮想PCにセキュリティホールがある可能性
乗っ取られた仮想PCから土台のPCあるいはLAN上の他のPCへの侵入の可能性
仮想PC上にあるファイルを他にコピーor移動する際にヤられてしまう可能性
etc...
個人的な経験では、
ウィルス対策ソフトを全てのPCにインストールすることに執心していた人、
ウィルス対策ソフトをインストールしないのは論外だと主張していた人が、
職場に0day的なワームを持ち込んで被害を出してました。
彼らは、不審なメールに添付されたexeファイルを実行し、
ウィルス対策ソフトが入っているから大丈夫だと思ったと言い訳しました。
さらには、活動中のワームを根絶していない状態で、
休眠中のPCも危険だから今すぐ電源を入れて(社内LANから)パターンファイルをアップデートしろ
などと言いました。
自分の頭で考えて判断するのは、情報不足や判断ミスを招くこともありますが、
不適切な固定化したルールを杓子定規に使うのもまた、非常に危険なことですね。
ここにコメントを書く
親コメント
Re:IPA職員といっても (スコア: 1)
たまたま同じビルに入居してますが、掃除をするのはビル管理会社から委託されている方々です。
同じビルにいるって言いたいだけでいちゃもんつけているわけじゃないんですが。
最初は16階だけでしたがいつのまにかその下のフロアも借り切りましたね。
ほかのフロアにはない(そもそも物を置くことが許されていない)案内板がエレベータホールにあって、
やはりお上掛かりは特別扱いされているのかなという印象を受けています。
職員の印象もなんとなく不遜な感じ。
ここにコメントを書く
親コメント