アーカイブ

2006 年 6 月 のアーカイブ

お知らせ

2006 年 6 月 28 日 コメントはありません

本日、設備工事のため cmu.edu ドメインでのサービス(電子メール、Web等)を使用することができませんのでお知らせいたします。

→同日1:00pm(JST)を持って作業を完了し復旧しました。

カテゴリー: その他 タグ:

電子メールで実行ファイルを送受信してはならない

2006 年 6 月 23 日 コメント 3 件

他人から電子メールで送信された実行ファイルを自分のパソコンで実行することは危険を伴う。ファイルを実行するということは、そのファイルを作成/送付した人物(なりすましの可能性もある)に自分のパソコンを自由に操作させることに等しいからだ。

一昔前は、「知らない人からメール送信された実行ファイルを実行してはならない。」などと言われたこともあるが、電子メールの送信者は電子署名等を使用しない限り簡単に詐称することができるため、メールの送信者を知っているかどうかは関係ない。

近年、情報セキュリティ意識の高まりなどから暗号化されたファイルが送受されることが多くなっており、実行ファイル形式で暗号化されたファイルが送られてくることがあるが、こういった行為自体が情報セキュリティの脅威になることについて認識すべきだろう。受信者は実行ファイルが正当、真正なものであり、キーロガー、バックドアやルートキットなどが含まれておらず、ファイルの振る舞いが全て問題のないことを事前に確認しない限りファイルを実行すべきではない。

メールの送信者に悪気がなかったとしても、第三者が成りすまして実行ファイルを送付することで簡単にキーロガーやバックドアを受信者のマシンに仕込むことができてしまう。普段から実行ファイルをメールでやりとりすることでリスクに無頓着になってしまう弊害もある。電子メールが駄目ならと、Webサイトに実行ファイルを置いておきURLを伝えダウンロードさせる人もいるが、指定ファイルを実行させるという意味でリスクは同じである。

実行ファイルを他人に届ける必要がある場合は、本来、電子署名を施した実行ファイル、電子メールへの電子署名、SSLサイトからのダウンロードなどを用いファイルの出所と真正性を明らかにすべきだろう。

しかしながら、Webサイトにおける実行ファイルの提供については、実際の運用は結構ラフに行われている。非SSLであってもユーザが確からしいと思われるURLからであればファイルをダウンロードし実行するということは珍しくない。周辺機器等のドライバやフリーソフトはこういった形で提供されていることが多い。歴史的な経緯と効率性の面から、こういった運用形態が自己の判断のもと続いているのだが、その潜在的なリスクは周知しておくべきだろう。

またファイル提供側についても、たとえ出所を明らかにしたとところで、自分が提供する実行ファイルが利用者の環境に悪影響を与えてしまうことのリスクと責任についても認識しておく必要がある。

カテゴリー: 情報セキュリティ タグ:

12,639人分のアドレスをCC欄に

2006 年 6 月 14 日 コメント 3 件

商品に関するアンケートをメールで配信する際に、顧客12,639人分のメールアドレスをCC欄に記載して送信したことを明らかにした。

CC欄であろうがBCC欄だろうが、バッファオーバフローの脆弱性を探すわけでもなく、12,639人分ものメールアドレスを小さなGUIの入力窓に突っ込んでしまうという発想がなんとも斬新である。

ある程度現実的な上限値が存在しても良いかとは思うが、このような入力に対してもきちんと処理できてしまうプログラムもそれはそれで立派かもしれない。

あらためて言うまでもないが、ユーザは開発者の想像を超えた形でプログラムを利用するということを意識しておく必要がある。

(参考情報)
■個人情報の流出に関するお詫びとお知らせ(PDF:セガトイズ, 6/13)
http://www.segatoys.co.jp/ir/libra/20060613ir.pdf

■セガトイズ、商品アンケートメールで12,639人分のアドレスをCC欄に(InternetWatch, 6/14)
http://internet.watch.impress.co.jp/cda/news/2006/06/14/12322.html

カテゴリー: 情報セキュリティ タグ:

ぷらら、Winny通信遮断サービスを提供開始

2006 年 6 月 13 日 コメント 3 件

ぷららネットワークス社はBフレッツサービス利用ユーザに対して無料標準サービスとしてWinny通信遮断サービスを7/19日より提供。デフォルトでWinnyの通信が遮断される。Winnyを利用したいユーザは自ら設定変更を行う必要がある。

特筆すべきは「企業向けネットワークスポンサー制度」だろう。これは企業がプロバイダ料金の一部または全部を負担することで、社員に対し同サービスの利用を推奨することができるという制度である。企業は、こういった制度を利用することによって社員に「Winny不使用に関する誓約書」を書かせる以上に具体性のある対策を講じることができる。(同制度下のユーザはWinny使用のため自ら設定を変更することはできない。)

Shareを介した情報漏洩が増加している昨今、Share等その他Winny以外の危険度が高いと思われるアプリケーションへの対応も期待される。

(参考情報)
■ぷららバックボーンにおける「Winny」通信遮断サービスの提供開始について(株式会社ぷららネットワークス, 6/13)

カテゴリー: 情報セキュリティ タグ:

個人情報の暗号化通信は漏洩にあたるか?

2006 年 6 月 10 日 コメント 8 件

情報セキュリティ人材育成プログラム・応用コース座学編の最終講義を担当、「情報セキュリティインシデントと対策技術の動向」について話をした。

講義中のディスカッションで、「企業等が暗号化した個人情報を紛失・漏洩した場合にその事実を公表・謝罪すべきか?」という話になり、経済産業省のガイドラインでは「(個人情報については、)暗号化されているかどうかを問わない。」とあるので、暗号化されていたとしても平文の個人情報と同じく公表・謝罪が必要と認識され(それが本来あるべき姿かどうかは別として)実際に多くの企業が、暗号化した個人情報の紛失について事実の公表と謝罪を行っているという話をした。この背景には、暗号化されているとはいえ情報自体が組織の安全管理の及ばない状態にある場合にはすでにそのリスクをコントロールできない状態にあるという見方をされるためではないかということもコメントとして追加した。

さらに「個人情報を暗号化してインターネット通信することは認められるのか?」という質問が飛び出した。上記の考えに基づくとすれば、暗号化した個人情報のメールでのやりとりはもちろんのこと、SSLやVPNなどを用いインターネット経由でサーバにアクセスをして個人情報を送受するという行為も、自組織の管理下にない通信経路を経由するという意味では個人情報の漏洩ということになる。つまり暗号化通信を用いたとしてもインターネット上で個人情報のやりとりを行うべきではないということになる。しかしながら、各種オンラインモールのサービスやその他ネットを活用した企業活動においてインターネットを通じた個人情報のやりとりを全く行わないというのは考えにくい。実際「暗号化通信 個人情報」などのキーワードで検索をすると多くのサイトにSSLで暗号化されるので個人情報をインターネット上で通信しても安全ですという記述があるのを見ることができる。では逆に128bit SSL相当あるいはそれ以上の強度で暗号化したファイルを紛失した場合において、その事実を公表・謝罪する必要があるのかという疑問が生まれる。

紛失したファイルを第三者が拾得した場合と、暗号化した通信を第三者が傍受する場合のどちらのリスクが大きいかということになるかとは思うが、実際のところインターネット上での個人情報の暗号化通信と、暗号化された個人情報ファイルの紛失の差異について、どのような認識が一般的なのだろうか。

(参考情報)
■個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省, 2004/10/22)
http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf

「個人情報」※1とは、生存する「個人に関する情報」であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができる※2ものを含む。)をいう。「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているかどうかを問わない。

カテゴリー: 情報セキュリティ タグ: