2010年03月29日

泥棒の考え方とモノの価値

カレーチェーンのココイチの店舗で顧客の個人情報が記録されたUSBメモリが金庫ごと盗難した発表がありました。

個人情報は企業にとって“大事なもの”という事で施錠し安全に保管できる金庫へ入れるのが普通でしょう。しかし、泥棒の価値観から考えた場合、“大事なもの”という考え方はどうでしょうか。

泥棒としては、金庫=金目の物が入っているという図式が成り立ちます。そのため、金品目当てで持ち運びができる金庫を盗むという考え方が出来ます。


人によってモノの価値が変わるため、金庫へ入れてしまうことで盗まれるというリスクが高くなることもあります。
この場合、あえて金庫ではなく施錠管理ができるキャビネットへ帳簿と合わせて保管するというリスク管理もできるのではないでしょうか。


攻撃する人の心理になってリスク管理する事も大事な考え方だと思います。
ちなみに、泥棒の心理として下記の3つのことがよく言われますね。
 1.人目につきにくい
 2.簡単に建物に侵入できる
 3.金品で確実に儲けることができる



それにしても盗み出した金庫を開けて、USBメモリしか入っていなかったら泥棒としてはショックでしょうね。。。

■Security NEXT:金庫盗難で個人情報入りUSBメモリが被害 - ココイチ

USBメモリには、宅配サービスの顧客4400人分の氏名や住所、電話番号などが記録されていたという。同店では警察へ被害を届けているが、発見されていない。保存されていた個人情報の不正利用は確認されていないという。

2010年03月23日

グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開

あとで試して見るための備忘録メモです。
それにしても、最近、Googleに踊らされているような気がしてなりません。


■ZDNet Japan:グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開

skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。


2010年03月19日

IPAが「安全なSQLの呼び出し方」を公開

今回、公開された資料は具体的な例と対策が書いてあり、わかりやすく、ためになりますね。

ただ、それよりもなにより執筆陣が豪華ですね!わーい(嬉しい顔)

執筆者
 徳丸 浩
 永安 佑希允
 相馬 基邦
 勝海 直人
 高木 浩光

■IPA:「安全なSQLの呼び出し方」を公開
http://www.ipa.go.jp/security/vuln/websecurity.html


ただ、これを開発者へ渡しても「へぇー」という回答だけで読んでもらえないですよねもうやだ〜(悲しい顔)
それをいかに打破して啓蒙するか、人財の教育がここ最近の悩みですふらふら

2010年01月13日

「ガンブラー」型の攻撃への備え

数年周期で大規模な感染が発生するウイルス業界ですが、今回の「ガンブラー」型の攻撃は亜種に次ぐ亜種が発生し、終息する気配は見えません。。。
ただ、終息へ向けた第一歩として、ウイルス感染に利用されていたAdobe Reader/Acrobatの脆弱性に対して修正パッチがリリースされました。

■Adobe Reader/Acrobatの修正済みソフトウエア・リリース
 http://www.adobe.com/support/downloads/new.jsp
※ もしくは、Adobe Readerの「ソフトウェアの更新」などで更新してください

この修正パッチで万事安心というわけではなく、ゼロディ攻撃もまだまだ発生しますので、以下のことは今後とも対応していく必要があります。
 1.ウイルス対策ソフトは常時有効
 2.OSとソフトウェアのセキュリティパッチは随時適用
 3.ゼロディ攻撃への対応(JavaScriptをオフにする等)

昔は怪しいサイトを閲覧しない。が対策でしたが、いまは一般企業のサイトでも改ざんされている可能性が高いので、個々でリスク対策を実施する事が肝要ですね。

2009年12月29日

日本では少ないオンライン詐欺

日本では、日本語という言語の壁によって、オンラインの詐欺による被害は、かろうじで発生件数が少ない状況ですが注意は必要ですね。

基本的に電話勧誘や郵便物による偽装請求と同じ対応で無視をするか、相談窓口や有識者へ相談する事で詐欺の被害に遭わないように注意する必要があります。


マカフィーのアドバイスにもありますが「常識を働かせる」が大切です。

■マカフィー:
 新年を迎えるにあたり「2010 年、12 のオンライン詐欺」を発表