SSブログ
情報セキュリティ事件から学ぶ ブログトップ

Internetwatch】衆議院外務委員会で「ACTA」審議、野党欠席で空転 [情報セキュリティ事件から学ぶ]

ACTAは、模倣品・海賊版の拡散など知的財 産権侵害の防止に向けて協定締結国が効果的に 取り組むための国際的な包括的枠組みを定めた もの。すでに昨年10月、日本を含む関係各国が 署名しており、EUでも承認。6カ国が批准する ことで発効することになっている。
しかし、EUの立法機関である欧州議会が今年 7月、ACTAの批准を圧倒的多数で否決。

http://internet.watch.impress.co.jp/docs/news/20120829_556177.html
nice!(0)  コメント(0) 

Securitynext】患者情報含むHDDを院内の引越し作業中に紛失 - 長崎大病院 [情報セキュリティ事件から学ぶ]

長崎大学病院は、入院患者の情報が保存 されたハードディスクを、医師が引越し作業中に紛失したと発表した。
紛失したのは、2006年4月から2010年9月 の間に入院していた患者103人分の個人情報が保存されているハードディスク。

http://www.security-next.com/030238
nice!(0)  コメント(0) 

読売新聞】倖田來未さんの曲など無許可で掲示板投稿の疑い [情報セキュリティ事件から学ぶ]

容疑者は2月3日から3月6日までの間、日本音楽著作権協会(JASRA C)の許可を得ずに、福岡市の会社が運営するインターネットの無料レンタル掲示板に、倖田來未さんの「Through the sky」など6曲を投稿し…

http://www.yomiuri.co.jp/national/news/20120421-OYT1T00995.htm
nice!(0)  コメント(0) 

産経ニュース】中3女子にみだらな行為 容疑の男逮捕 [情報セキュリティ事件から学ぶ]

逮捕容疑は3月20日、大津市のホテルで、 スマートフォン用の無料アプリ「マジカルメー ル」と「LINE」を使って知り合った中学3 年の女子生徒にみだ らな行為をしたとしている。

http://sankei.jp.msn.com/region/news/120418/kyt12041802020003-n1.htm

スマホのアプリが悪いわけではないのですが、無料だからと言って煽る記事も多くあります。
リスクを知った上で使わないとね(^-^;
nice!(0)  コメント(0) 

新生銀行】新生銀行のWebサイトであることをご確認ください [情報セキュリティ事件から学ぶ]

新生銀行のメールアドレスを装ったフィッシング メールも確認されています。 新生銀行では、口座番号や暗証番号等、重要なお 客さま情報をEメールで直接お尋ねすることはござ いません。

http://www.shinseibank.com/direct/about_web.html


フィッシング対策協議会
新生銀行を騙るフィッシングメールが出回っています。
https://www.antiphishing.jp/news/alert/20120329shinseibank.html
nice!(0)  コメント(0) 

NHK】航空会社装うウイルスメール 注意を [情報セキュリティ事件から学ぶ]

大手航空会社の全日空から航空券の注文を確認する電子メールが送られたように装って、利用者の パソコンをウイルスに感染させようとする新手の サイバー攻撃が確認された

http://www3.nhk.or.jp/news/html/20120328/t10014015441000.html

ANA なりすましメールにご注意ください
http://www.ana.co.jp/topics/notice120328/
nice!(0)  コメント(0) 

Microsoft】Internet Explorer の自動アップグレードが始まりました [情報セキュリティ事件から学ぶ]

先日ご案内 させていただいた Internet Explorer (以下 "IE") の自動アップグレードが、昨日より日本でも始まりました。対象のお客様に対しては、順次自動アップグレードによる配信が行われますが、一方で、現在 IE6、7などをお使 いのお客様には、自動アップグレードによる配信を待た ず、この機会にお使いの Windows で利用可能な最新の IE をダウンロード 、導入いただくことを、あらためてお すすめします

http://blogs.msdn.com/b/ie_jp/archive/2012/03/26/10287454.aspx

今週から始まっているようですね(^-^;
nice!(0)  コメント(0) 

JVN】更新:複数のDNS ネームサーバの実装に問題 [情報セキュリティ事件から学ぶ]

2012/03/27 日本マイクロソフト株式会社のベ ンダステータスが更新されました

http://jvn.jp/cert/JVNVU542123/index.html

Windows Server 2008 R2 のDNSにはこの脆弱性はないそうです
Windows Server 2008 にはあるそうですよ!!

nice!(0)  コメント(0) 

時事通信】HP制作会社経営者を逮捕=ドロップシッピング商法−全国初 [情報セキュリティ事件から学ぶ]

個人が業者に代わりインターネット上で商品を宣伝、販売する「ドロップシッピング」 (DS)商法で、虚偽の説明をし高額の契約料をだまし取った

http://www.jiji.com/jc/c?g=soc&k=2012030300144

4億円の被害ですって!!
nice!(0)  コメント(0) 

Microsoft】Windows 8 Consumer Preview 公開 [情報セキュリティ事件から学ぶ]

Windows 8のConsumer Preview を一般に向けて公開

http://windows.microsoft.com/ja-JP/windows-8/consumer-preview

システム要件は「よく寄せられる質問」にあります。
体験される方は自己責任ですよ( ̄∇ ̄*)ゞ
nice!(0)  コメント(0) 

IPA】「脆弱性体験学習ツールAppGoatハンズオンセミナー」開催のご案内 [情報セキュリティ事件から学ぶ]

http://www.ipa.go.jp/security/vuln/seminar/lab_semi_appgoat_2012_1.html

行きたいなぁ、セミナーを動画公開してくんないかな ^^ DVD販売でも良いな(^^)
地方格差がリスクを生む、なんちゃってさ


セミナー概要 抜粋

1. 日時: 2012年 2月 20日(月) 14:00 ~17:00

2. 場所: 独立行政法人情報処理推進機構 13 階 会議室A,B

4. プログラム:
○ウェブサイトを狙った攻撃の実情

○脆弱性体験学習(演習)
SQLインジェクションの脆弱性
クロスサイト・スクリプティングの脆弱性
クロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性

○IPAのセキュリティ向上への取組み

○質問/アンケート

参加料金 1,500円 当日現金払い

ノートPC持ち込み、スペックはサイトで要確認!
nice!(0)  コメント(0) 

米DreamHost】webホスティング会社のデータベースに不正アクセス [情報セキュリティ事件から学ぶ]

会員のFTPとシェルのパスワードが流出したそうです

IDS のアラートにて気が付いたそうですね ^_^;

http://blog.dreamhost.com/2012/01/21/security-update/


nice!(0)  コメント(0) 

「メーリングリストでの裁判資料漏えい」を考える [情報セキュリティ事件から学ぶ]

個人情報保護法関連では色々突っ込みどころもありますが法律の専門家の方々に失礼なので、別の観点から考えてみます

情報セキュリティとは「情報」の機密性、完全性、可溶性を維持することですが、「不幸な個人」を作らないことでもあります

情報セキュリティでは「設定ミス」は偶発的人為行為とあります

これは人的行為が「ミスのないもの」ではなく「人はミスをする」という考えに基づいてます

今回の漏えい事件で「不幸な個人」とは「設定ミスをした人」です

漏えい事件の対策として「設定ミスがないよう確認」を行った場合、情報セキュリティ対策としては十分な対策とは言えないでしょう、なぜなら上で述べたように「人はミスをする」ものですからね。

では対策として何をすれば良いのでしょうか

第一は設定ミスを無くす事
・本来設定しなければならない「有るべき設定」の明確化
・設定手順書の作成
・「設定されるべき設定/手順」の承認
・「設定されるべき設定」が設定されているかのチェック

上記の事が行われず設定を個人に任せていた場合、組織が設定ミスした個人に責任を問うことが正当な行為でしょうか

第二は仕組みの妥当性
・メーリングリストを使用することの妥当性

他の仕組みと比較してメーリングリストが情報漏えいのリスクが少ないかの選択です

メーリングリストは非常に有用な仕組みですが、今回送付された情報の送付手段として使用するに妥当なもので有るのかの検討がされていたかです

今回、気になったので「弁護士 メーリングリスト」でググってみました、結構昔から使われているんですね驚きました

そこで気になったこと。
・一部ですがYahooやamebaのメーリングリストが使用されている
 弁護士事務所に相談に行くと相談内容が上記メーリングリストで情報交換されていることを、相談者が知ったらどう思うのでしょうか

・メーリングリストは「サービスの委託」です。
 日弁連サイトの個人情報保護方針には「個人情報を第三者に委託して利用する場合は,当該第三者との間で秘密保持契約を締結した上で提供するなどし,また,委託先への適切な監督を行います」と記載があります
メーリングリストの業者と「秘密保持契約を締結」や「適切な監督」は行われているのでしょうか
メールがアーカイブされていれば個人情報はサーバに存在します。
情報漏えいは設定ミスだけでなく、不正アクセスや悪意ある管理者からも漏えいします
そのための「秘密保持契約」や「監督」なのですからね

最後にso-netさんのセキュリティ通信にもあるようにメール本文は平文(小学生でも容易に読める形式)でネットワーク上を流れます、ネットワークを盗聴された場合は情報は漏えいします

日弁連さんの調査報告に期待しています、公開されるのかなぁ

ps.情報セキュリティって人的対策が主なんですよ (このジョークわかるかなぁ ww)


nice!(0)  コメント(0) 
情報セキュリティ事件から学ぶ ブログトップ

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。