APTを舐めたらアカン

GEPA_full_8189_GEPA-19061499001-Customブルガリア、キプロスと情報収集に回り、ようやくウィーンに戻った。さすがにナイジェリアには行きたくなかったので付き合いのある会社に調査依頼。
昨日は久しぶりにF1観戦。復活したオーストリアGPはかつてはオステルライヒリンクだったが、約半分の大きさに改修され名称もA1-リンク、さらにレッドブルリンクとなった。(あのリポビタンDをパクッたタイの飲み物。レッドブルはオーストリアの企業。日本で売られているレッドブルはタウリンは入っていないのでこちらのものとはやや違う炭酸飲料)
起伏が多くピットからコースに戻るときの登り坂のキツさは相当なものに見える。かつては鹿がコースに入ってクラッシュがあったりなかなかスリリングなコース。ベルギーのスパ・フランコルシャンに次いで筆者が好きなGPコース。来年もまた行きたいものだ。

それにしても、年金機構のバカな連中には腹が立つ。
日本のメディアや野党は年金機構の職員の意識や組織体質批判に明け暮れているようだが、ことはそんなに単純ではなく、まだ終息したとは言えないインシデントだ。
APTはそれなりの組織と人員を必要とする何ヶ月も何年もかける長期的な攻撃であり、コンピュータやネットワークの技術的な知識・経験やいわゆるソーシャルエンジニアリングやインテリジェンスも絡むものだ。
日本のマスコミでは最近突然起きたインシデントのような話になっているが、おそらく長期間気がついていなかっただけだろう。多くのセキュリティ関連企業が、日本の政府機関や大手企業に対するAPTと思われるトラフィックの集中や増加を以前から指摘しており、それらに対してまともに取り合わなかったあるいはコスト面から優先順位を低くしていた結果、ツケが回ってきただけである。
125万件の情報流出などそれで済むわけがない。実は報道されていない事象もさらに起きていて気づいていないだけだろう。コンピュータにとっては125万件も1億件も大差無い。おそらく今後は関連する機関、組織のコンピュータシステムでのインシデント発見に次々に驚かされるだろう。

筆者らに言わせれば日本政府や公共機関などの情報セキュリティに対する意識の低さは世界的に見てもダントツ(に低い)と言っても過言ではない。民間企業も同様で東京電力の約6,000台とも言われるWindowsXPはどうするのだろう・・・。
セキュリティシステムに金をかけない、人を教育しないためまともな設計も運用もできていない状態と言っていい。
また、情報流出等のインシデントに対する責任追及や処罰が甘すぎる。だから、『まぁいっか』といった具合にコストをかけて一生懸命やろうとしない。
今回の『電子メールの添付ファイルのクリック』などは情報を扱うオペレータの初歩中の初歩である。
当然担当者はそれなりの情報教育を受けていたはずだが、意識が低すぎるのはペナルティが無いに等しいからである。
クリックした人間が何人かは公表されていないが、一段落したら必ず担当者や責任者の処分を行うべきだ。情報漏えいしたとされる国民には郵送で通知したそうだが、125万人に82円の郵便料金がかかったのならそれだけで1億は捨てたようなもので、該当する組織の担当者や責任者の自腹でやって欲しいものだ。

個人情報は今や生命や財産と同義に近くなっている。生命と財産を守るのが国家の義務とされる憲法もこの部分は追記して改正するべきだ。
また、公務員やそれに準じた連中などは必ず刑事訴追し、無期懲役クラスの実刑を課すべきだ。業務上の過失であってもダメはダメだ。ウィルスだったら感染する恐れがあることを知っていてクリックしたのは間違いなく『未必の故意』と言える。
筆者の持論だが公務員やそれに準じた連中は身分保証がある以上、業務上の故意・過失によらず一発レッドカードにすべきで裁判も三審など不要、二審で良い(内乱罪のように)。それが怖い、嫌だというなら公職には着くなということだ。

それにしても、サイバー空間では既に何年も前から”世界大戦状態”で、支那からの国家組織レベルでのAPTを長期に渡り知っていても現在の日本ではそれらのアタックに対抗した攻撃が出来ない。攻撃に対しては攻撃こそが最大の防御であるにもかかわらず。
これは『不正アクセス禁止法』(不正アクセス行為の禁止等に関する法律)というタコな法律のせいだが、一定の技術水準を満たす企業や個人には例外を認めるべきだろう。(当然、悪用の際の厳罰を付加してだが)
何しろ日本の情報通信に関する法律は追いついていない。かつて、spamが問題になり『特定電子メール法』(特定電子メールの送信の適正化等に関する法律)で『未承諾広告※』が話題になったが、最近は見かけることがなくなったはずだ。あれこそ、実態と技術的な無意味さを政治家が全く理解しないため立法化された象徴的なバカ法律で実効の皆無のものだった。
もうすぐマイナンバー制度が始まるが、必ず盗まれるだろう。
絶対に盗まれないという前提で進むのは『原発は安全』と進めてきて大失敗したことをまた引き起こすだろう。盗まれるのが前提で、その上でも大丈夫なシステムの設計と運用が必要なはずだが、12桁(法人は13桁)全部が数字というタコなことを平気で進めている。
クレジットカードでさえ16桁では拙いということでカード裏に3桁のCVV(CVC)を導入したことくらいは素人でも知っているはずだ。
12桁でもいいが、アルファベットも使えば12桁は飛躍的に組み合わせが増える。盗まれてもそれを悪用する際に不可能ではなくとも膨大な時間を食うような仕組みを用意しているかどうかが問題で、今回の年金情報漏えい問題から見るに到底期待できないのではないかと危惧している。

とにかく、今はGeoIPでも何でも使って、
red countriesに ”CN” “HK” “KR” “RU” “TR” “TW” “UA” “NG”
yellow countriesに ”BR” “CR” “DE” “FI” “FR” “GB” “HU” “IL” “BG”
を加えて遮断もしくは監視すべきである。CYも加えたいところだが、商売上難しい場合もあるかもしれない。

 

ブログランキング・にほんブログ村へ 
(blog rankingに参加。ご協力を。Click it!)

広告
カテゴリー: ディジタル・ネットワーク, 社会・経済, 海外 タグ: , , , , , , , , , , , , パーマリンク

APTを舐めたらアカン への2件のフィードバック

  1. ブルーベリー より:

    110番録音また不具合 秋田県警2月末からhttp://www.kahoku.co.jp/tohokunews/201503/20150319_41011.html
    メール110番受信遅れ、警官到着は「解決」後
    http://www.yomiuri.co.jp/national/20150616-OYT1T50003.html

    秋田県警は110通報の録音も出来ないヘンテコな組織。
    いまだに一太郎を使っていて、ワードなどは触ったこともない。
    たとえ、サイバー攻撃されても、100年経っても気付かないと思う。

    警視庁はSEを捜査官にして不正送金対策に乗り出した。
    秋田県警や自治体も、シロアリを追い出してSE出身者を採用すべき。

    • argusakita より:

      間抜けな話ですね。
      ある意味、システムに依存しているからそうなるのでしょう。

      詳細な調査結果も出ていない段階で、まずは、
      『実害は無かった』
      と言い切るあたりが、警察の体質を物語っていますね。

      どこの業者を使ったのか知りませんが、ICTに関して業者のレベルが低いのは地方では仕方がない部分もあるのです。OJTに限りがあるので。

      SEというのは曖昧な業界用語で、昔は達人(あるいはスーパーな職人)ともいうべきシステムエンジニアもそれぞれ専門のセクターにいましたが、今はSEというとコンピュータや通信業界に屯っている能無しのことを指しますのでその業界の方に使う場合はご注意を。(^^)
      SEというのは侮蔑語です。(^^)

コメントは受け付けていません。