カテゴリー別アーカイブ: IT

『サイバー攻撃者の「巨大ファイル」4種類、22億の漏洩データを発見』??

セキュリティ関係の調べものをしていて、偶然とある発見があった。

『検索可能なネット表層さまようアカウント情報約22億件 – 流出事故とも一致」(Security NEXT 2018/05/17)

このニュースのソースはこちら。

『サイバー攻撃者の「巨大ファイル」4種類、22億の漏洩データを発見~14億の標的パスワードファイル/7億の詐欺メール送信先ファイル/2800のハッキングサイトファイル』(ソリトンシステムズ 2018/05/08)

このニュースリリースでは「本調査において新たに4つの重要な巨大ファイル群を発見しました」とあるが、「14億クレデンシャル」はセキュリティ企業「4iQ」が2017/12/08に発見したものだ。

‘1.4 Billion Clear Text Credentials Discovered in a Single Database(14億のクリアテキストのクレデンシャルが単一のデータベースで発見)’ (4iQ 2017/12/08)
『ダークウェブに14億件の個人データ流出、有名ポルノサイトも』 (フォーブズ・ジャパン 2017/12/14)

また、「Onliner Spambot」はTroy Hunt氏が2017/08/30に個人ブログで公開している。

‘Inside the Massive 711 Million Record Onliner Spambot Dump’ (Troy Hunt 2017/08/30)
『6億件以上のメールアドレスが誰でもアクセス可能な状態のスパムボットサーバー上に置かれていた』 (GIGAZINE 2017/08/31)

どういうことなのだろうか?

欧州委員会曰く、GDPRは我々には適用されない

欧州委員会(EC)が自らの個人データ漏えいについてGDPRは適用されないと発表したらしい。

‘Embarrassing’ leak shows EU falls short of own GDPR data law (The Telegraph 2018/05/30 22:49)

欧州委員会の個人データ漏えいはIndivigital社からThe Daily Telegraph紙に提供された証拠で明らかになったようだ。

THE EU’S WEBSITE IS SERVING THIRD-PARTY CONTENT AND SPREADSHEETS CONTAINING HUNDREDS OF NAMES AND EMAIL ADDRESSES (Indivigital 2018/05/27)

EUのウェブサイトがEUのさまざまなワークショップやイベントに参加した個人の氏名、メールアドレス、電話番号、携帯電話番号を含むスプレッドシートを公開状態にしていたとのこと。

グーグル検索の結果には、EUのウェブサイト上にあるExcelファイルが約2万4千件現われ、europa.euドメイン上のそれらExcelファイルは、グーグルの詳細検索機能を使えば誰でもアクセスできるようだ。

その一つは欧州食品安全機関が公開したものと、2013年11月開催の「Scientific Colloquium Series」の出席者101名のデータ。

そのデータには姓名、メールアドレス、郵便番号、住所、電話番号、携帯電話番号、FAX番号が含まれる。その他、公開状態で誰でもアクセスできるようになっていたExcelファイルには以下のようなものがあったらしい。

・「Cultural Infodays 2009」という画像と437行のデータ。名前、メールアドレス、組織名を含む。政府機関や大学職員、非営利団体や民間企業の職員のデータもああり、多くのメールアドレスは政府機関や非営利団体のものだが、GMailなどのフリーメールもあった。

・Marine Expert Gropのものと思われるExcelファイルもあり、参加者の氏名、メールアドレスと、出欠確認のデータもあった。多くのメールは政府機関のものだが、いくつかは非政府機関のもの。

・欧州委員会が公開したExcelファイルもあり、氏名、メールアドレスを含む63名の個人データがある。メールアドレスは大部分がGMail。シートの列名には「nature of involvment(関与の性質)」というものや、各個人の能力についての短い記述と思われるものもある。たとえば「ITとソーシャルメディアのスキル」「WB RAAの草稿に助力した」「プロジェクト管理の経験あり」など。

後者のExcelファイルは2016年11月3日、4日開催の”Balkan Connexion”というイベントに関するものと思われ、EUのウェブサイトによれば、このイベントは学生を含む90名が参加した。

多くのExcelファイルは684行の個人データがあるものも含めて、各個人の明示的な同意によって公開されていると思われ、同意の概要を示すeuropa.euのページにリンクされており、そこからもExcelファイルへリンクされている。

その他の例として、”FOREST project”専用のウェブサイトに列挙されたExcelファイルがあり、ここには氏名や携帯電話番号を含むユーザの詳細な個人情報があり、2010年から2018年の間に公開されたワークショップのウェブページからリンクされている。

これらは明らかにGDPR違反となる。

しかし欧州委員会のスポークスマンはEUの各種機関は「法的な理由」でGDPRとは分離されており、GDPRにならった新しい法律に従うことになると発表したようだ。その新しい法律は今年2018年秋に施行されるとのこと。

日本でシェアサイクル事業を始める人間はどうかしている件

中国のモバイク、ofoの日本進出が最近ホットな(?)ニュースになっている。たとえば下記の記事。

『2018年は、日本にとって「シェアサイクル元年」になるか』(2018/04/25 Forbes Japan)

答えは「なるわけねぇだろ」だ。

筆者は中国のアイドルグループSNH48を5年間ずっとウォッチしており、学生のメンバーがスマホ生放送でシェアサイクルを使う場面をたびたび見てきた。

いま日本でシェアサイクル事業をやろうとしている人間は、日本社会の特殊性がまったく分かっておらず、どうかしている。

コストの問題

大前提として、ユーザが負担する費用の問題。

どこの事業者もだいたい30分120~150円が相場だが、12,000円あれば自転車は買える。安いほうの120円でも、単純計算でたった50時間乗るだけで、12,000円の自転車はもとがとれる。

つまり、50時間のればもとがとれるのに、それでもわざわざシェアサイクルを使うメリットは何なの?ということ。

乗り捨てぜったい実現不能問題

かつ、日本のシェアサイクルは中国と違って、今のところ乗り捨てできない。

必ず指定の駐輪場、「ポート」とかカッコいい名前を付けているが駐輪場、指定の駐輪場にかならず返却しなければいけない。

じゃあ日本でいつか乗り捨て式になるかといえば、絶対ムリ。

まず乗り捨てられたご近所から、事業者に猛烈なクレームがくる。それでアウト。

また、中国で乗り捨てができるのは、乗り捨てた自転車を回収する肉体労働者がいるから。

日本で、あちこちトラックで走りまわって、ひたすら自転車を回収するようなアルバイトに応募する人間がいるか?

いたとして事業者はそのバイトの時給をいくらにする?たぶん元気な高齢者の半分ボランティア的な感じになるだろう。

それにしてもご近所が許さないので、乗り捨てはぜったいムリ。つまり専用駐輪場間の移動に限定される。

この2点が大前提。所有自転車のほうが50時間でもとがとれる点、今後とも絶対に乗り捨てができない点。

年齢層別:小中学生・高校生

では、都市部の想定ユーザを年齢層別に考えてみよう。

小中学生と高校生。自転車が必要なら親が買いあたえるし、自転車による行動範囲は限定的。通学か、最寄り駅までの往復。

自前の自転車を購入して、駅前に違法駐輪または有料駐輪場に停める。どちらにしてもシェアサイクルより圧倒的に安い。

かつ、誰が乗ったかわからず、整備状況もよく分からない自転車と、毎日乗ってブレーキの利きぐあいなど、自分で調子がわかる自転車、安全性の観点でも自前の自転車を選ぶだろう。とくに親の観点では。

したがって、小中学生、高校生ユーザはいない。

年齢層別:大学生

次は大学生。通学想定なら小中学生、高校生と同じなので、文句なしに自前の自転車。趣味でロードレーサーやマウンテンバイクに乗りたいなら、当たり前だが自前の自転車。

ただし、小中学生、高校生より行動範囲は広がる。最近の大学生は自動車を買わないが、お金のない大学生が従量課金の自転車に乗るだろうか。

シェアサイクルが必要になるのは、出かけた先で歩くのが面倒な距離を移動する必要がある場合と、自転車で出かけて自宅にもどらない場合だけ。

都市部に住んでいて、出かけた先で歩くのが面倒な距離を移動する必要がある場合ってある?

だいたい日本の街づくりは、最寄り駅からの徒歩圏か、幹線道路沿い、この2パターンのどちらかだ。つまり徒歩で行ける範囲と、車が必要な範囲。

その他の範囲には、駅から遠すぎるので値段を下げられる住宅地か、工場か、何もない土地があるだけ。こういう場所にシェアサイクルの需要はない。

行動範囲が小中学生、高校生より広い大学生でも、コスト高のシェアサイクルを使うニーズはない。

なので、大学生ユーザもいない。

年齢層別:独身の社会人

次は仕事をしている独身の人。

最近は社会人でも車を買わない人が増えているが、車を買う人はシェアサイクルがいらないのは言うまでもない。車を買わない人は、大学生と同じ理屈になる。

よって、社会人ユーザもいない。

年齢層別:既婚の社会人

次は結婚している人。いちばんありえるパターンは、パートナーといっしょに移動するために車を買う。子供ができたら事実上、自動車の購入は必須。

子供のいない夫婦で、パートナーといっしょに移動するのに自転車を使う場面ってある?あるとすれば上記の大学生と同じパターンになるので、需要はない。

ましてパートナーといっしょに移動するためにシェアサイクルを使うには、専用駐輪場にかならず2台以上のシェアサイクルがなければいけない。1台しかなかったらその時点でシェアサイクルはアウト。

よって、結婚している人にもユーザはいない。

年齢層別:高齢者

あとは年齢の問題だけになる。

一気に、高齢者までジャンプしてみる。

高齢者は性別問わず、基本、危なくて自転車に乗れない。筋力や反射神経の問題。昔から車を運転している人なら、当然、筋力のいらない自動車に乗る。

自動車を維持するだけのお金がない高齢者は、行動範囲が非常に小さくなるだけ。その範囲内なら自転車に乗ることはあるだろうが、お金がないので従量制のシェアサイクルなど使わない。

つまり、高齢者にもニーズはない。

ほら。いったいどこにシェアサイクルのユーザがいるんだよ。

こんなこと冷静に分析すれば、誰にだってわかるでしょう。

中国でシェアサイクルができた条件のおさらい

じゃあ中国ではどうしてシェアサイクル事業が成立したのか?

(1)一つの都市の広さが、日本の比じゃなく、だだっ広いから。
(2)まだ自動車を買うお金のない若年層人口が、日本の10倍いるから。
(3)乗り捨てできるから。
(4)都市部の移動範囲に、坂がほとんどないから。

日本の地形の問題

では話を「地形」の問題に移そう。

日本の都市部を考えてみる。

たいてい公共交通機関が十分に張りめぐらされている。

公共交通機関のない地域には、たいてい「何もない」。わざわざシェアサイクルで行く必要があるような目的地がない。

あと、たとえば名古屋の街づくりは異常で、自動車以外の交通手段を完全無視している。自転車でさえ歩道橋を使わなきゃいけないあの街づくりは変態的だ。

関西では、神戸は高低差がはげしすぎるが、大阪の都心部や、京都なら、高低差という点では問題なさそう。京都はバスでしか行けない場所に、本当は多くの人が行きたい場所があるので、そのあたりならシェアサイクルの需要はあるかも。

その他、東京や大阪市内ほど集積度の高くない都市は、基本、郊外への移動もふくめた日常生活を考慮すると、自動車が必須になる。

「地形」を考えても、日本にシェアサイクルの需要はほぼゼロ。少なくとも事業としてペイするだけの需要は、とうてい見込めない。

天候の問題

それから、天候の問題。

雨や雪が降ってきたらどうすんだよ。

シェアサイクル楽しいなぁ~って乗ってて、夕立に降られても、中国みたいに乗り捨てできないから、自分で専用駐輪場まで持っていかないとダメなんだよ。

自前の自転車なら、自分の所有物だから、イヤでも自宅まで押して帰るでしょ。

でも自分のモノでもないシェアサイクルを、どうしてわざわざ専用駐輪場まで押していくような手間をかけなきゃいけないの。

しかも雨降りの中、ずぶ濡れになりながら自転車に乗るにしても、押していくにしても、専用駐輪場までは確実にいつもより時間がかかる。

時間がかかれば課金が増える。

天候のせいで課金が増える自転車って、いったい何なんだよ。そんなもの使えるか。

日本人の潔癖症の問題

それからすでに上でも少し触れたが、日本人の「潔癖症」問題。

中国人との比較で、日本人が異常なまでの潔癖症であることは断言できる。

直前まで誰が乗ったかわからない自転車に乗れますか?ハンドルと、サドル。

公共交通機関なら、事業者に対する歴史的、社会的信頼があるので、ちゃんと清掃されている(はず)という安心感がある。

電車のつり革には、最近ではごていねいに抗菌処理がされていますとか、そんなことまで書いてある。

でもシェアサイクルは、専用駐輪場が吹きっさらしの場合もある。ちゃんと清掃員が一台ずつ定期的に掃除してくれる保証は?

たとえ清掃員が定期的に掃除してくれても、通りすがりのヘンな人が、自転車に気持ちの悪い細工(ここはいろいろ想像をふくらませて下さい)をしない保証は?

電車やバスなら「密閉空間」だから、乗客の誰かが座席やつり革にヘンなことをしたら、すぐ分かるよね。

でも自転車はオープンなわけ。

たとえ停めてあるのが専用駐輪場であっても、その駐輪場全体をガードして、鍵でロックしない限り、誰でも「いたずら」ができるわけです。

そんなシェアサイクルに潔癖症の日本人が乗ろうと思いますか?

ここまでちゃんと考えましたか?

日本でシェアサイクルやろうとしてる事業者のみなさんは、ここまできっちり考えましたか。

上に書いた要素のうち、一つでも考慮もれがあったとしたら、単なるアホですわ。

一般的に、日本企業でバリバリ仕事ができる人間ほど、日本の組織、社会の特殊性を客観視できない。

逆に言えば、客観視できないから、日本的組織や日本社会の中で、出世して一定の地位を得られるわけです。

そんな人間は、とうぜん中国の社会的条件と、日本のそれの違いなど、意識できるはずがない。

日本でシェアサイクルをやろうとしている人は、きっとそういう「日本社会に完全適応した人間」なんだろうと思う。

「パスワードの定期的な変更は不要」は大ウソ、NISTの原文を読め!

先週くらいから、突然大手紙が「パスワード定期変更不要」のニュースを流し始めて、今ごろ何を言っているんだろう。

しかも単に政府が参考情報として出している資料の内容が変わっただけで、別にパスワードに関する法律があるわけでもないのに、「国が方針変更」というのは意味不明だ。

さらに言えば、定期変更を不要としたおおもとの米NISTのガイドライン「NIST Special Publication 800-63B」を読まずに書いている記事ばかり。

同NISTガイドラインのAbstractには「連邦政府機関」向けと明記されている。

もちろん「パスワード定期変更不要論」はNISTガイドライン以前の、技術者の間での議論がベースになっているけれど、まずはNISTのガイドラインが米国連邦政府機関むけであることは明記すべきだろう。

米国連邦政府機関に求められるセキュリティレベルが、無条件に、あなたの使っているシステムよりも高いと前提するのはやめるべきだ。

米国連邦政府機関なんて、まだまともなエンドポイントセキュリティ製品がない時代に「BYOD(私物の業務利用)」を認めていたくらい、セキュリティはある意味に「ゆるゆる」だ。

また、日本政府や日本のセキュリティ関連団体が、なぜNISTガイドラインを鵜呑みにする必要があるのか。

日本が欧米より高いセキュリティガイドラインを設定することに、何か問題でも?こんなところでも無条件に欧米に追従しようというわけだろうか。

もう一点、NISTガイドラインの「SHALL」「SHOULD」の使い分けが無視されている。

ガイドラインの中に定義がある。「SHALL」は逸脱を許さない必須の規定、「SHOULD」は他の選択肢を排除しない推奨だ。

「SHALL」は「~でなければいけない」、「SHOULD」は「~であるべきだがその他の選択肢も排除しない」という意味だ。

「パスワード定期変更不要論」について、NIST Special Publication 800-63Bの該当部分は「5.1.1.2 Memorized Secret Verifiers」にある以下の段落だ。

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

この段落の中だけでも必須の「SHALL」と推奨の「SHOULD」が使い分けられている。

定期的にパスワードの変更を要求することは「しないのが望ましい SHOULD NOT」としか書かれていない。

他方、この段落の中で「SHALL」になっていることがある。「認証機能が被害を受けた証拠がある場合は、パスワードの変更を強制しなければならない」という一文だ。

こちらのほうは必須なのである。

つまり、たとえばあなたの会社で、「新聞のニュースにパスワードの定期変更は不要って書いてあったし、国の方針も変わったようだから、うちの社内システムも定期変更はやめようよ」ということになったとしよう。

その場合、前提条件として「5.1.1.2」の中で「SHALL」になっていることをすべて実現する必要がある。

認証機能が被害を受けた証拠がある場合、パスワードの変更を強制しなければならないことは「SHALL」なので、認証機能の被害を検知し、即座にユーザにパスワード変更を要求するシステムか体制を整備する必要がある。こちらは必須なのだから。

それをやらずに、パスワードの定期変更だけをやめるのは、NISTの主旨に完全に反している。

もっと言えば、「5.1.1.2」のパスワードに関するガイドラインには、他にも「SHALL」がたくさんある。

いくつか抜粋する。

・パスワードは最低8文字。

・パスワードのヒントを認証前に表示してはいけない。

・よく使われるパスワードのリストを準備しておき、ユーザが使おうとしているパスワードをそのリストと対比しなければならない。

・そのリストにユーザが使おうとするパスワードが見つかった場合は、そのパスワードを拒否する理由を表示し、異なるパスワードにするようにユーザに要求しなければならない。

・認証の失敗回数を制限する機能を実装しなければならない。

・パスワードを入力させるとき、中間者攻撃を避けるために、通信の暗号化を行わなければならない。

・パスワードを蓄積するとき、一方向のハッシュ化などでオフラインの攻撃にも耐えるようにしなければならない。

・そのときの鍵は承認済みの一方向の機能を使わなければならない。

・ハッシュ化のソルトは少なくとも32ビットでなければならず、ソルトの衝突を最小化するために任意に選ばなければならない。

・ソルト値とその結果のハッシュ値はユーザごとに認証システムを使って保存しなければならない。

・ソルト値を利用する場合は、認証済みの乱数bit発生アルゴリズムを使わなければならない。

・秘密のソルト値はハッシュ化されたパスワードとは別に保存しなければならない。

これらの「SHALL」をすべて満たしたうえで、パスワードの定期変更を要求することはしない方がいいですよ(SHOULD NOT)と書いてあるのだ。

ところが日本の大手新聞や三流IT情報誌の記事は、これら必須要件である「SHALL」をぜ~んぶ無視して、「パスワード定期変更なんてしなくていいんだ!」と、都合のいい部分だけを取り上げている。英語のメディアにも同じような記事がたくさんある。

まあ、オンラインメディアなんて、その程度ですわ。

金融機関のウェブサービスは、連邦政府機関の一般業務より高いセキュリティが求められるかもしれないでしょ?

ふつうの企業で、社内の認証機能が破られたことを即座に検知して、ユーザにパスワード変更を要求する仕組みを導入してる会社なんてどれくらいあるの?

上記の「SHALL」をすべてクリアしていないなら、パスワードは定期変更しなきゃダメなんです。

総務省も一部のセキュリティー識者も、海外メディアの記事も、あてにならないので困ってしまう。

A Japanese Health Insurance Society Web Site Kosmo Communication Web Vulnerable to POODLE

Every Japanese company has its own health insurance society for employees and some IT vendors provide cloud services that naturally contains employee’s sensitive personal information, such as when you are prescribed medicine in which pharmacy.

One of such self service health insurance web portals is still vulnerable to POODLE attack found four years ago. The web portal, called Kosmo Communication Web, is provided by Daiwa Institute of Research Business Innovation, affiliate of Daiwa Securities.

Why I found this web site is vulnerable? That’s because I’m a user of this sevice. I’m working for the company, listed on Tokyo Stock Exchange first section, which is using this cloud service.

The English promotion page of Kosmo Communication Web doesn’t provide useful information while Japaneses page says more than four hundreds Japanese companies uses this cloud service to manage their employees medical history.

When you search the keywords “Kosmo web”, you will find several Japanese large companies use this cloud sevice.

This service doesn’t provide option of two factor authentication for employees to protect their sensitive data. However, the data processor Daiwa Institute of Research Business Innovation is certified with ISO27001 and provides several services concerning securities, banking and asset management.

My company doesn’t allow employees to stop processing their sensitive data on this service and didn’t request employees consents before implementing this cloud service.

This is one example of processing personal sensitive data in Japanese large companies.