̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IT ニュース&コラム 2015/ 6/29 通巻690号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 日本年金機構から個人情報流出。対策法の改善を考察する 2015年 6月 1日、日本年金機構は、個人情報の一部が外部に流出したことが判明 したと発表した。 そして、この事件を悪用した振り込め詐欺やパスワード聞き 出し詐欺が発生した。 125万件という件数の多さに、どれだけセキュリティが甘いのだと嘆く人が いるかも知れないが、流出するのは一瞬である。 発表によると基幹システム (社会保険オンラインシステム)への不正アクセスはないことから、可能性が あるとすれば、職員が作業中にデータベースから取り出した一時的な一覧を 添付したメールが流出したのかも知れない。 真実は不明だ。 詐欺師は、すぐにこの発表を悪用した。 たとえば、流出したあなたの個人情報を 守るための処理をしましたので手数料を振り込んでください(振り込め詐欺)、 家族構成を教えてください(個人情報流出)、処理するためにパスワードが 必要になります(パスワード流出)、といった手口だ。 日本年金機構はもちろん全てのシステムで、お金を要求することは、絶対にない。 責任をもってタダで処理することが当然だからだ。 日本年金機構はもちろん全てのシステムで、パスワードを聞くことは、絶対にない。 データベースの管理者なら、個人のパスワードがなくても処理できるからだ。 迷ったら一息ついて、「コールバック」することだ。 これは、あらゆる詐欺に 対抗できる万能の対策だ。 つまり、かかってきた電話に対してはすべて後で話す ようにして、「ホームページ」や「新聞」に書かれた窓口に電話するか、窓口に 出向くようにしてから話せばよい。 これだけで、詐欺師の思い通りにはいかない。 自分がイニシアチブを取るのだ。 中には、日本年金機構から届いた手紙に書いて ある日本年金機構の電話番号が詐欺師の電話番号の場合もあるため、 「ホームページ」や「新聞」から検索することが重要だ。 個人情報を扱っている部署では、個人情報を漏らさないように指示されたり教育を 受けたり訓練を受けたりしている。 「内閣サイバーセキュリティセンター(NISC)」 も情報セキュリティー対策を策定している。 しかし、その内容は抽象的ではない だろうか。 「個人情報は外部に漏らさないこと」、これでは全然効果はないし、誰でも知ってる。 「厳重に管理すること」、これもナンセンスだ。 機密性を分類してみているが、 何の役に立つのだろうか。 教育する人の怠慢で自己満足だ。 「具体的に○○の一覧を 作成したのでパスワードを付けて送信すること」といった例を毎回変えて訓練する 必要がある。 訓練は頭の中だけで抽象的にすることではない。 あるケースについて 体や手を具体的に動かすことだ。 論理学でいう正事例と負事例、内包的定義と 外延的定義を踏まえなければ、概念を理解することはできないからだ。 これは、 教育内容を網羅することよりも重要だ。 漏えいが発生する前に行われた 「年金個人情報の適正な管理のあり方に関する専門委員会」の資料が公開されて いるが、全然役に立たなかった。 網羅的ではあるが抽象的であるからだろう。 世の中にはこういった全てを網羅して処置をする「つもりになる」ゼネラリストが 多すぎて空洞化しているのだ。 適切な訓練をしても「標的型メール」を防ぐことは難しい。 何せ文面から判断する ことはできないからだ。 IPAが公開している「標的型攻撃メールの例と見分け方」 によると、公的機関や大企業からのメールや、総務からくる一般的なメールの添付 ファイル(偽装)を開くと感染する。 たとえば、2.2.4.「セキュリティに係る 注意喚起のメール」のサンプルにあるようにマイクロソフト(偽装)から来たものは、 思わず内容を確認したくなるだろう。 普段の9割以上は正規のものだから、 見分けることはほぼ不可能だ。 ただ、3.「標的型攻撃メールへの対応」にある ように、他にも送られてきた人が騙されないように、見破ったら社内で情報を共有 すると、被害が防げる可能性が高い。 それでも100%防ぐことは不可能なので、アクセス制限をすることや、個人情報の 一部しか取り出さないようにするなど、被害が発生しても規模が大きくならないような 工夫が求められる。 情報システムには、こういったアドバイスを表示することを 簡単にカスタマイズできることが求められている。 ソース http://www.jprime.jp/tv_net/trouble/14049/ http://www.mhlw.go.jp/kinkyu/150603.html http://d.hatena.ne.jp/Kango/20150601/1433166675 http://www.huffingtonpost.jp/2015/06/03/nenkin-tegami_n_7507768.html http://japan.zdnet.com/article/35065996/ http://www.mhlw.go.jp/stf/shingi/2r98520000031f87.html https://www.ipa.go.jp/files/000043331.pdf 注目ニュース 一覧 ◇ 300ppiの新 Kindle Paperwhite 発売、Wi-Fiモデルが1万4280円から。 http://internet.watch.impress.co.jp/docs/news/20150618_707578.html … 本物の紙の解像度を達成。前モデルは 212ppi。 ◇ 大脳にシリコンダイを埋めて神経を電気で刺激する。 http://pc.watch.impress.co.jp/docs/news/event/20150619_707836.html … 脳に電極を刺すこと(侵襲式)をしなくても、無線機を埋め込んで、精度の高い BMI ができる。 ◇ Gmail に新機能。送信を一定時間待つことが可能に。 http://japan.cnet.com/news/service/35066389/ … すばらしい発明だが、特許にはならないだろう。 ◇ エプソン、業務用ヘッドセットを9月発売。スマートグラス MOVERIO の発展型。 http://japan.cnet.com/news/service/35066369/ … 36万円もする。 ◇ Windows 10はPCとスマホで同じアプリがなぜ動く? UWP の理想と現実。 http://www.itmedia.co.jp/pcuser/articles/1506/24/news051.html … 画面の大きさに応じて配置を自動的に変える機能がどこまで使えるか。 ◇ Windows 10 上で最強のブラウザは。Edge と競合製品を比較。 http://japan.zdnet.com/article/35066327/ … html5test の点数の重みづけの偏りが酷い。 ◇ ニコニコ超会議2015 は4600万円の赤字。初めて5000万円以下に。 http://www.itmedia.co.jp/news/articles/1506/26/news151.html … 規模が大きくなるにつれ、赤字が減少。 ソフトウェアデザイン館 Sage Plaisir 21 ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm