健康食品通販サイトでクレカ情報が流出~想定損害賠償額は約2.2億円か~


健康食品通販サイトでクレカ情報が流出 - 不正利用の可能性 

健康食品など扱う通信販売サイト「クラウディアHP」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかになった。

同サイトを運営するクラウディアによれば、ウェブサイトの脆弱性が突かれ、決済アプリケーションが改ざんされたもの。2020年10月8日にクレジットカード会社より情報流出の可能性について指摘があり、問題が判明した。

2019年10月4日から2020年10月8日にかけて、決済に利用された顧客のクレジットカードに関する名義や番号、有効期限、セキュリティコードなど8644件が外部に流出し、不正に利用された可能性がある。

調査は2021年2月28日に完了しており、3月30日に個人情報保護委員会や警察に報告を行った。顧客に対しては、6月14日よりメールや書面を通じて連絡を取り、身に覚えのない請求が行われていないか、確認するよう注意を呼びかける。

プレスリリース

バックアップ

Location: 日本、〒106-0047 東京都港区南麻布5丁目1−2

Kali Linux 2021.2 リリース / Kali Linux 2021.2 Release (転載)


Kali Linux 2021.2 Release (Kaboxer, Kali-Tweaks, Bleeding-Edge & Privileged Ports)

Kali Linux 2021.2 をよろしくお願いします。このリリースには、新しいアイテムと既存の機能の強化が混在しており、既存のKali Linuxをお持ちの方は、すぐにダウンロード(更新ページから)またはアップグレードできます。

2021年2月にリリースされた2021.1以降の変更履歴を簡単にまとめます。

Introducing Kaboxer v1.0 (Again)

以前、Kaboxerについては専用のブログ記事で紹介しましたが、Kaboxerが大好きな理由をもっと詳しく説明しています。開発者にとって、Kaboxerは素晴らしい新しいツールです。ユーザーの皆様には、これまで問題となっていたツールが正常に動作するようになったことに気づくだけで、使用していることに気づかないことを期待しています。

前述の繰り返しになりますが、この技術により、複雑な依存関係やレガシーなプログラムやライブラリ(Python 2や古いSSL/TLSなど)など、これまで困難だったプログラムを正しくパッケージ化できるようになりました。

Kaboxerの発売に伴い、Kaboxerを使用した3つのパッケージをリリースしました。

もっと詳しく知りたい方は、それを取り上げたブログ記事か、ドキュメントをご覧ください。

Kaboxerはまだ初期段階にありますので、どうかご容赦ください。

Releasing Kali-Tweaks v1.0

Kali-Tweaks を発表します! Kali-Tweaks は、Kali ユーザーのためのちょっとした助け舟です。これは、Kali を自分の好みに合わせて、素早く、簡単に、そして正しい方法でカスタマイズするのを助けるというアイデアです。これにより、繰り返しの作業をしなくて済むようになるはずです。


現在、Kali-Tweaks は以下のことを支援します。

  • Metapackages - インストーライメージを使用しなかった場合、Kali のインストール時に利用できなかった可能性のあるツール群のインストール/削除。
  • ネットワークリポジトリ - 「ブリーディングエッジ」および「エクスペリメンタル」ブランチを有効/無効にする
  • シェルとプロンプト - プロンプトを 2 行または 1 行に切り替えたり、プロンプトの前の追加行を有効/無効にしたり、Bash または ZSH をデフォルトのシェルとして設定したりします。
  • 仮想化 - ゲスト VM として Kali をお使いですか?いくつかのアクションを行うことで、より簡単に体験することができます。
私たちの哲学は、実行する前に、実行する内容を常に理解することです。そうすることで、望ましくない不意打ちを食らう可能性を減らすことができるからです。そのため、自動化する前に手動でアクションを行うことを常に推奨しています。一方で、覚えなければならないことが非常に多いことも理解しています。さらに、長期的な影響を及ぼし、結果的に Kali を壊してしまうような、人々の悪い習慣を加えれば、改善の余地があります。そこで、私たちは Kali-Tweaks の開発を始めました。可能な限り、Kali-Tweaks は、ユーザーの教育に役立つように、実行されているコマンドを表示します。

いくつか言及しておきたいことがあります。

kali-tweaks は、「必須」ではなく「推奨」とされました。そのため、Kali をアップグレードする際には含まれていないかもしれません。その一方で、kali-tweaks を削除しても、他のものを削除する必要はありません。
アップグレードの話題ですが、Kali のインストールの古さによっては、「configure prompt」セクションを使う前に、シェルリソース (例: .bashrc.zshrc) をリセットする必要があるかもしれません。これは、必要な変数が含まれていないためです。万が一、バックアップ、リセット、リストアを必ず行うこと
最後の注意点として、デフォルトのログインシェルを変更する場合は、ログアウトしてから再度ログイン(グラフィカルコンソールまたはリモートコンソール)しないと効果がありません。

Labels: ,

日之出出版の通販サイト2サイトが不正アクセス被害 - 指摘は約1年前(転載)~想定損害賠償額は1.5億円程度か~



「日之出出版公式ストア」もEC-CUBE

日之出出版の通販サイト2サイトが不正アクセス被害 - 指摘は約1年前

日之出出版が運営する通信販売サイト2サイトが不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

雑誌「Safari」の公式通販サイト「Safari Lounge」では、システム上に脆弱性があり、2020年1月9日から2020年5月29日までに同サイトで入力されたクレジットカード情報4544件が流出し、不正に利用された可能性がある。

さらに同社が運営する「日之出出版公式ストア」においても不正アクセスが判明した。2020年4月22日から同年6月4日までに利用されたクレジットカード情報1403件を対象としており、いずれもクレジットカードの名義、番号、有効期限、セキュリティコードを窃取されたおそれがある

同社通信販売サイトよりクレジットカード情報が流出した可能性については、クレジットカード会社より決済代行会社を通じて、2020年5月27日に指摘を受けたという。調査は同年7月17日に完了。対象となる範囲については、クレジットカードの不正利用による被害の発生状況とフォレンジック調査結果を踏まえて判断したという。

今回の問題を受けて、同社では2020年12月18日に個人情報保護委員会と警察へ報告。対象となる顧客に対しては、2021年6月10日よりメールで経緯の説明と謝罪を行い、身に覚えのない請求が行われていないか注意喚起を行うとしている。

Labels: ,
Location: 日本、〒104-0032 東京都中央区八丁堀4丁目

ミスがある前提でのデータ漏えい対策 / Let's Stop Blaming Employees for Our Data Breaches(転載)~セキュリティはコミュニケーション!?従業員に対しては性善説”風”で!!~

ミスがある前提でのデータ漏えい対策 

Let's Stop Blaming Employees for Our Data Breaches

信頼していたネットワークからデータが流出した場合、悪意があると考えるのが一般的かもしれません。従業員がデータを盗んだというニュースの見出しを見て、その結果、データ漏洩は一般的に悪意のあるものだという結論に達するように自分を仕向けているのです。しかし、信頼している従業員がネットワークからデータを流出させた場合には、もう少し詳しく調べてみる必要があります。特に、データ流出のケースは、従業員のミスや怠慢が原因であることが多いからです。

貴社の従業員の大半は、善意の勤勉な人々であり、決してサイバーセキュリティの問題を起こそうとは思っていません。実際、2020年には、データ漏えい全体の17%がヒューマンエラーによって引き起こされ、2019年の2倍になっています。

新入社員は、個人情報をより簡単に利用できるようにするために、個人用のiCloudドライブを仕事用のデバイスに追加しますが、会社のデータが自動的にiCloudアカウントにアップロードされてしまう初期設定があることに気づきません。また、パンデミック時にリモートで仕事をしているメンバーが、仕事用のコンピュータが起動していないときに、個人のラップトップからファイルにアクセスしてしまうこともあります。いずれにしても、従業員は問題を起こすつもりはありませんでした。セキュリティチームが従業員に悪意があると判断しても、将来のデータ損失を防ぐことはできません。

実際、従業員が知的財産や企業秘密を盗もうとしていると考えると、セキュリティチームと従業員が対立し、セキュリティに関する不必要なストレスを抱えることになりかねません。私たちは、従業員が仕事を終わらせようとしていること、そして彼らの行動が肯定的な意図を持ったものであることを推測することから始める、より良いアプローチを必要としています。

積極的なセキュリティ文化の構築は、従業員の入社初日から始まります。たとえ5分でもいいので、入社時のプロセスにセキュリティの話を盛り込みましょう。その時間を利用して、セキュリティチームは従業員を狙っているわけではなく、会社の資産を守るためには従業員の協力が必要であるというトーンを設定します。また、従業員がセキュリティチームとどのように協力していけばよいのか、その基礎を築いておく必要があります。支援が必要なとき、質問があるとき、問題や懸念を報告する必要があるとき、どこに行けばいいのか?

また、従業員を敵ではなくセキュリティ・ヒーローとして位置づけるために、定期的に効果的なサイバーセキュリティ・トレーニングを行うことも重要です。悪意のあるデータ窃盗だけに焦点を当てるのではなく、意図せずにデータが流出してしまう一般的な方法についてチームを教育することで、意識を高め、将来的に発生しないようにします。

どんなトレーニングにも言えることですが、トレーニングを定着させることも大切です。そのためにはどうすればいいのでしょうか?トレーニング自体を魅力的なものにすることです。形式を変えて、可能な限りインタラクティブにしましょう。フィッシング・トレーニングは、テストメールをクリックしない、報告しないというスコアを上げるためのセキュリティ上の課題であるとアピールし、なぜフィッシング・トレーニングを提供するのかを明確にします。私たちは通常、新入社員にフィッシング・テストを行うことを予告しています。これはトリックではなく、疑わしいメールを認識し報告することを学ぶためです。実践する機会のないものを得意とすることは期待できません。

透明性は、どちらの方向にも有効です。Code42では、ファイルを移動したり共有したりする業務上または個人的な理由がある場合、従業員に警告するよう求めています。例えば、最近退職する社員が、仕事用ドライブに保存していた個人的な写真を個人用ドライブに移す予定であるとセキュリティチームに通知してきました。このような積極的な行動は、調査時間を短縮し、セキュリティチームが暗号化されたドライブなど、より安全な転送方法を提案することができるため、有用です。

従業員が悪意を持ってデータを流出させる可能性はまだあります。しかし、どのようなデータ漏洩も、その背後にいる人物が善意であることを前提にして対処するのが最善です。セキュリティ上のミスやエラーについて従業員に連絡する際に、どのような言葉や表現を使うかによって、あなたが助けを求めていることを示し、従業員が安心してあなたのチームと一緒に働きたいと思うようにすることができます。

例えば、不審なファイル転送に気づいた場合、従業員に「個人のメールアカウントにファイルが転送されていることに気づきました。あなたが個人の電子メールアカウントにファイルを転送したという通知を受けたので、あなたのコンピュータをロックしています」ではなく、「あなたはこれを知っているかどうか確認できますか?また、必要なセキュリティトレーニングを完了していない人がいる場合は、次のように言うことができます。"私たちの記録によると、あなたのセキュリティトレーニングは期限切れになっていますが、確認していただけますか?" 多くの場合、従業員からはトレーニングの場所を尋ねる返事が返ってくるので、過失ではなく教育やコミュニケーションの問題であることがわかります。

セキュリティ問題は、社員にとってもセキュリティチームにとっても大きなストレスとなります。ほとんどの従業員が善意であることを強調するために、セキュリティに関する物語を書き換え、強化する必要があります。そうすることで、チームが従業員を信頼できるセキュリティ・パートナーとして見ていることが従業員に伝わり、企業はより効率的で積極的なセキュリティ・アプローチが可能になります。

Labels: ,

ユピテル、会員情報40万件流出 不正アクセスから3年以上経ち、脅迫され公表(転載)~想定損害賠償額は48億円程度か~

ユピテル、会員情報40万件流出 不正アクセスから3年以上経ち、脅迫され公表
 

株式会社ユピテルは2021年6月8日、同社が提供する会員サービス「My Yupiteru」が外部からの不正アクセスを受け、氏名や住所、電話番号などの会員データ40万5,576件が流出したと明らかにしました。

発表によると、同社は2017年10月31日に外部からの不正アクセスを確認しており、この時点で会員データが流出していたとのこと。当時は不正アクセスの発生は事実であるものの情報流出はないものと判断しており、公表を控えていました。

ところが2021年5月25日になり、同社に匿名の脅迫メールが届きます。脅迫者は同社から2017年に会員情報を盗み取ったと告げる一方で、同社に金銭の支払いを要求したとのこと。このため、同社は関係当局に報告のうえで、流出の事実の公表に踏み切りました。

株式会社ユピテルによると、不正アクセスの影響で2017年10月以前に「My Yupiteru(ity.クラブ、ATLASCLUB、を含む)」に登録したユーザーの会員情報40万5,576件に流出の危険性が生じています。

流出した情報は氏名や住所、電話番号およびメールアドレスなどの情報で、クレジットカード情報は含まれていないとのこと。ただし、連絡先が流出していることから、今後被害者には不審な電話やダイレクトメールが生じる可能性があるとしています。

なお、同社によると不正アクセスの原因自体は2017年以降に対策を進めているとのことです。

My Yupiteru会員様情報の一部流出のお詫びとお知らせ

バックアップ

Labels: ,
Location: 日本、〒108-0023 東京都港区芝浦4丁目12−33

SOCMINTとは?(転載)


警察が今話題のSOCMINTってやつに興味を示していることはよくわかった。 en.wikipedia.org/wiki/Social_me…: 警察が今話題のSOCMINTってやつに興味を示していることはよくわかった。
en.wikipedia.org/wiki/Social_me…

ソーシャルメディア・インテリジェンス(SMIまたはSOCMINT)とは、組織がユーザーのニーズに基づいて、会話を分析し、ソーシャルシグナルに反応し、ソーシャルデータポイントを意味のあるトレンドや分析に合成するためのツールやソリューションの集合体を指します。ソーシャルメディア・インテリジェンスでは、ソーシャルメディアサイトからの情報収集を、侵入または非侵入の両方の手段を用いて、オープンまたはクローズドのソーシャルネットワークから利用することができます。この種の情報収集は、OSINT(Open-Source Intelligence)の一要素です。

この言葉は、2012年にデビッド・オマンズ卿、ジェイミー・バートレット、カール・ミラーが、ロンドンのシンクタンクDemosのCentre for the Analysis of Social Mediaに寄稿した論文で生まれました。

この論文では、ソーシャルメディアが諜報活動や安全保障活動において重要な役割を果たしているが、ソーシャルメディアが強力な新しい諜報活動とみなされるためには、技術的、分析的、規制的な変化が必要であり、そのためには2000年英国調査権規制法の改正が必要であるとしています。

ソーシャルメディアとソーシャルメディア・モニタリングがダイナミックに進化していることを考えると、ソーシャルメディア・モニタリングが組織のビジネス価値創造にどのように役立つかについての現在の理解は不十分です。そのため、組織が(a)事業に関連するソーシャルメディアデータを抽出・分析する方法(Sensing)と、(b)ソーシャルメディアモニタリングから得られた外部情報を特定のビジネスイニシアチブに活用する方法(Seizing)を研究する必要があります。

調査によると、Twitter、Facebook(一般的なソーシャルネットワーキングサイト)、YouTube(最大の動画共有・ホスティングサイト)、ブログ、ディスカッションフォーラムなど、インターネット上の様々なソーシャルメディアプラットフォームが、過激派グループによって、自分たちの信念やイデオロギーを広めたり、過激化を促進したり、メンバーを募集したり、共通のアジェンダを持つオンライン仮想コミュニティを作るために悪用されていることがわかっています。また、Twitterなどの人気マイクロブログサイトは、内乱関連イベントの計画・動員時に、情報共有やコミュニケーションのためのリアルタイムプラットフォームとして利用されています。

広義には,ソーシャルメディアとは,コミュニティの間でコンテンツを生成し,広め,コミュニケーションを行う会話型の分散型モードを指します。放送を中心とした伝統的なメディアや産業メディアとは異なり、ソーシャルメディアは著者と読者の間の境界を取り払い、情報の消費と普及のプロセスは、情報の生成と共有のプロセスと本質的に絡み合ってきています。
Labels: ,

1R区分のレジェンドが指南する1Rマンションの見極め方(転載)


 区分の生き字引「芦沢晃」と街散歩、1Rマンションの見極め方

不動産向け融資が厳しい中、比較的低価格で購入できる中古ワンルームマンションの購入を検討する人もいるのではないでしょうか? しかし、安易に購入してしまうと、修繕費など思わぬ費用が発生してしまう恐れもあります。

そこで今回は、有名投資家が街歩きをしながら、外観から分かる物件のチェックポイントを紹介。解説してくれたのは、中古ワンルームマンション59室を保有し、年間家賃収入は3600万円にも上るというベテラン大家の芦沢晃さんです。

この記事では、すでに公開中の以下の動画の中から、物件チェックに役立つポイントをピックアップしてご紹介していきます。


今回芦沢さんが訪れたのは、東京都のJR立川駅周辺。立川駅はJR中央線の乗降客数が東京と新宿に次いで3位で、西東京の代表駅です。そんな立川駅から徒歩10分程度、賃貸物件が立ち並ぶエリアを歩いていると、さっそく芦沢さんが動き出しました。

芦沢さんが確認したのは、「ゴミ収集場」。「ゴミ収集場の管理状態から、入居者のモラルが分かる」と話し、ゴミが散乱していないか、ゴミ出しのルールは守れているかなどを確認していきます。

「あまりにもゴミが散乱している物件は、購入後に入居者クレームなどのトラブルが起こる可能性もあるため、できるだけ購入しないようにしています」(芦沢さん)


次に芦沢さんがチェックしたのは、建物外構によくある植栽です。雑草が生えたままになっていないか、樹木の手入れは施されているかを見ていたようです。

植栽を綺麗に保つためには、専門業者に手入れを依頼する必要があり、当然費用が発生します。この費用は管理組合の修繕積立金から出しますが、「マンションの修繕積立金が枯渇しているような場合には、入居者の生活に大きな影響は与えない、植栽の手入れなどは後回しにされがちです」と芦沢さん。

つまり、植栽がきちんと手入れされているということは、修繕積立金が不足している状況ではないと推測ができるのだそうです。

潤沢な管理費・修繕積立金がないと、突発的な修繕が発生した際、余計な費用が発生する恐れもあるため注意が必要だと言います。


そのまま街歩きを続けると、エントランスの窓ガラスが破損しているマンションがありました。これを見た芦沢さんは、「共用部にある窓ガラスが割れたり、自動ドアが故障したりしている場合には、管理組合の保険を適用して直すか、修繕積立金で修繕するんです」と解説。

そのため、「物件の購入をする際には、管理組合が加入している保険の内容にじっくりと目を通してほしいですね」と芦沢さんは語ります。

「物件を紹介してもらった仲介会社に相談すれば、その物件の保険証書や、修繕積立金の積み立て状況などの詳細資料を持っていることがあります」と芦沢さん。物件を購入する前に管理会社に相談し、どのような保険に加入しているのか、修繕積立金はいくら貯まっているのかなど、詳細資料を確認しておくようにしましょう。


投資歴26年という芦沢さん。これまで多くの区分マンションを見てきた経験をもとに、購入する区分マンションを選ぶ上での注意点についても話してもらいました。

まず芦沢さんは「収支をきちんと確認することが重要です」と言います。

例えば、築年数が浅いマンションは、立地が良く見た目がきれいなことも多いため、初心者が購入しがちだと指摘。こうしたマンションは、購入当初は家賃が周辺相場よりも高く得られることが多いです。

ただし、築年数が経過すれば徐々に家賃が下がり、修繕積立金が徐々に上がっていく傾向にあります。購入金額や諸費用以外に、将来発生する恐れのある修繕費用もシミュレーションに盛り込んだ上で、購入前の段階で収支を確認する必要があると芦沢さんは言います。

また、「周辺の競合物件の調査を怠らないようにしてほしい」と呼びかけます。その際、注意したいのは競合物件の選定。「中古ワンルームマンションの競合は、周辺の古い木造戸建てやコインパーキングなども含まれるので、中古マンションだけの調査では不十分」なのだそうです。

相続などをきっかけに、木造戸建てやコインパーキングが賃貸アパートになるなど、いつの間にか競合物件が誕生することもあると話します。

一方、案外見落としがちなポイントですが、災害リスクは十分に調べておく必要があるという芦沢さん。例えば、今回見た立川エリアには『立川断層』という活断層があります。

こうした活断層のあるエリアにある物件を買った場合、地震が起きた際に大きな影響が出る可能性も考えられます。そのため、「活断層があるエリアで物件を購入する際は、管理組合が加入している保険証書を確認して、地震保険に加入しているのかといったチェックも重要でしょう」と話しました。


不動産投資にはさまざまなリスクがあるため、エリアや時期など「広く分散する必要がある」と芦沢さん。

不動産投資をする上では、震災リスクや競合が乱立することによるリスクなど、長期スパンでさまざま検討しなくてはなりません。そのため、「場所(購入エリア)や時期(購入タイミング)などを分散することで、リスクを減らしていくことはできます」と指摘します。

また、芦沢さんはこれから不動産投資を始めようとする人に向けて、「建物全体の将来の修繕はどうなるか、修繕積立金で修理できるか、管理組合に修繕積立金はあるかなど、多くのことを見極めた上で、投資判断をしていただければと思います」とアドバイスを送りました。

Labels: ,

欺術~気になるワード集~


2003年に初版発行の本だが、書かれている内容は2021年でも通用するものも多く、テクノロジーが進化しても「人」の部分はあまり変わらないのだなと気付かされる。

移行、読んでいて気になった部分を記載してみる。

第1部 騙しの楽屋裏

第1章 セキュリティのウィーケストリンク

  • アルバート・アインシュタインはこう言った「無限なものは二つしかない。それは宇宙と人間の愚かさだ。ただし、宇宙はもしかして有限かもしれないが。」 

  • セキュリティは製品ではない。それはプロセスである 

  •  セキュリティは技術の問題ではない。それは、人間とマネージメントの問題である。

第2部 犯行の手口

第2章 無価値な情報の価値

  • 社員番号のような、簡単に外部に知られてしまう情報を、認証のための情報として使ってはならない。社員は情報を請求するとき、本人性を証明するだけでなく、情報を必要とする正当な理由を報告しなければならない。  

  •  外部者から質問を受けたり、情報を求められたときには、とりあえず丁寧に断ること。そして、要求の正当性と合法性が確認できたときに、あらためて、情報を提供するようにすること。 

 第3章 直接攻撃:ただ「それをくれ」と言うだけ

  • セキュリティ教育訓練には、次の点を盛り込まなければならない。電話をしてきた人間や訪ねてきた人間が、会社の人間の名前や、会社内の専門用語や、業務の手順などを知っていたからといって、その人間が自称する本物の当人であるとは限らない。 

  • セキュリティ教育の極意は、疑え!そして、一に確認、二に確認、三に確認、四にも五にも確認だ! 

第6章 「助けてください。」

  • キャンディ・セキュリティ(Candy Security):外側はファイアウォールなどで堅固に守っているが、その内部のシステム基盤が脆弱なネットワークのこと。このキャンディは、M&Mのチョコレートキャンディを指し、そのこころは、「外側が硬くて中が柔らかい」 

  •  スピークイージー・セキュリティ(Speakeasy Security):情報がどこにあるかという知識は一応秘密にされているが、その知識が分かればだれにでもアクセスできてしまうセキュリティ。コンピューターシステム上のある情報に、簡単な言葉や名前を使ってアクセスできる状態。 

  • 何かを求めてきた人物の本人性を確認するための、一つの良い方法は、その人物の電話番号に電話をしてみることだ。電話の主が犯人なら、この確認電話には本物の本人が出るだろう。

  •  会社の業務手順や専門用語を知っていることは、本物の社員であることの証拠にはならない。どんなに本物らしく聞こえても、必ず正式な確認検査が必要である。

第3部 侵入者への警戒

第10章 建物への侵入

  • ごみに対して意識的になる

機密情報を機密性の程度に基づいて分類する

機密情報を捨てる場合の捨て方を全社的に規則化する 

 機密情報はすべて、シュレッダーにかけてから捨てることを義務化する。

シュレッダーに掛からないような小さな用紙の使用は禁止する。

外部記憶媒体(光学メディア、テープ、HDD)を捨てる際は、データを完全に消すか、使用不可能な状態にしてから捨てるべき

コンピュータ上でファイルを”削除”しても、データは消えないことに注意する。 

 会社の清掃をする人々に対しては、身元調査をすべきである。 

  •  辞める社員への対策

機密情報へのアクセス権を持っている社員が辞めるときに、情報部門~セキュリティ部門がとるべき手順手続きを、細かく具体的に定めておくこと。

退社した人物が物理的に会社の建物を去る前に、その人物のコンピュータへのアクセス権を停止すること(悪用の防止) 

辞めた社員と同じワークグループに所属する社員は全員、パスワードを変えるべきである(とくにその人物がクビになった場合)

第4部 守りを固める

第15章 セキュリティの自覚と教育訓練

ソーシャルエンジニアたちが利用する”人間性の六つの弱さ”

  • 権威に弱い 

人間には地位や権力などの権威を持っているものからの要求に従う傾向がある。ソーシャルエンジニアは、会社のIT部門の者、重役、あるいは重役の下で仕事をしている者である、などと名乗って、社員をだまそうとする 

  •  好き嫌いに弱い

 人間は、感じの良い人物からの要求や、関心や信念や態度などが自分と同じ人物からの要求に従う傾向がある。ソーシャルエンジニアは、会話を通じて、被害者の趣味や関心対象を聞き出し、自分もそれと同じ趣味や対象に熱中している、とホラを吹く。

  •  お礼に弱い 

 人間は”お礼に何々するから/あげるから”というタイプの要求に、自動的に従う傾向がある。社員はIT部門の者だと名乗ろソーシャルエンジニアからの電話をもらう。ソーシャルエンジニアは、会社のコンピューターの一部がウイルス対策ソフトで認識できない新しいウイルスに感染した、と告げ、その対策を社員に親切に教えた。それに続いてソーシャルエンジニアは、ユーザーがパスワードを変更するためのプログラムを最近アップグレードしたので、ちょっと試してみてほしいと社員に頼む。その社員は、ウイルス対策を今教えてもらったばかりの人物からの頼みをなかなか断れない。社員は、ソーシャルエンジニアの頼みを聞き入れることによって、お礼をした。

  •  約束に弱い

人間は、ひとつのものごとに自分が積極的にかかわったり、肯定的な意思表示をした場合に、そのものごとに関連するその後の要求をなかなか断れない傾向がある。 

  • 横並び社会に弱い

人間は、その要求を聞き入れたら自分もほかの人たちと同じになる、横並びになる、と感じた要求には従う傾向がある

  • 希少性に弱い 

 人間は、供給量が少ないものを入手したいがために競争する。また、賞品が、一定の短期間しか入手できないものだと、検証に熱心に応募しがちだ。

Labels:
登録: 投稿 (Atom)