国際信州学院大学をご存じだろうか?
長野県にある大学とのことで、しっかりとしたWebサイトも作られている。最近開校した大学だろうか?
学長の言葉がなかなか素晴らしい。
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
先日、とある判例の話を聞けたので、それを基に検証してみたい。
【インシデント概要】
・不正アクセスによる個人情報流出
-最大1万6798件の個人情報、うち7316件はクレジットカード情報
・流出した情報(赤字個所は特に損害賠償額に大きく響く項目)
-名前
-住所
-電話番後
-メールアドレス
-クレジットカード番号(番号、名義、有効期限、セキュリティコード含む)
-性別
-生年月日
-パスワード
・カード流出に関わる1件当たりの想定損害賠償額:78,000円
⇒7,316件なので、計570,648,000円(約5.7億円)
【流出企業における実際の損害額】
・SQLインジェクションを抱えたポンコツシステムの開発費:約2,100万円
・顧客への謝罪費用(クオカード):約1,900万円
・顧客からの苦情処理費用:約500万円
・調査費用(主にフォレンジック):約400万円
・営業損失:約6,000万円
・その他:約50万円
------------------------------
計約1.1億円
ん~。損害賠償額算出式の方がかなり上振れているな。。。
とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。
裁判になるといろいろと細かいことが明らかになるので、興味深い。
シングルサインオン(SSO)とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組み。
パソコンやスマートフォン、インターネットが普及し、1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになります。
クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。
リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。
Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。
SAML(Security Assertion Markup Language)認証では、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。
ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答(SAML)を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。
たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。
一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。
利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。
一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。
これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。
シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。
シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。
がん保険は、昔は長期入院の伴う長い闘病生活のイメージだったが、今は長期入院せず、通院による治療がメインとなっていることから、入院保障だけではなく、通院保障が重要だという話を元SKE48の矢方 美紀さんが自身の闘病経験を踏まえて話してくれていたのだった。
やばい。今2021年なので、2年も放置してしまっていた。
幸いまだガンにはなっていない模様なので、とっとと入っておこう。
さっそく保険会社に電話して、契約内容見直しの依頼をかけた。
人生40年近く生きてきて、何となく保険との付き合い方が分かってきた気がする。
保険は早く入っておいたほうがいいとか、生涯で払う保険金は同じなのでいつでもいいとか、そもそも入る必要がないとか、いろいろ意見があるが、個人的な今のスタンスは下記である。
ちなみに掛け捨ての医療保険の話ね。
保険は若いうちに入ったほうが良い。高齢になってから入っても生涯で払う保険金は同じだが、若いうちに入ったほうが保険料が安く、精神的な負担額は軽く済む。
保険は入る必要がないという人がいるが、そういう意見もアリだと思う。個人的にはお守り替わりで済む程度の金額にし、万一保険料が支払われない事態になっても「しゃーない」と思える金額(=月額2000円以下)で保険に入った。
また、当然ながら保険会社の選択に際してはネットライフ生命のようなオンライン保険会社にするべきである。
テレビで有名人を起用したCMを放送しているような保険会社は厳禁である。
理由は簡単で、CM代金や有名人のギャラが保険料の跳ね返って非常に割高だからである。
かしこい人はオンラインの保険会社を選択し、情弱者はCM等で知名度の高い(割高な)保険会社を選択するのである。
医療は進歩している。
それに伴い、保険は変わる。
自分が初めて保険に入った際には無かったが、その後出てきたキーワードとして、「先進医療」とか「通院保障」がある。
これらは保険加入時には無かったため、結果として追加の保険料を払って追加する形態となる。
最初の保険加入時は1,800円/月くらいだったが、先進医療特約を付けたり、がん通院保障をつけたり、必要なオプションを追加していった結果、約15年の時を経て2,500円/月となった。
オプションで保険料が上がっていくことを考慮し、最初の保険加入時は必要最小限の保険にしておいたほうが良い。
自分は若い頃にバイクで事故った際、保険が期待した働きをしなかったことから、基本的には保険に対して懐疑的な立場である。
そのため、最初の保険に入る際、どの程度の掛け金にすべきを考えた際に、たどり着いた一つの結論が「保険料控除の枠で十分」である。
つまり、介護医療保険、生命保険、年金保険、共に、それぞれ80,000円/年で十分である。
これ以上は保険料控除の枠から外れるし、保険料を払いすぎていると考えてもよいのではと思っている。
今回の流出により、数百万人のApollo.ioユーザーとその雇用者が、フィッシングやソーシャルエンジニアリング攻撃、ブルートフォース攻撃などの危険にさらされる可能性があります。
人気のハッキング・フォーラムのユーザーが、米国のセールス・エンゲージメントおよびデジタル・マーケティング企業であるApollo社から盗まれた約1,100万件のユーザー記録を含むとされるデータベースを販売しています。
流出したアーカイブに含まれるファイルには、データが盗まれたとされるフランス在住の10,930,000人のユーザーに関する、フルネーム、電話番号、位置座標、職場情報、ソーシャルメディアのプロフィールなど、さまざまな情報が含まれています。
この投稿者は、データがどのようにしてApollo社から流出したのかについて、追加情報を提供していません。また、Apollo社の顧客データベースのうち、フランス国内の部分だけでなく、それ以外の部分も脅威となる人物が保有しているのか、あるいは、以前にApollo社が被った不正アクセスから盗まれたデータなのかは不明です。
Apollo社に、このリークが本物であることを確認できるかどうか、また、ユーザーや顧客に警告を発しているかどうかを尋ねましたが、このレポートを書いている時点では、同社からの回答は得られていません。
自分のオンラインアカウントが他のセキュリティ侵害で公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。
流出したアーカイブから見たサンプルによると、Apollo社がLinkedInのプロフィールから収集した可能性のある、ユーザーの様々な主に職業上の情報が含まれているようです。
流出したデータの一例:
Apollo社は、サンフランシスコを拠点とするソフトウェア企業で、企業がマーケティング目的でコンタクトを取るべき新しい見込み客を識別、分析、発見するためのデジタルプラットフォームを開発しています。
Apollo社自身によると、同社は四半期ごとにセキュリティ監査を実施し、定期的に侵入テストを行い、侵入検知システムをオンラインで運用しているとのことです。そうは言っても、Apollo社がデータを流出させたのは今回が初めてではありません。2018年には、2億人のユーザー記録を含むデータベースが脅威主体に侵入されたことで、同社は批判にさらされました。
Apollo社のデータベースで見つかったデータは、情報が流出したユーザーや雇用者に対して様々な形で使用される可能性があります。
今回流出したアーカイブには、社会保障番号、文書スキャン、クレジットカード情報などの機密情報は含まれていないようですが、電子メールアドレスだけでも、脅威をもたらすには十分な情報となります。
特に決意の固い攻撃者は、流出した情報を他の侵害事件のデータと組み合わせて、潜在的な被害者のより詳細なプロファイルを作成し、被害者やその雇用者に対してフィッシングやソーシャルエンジニアリングの攻撃を仕掛けたり、あるいは個人情報の窃盗を行ったりすることができます。
フランスにお住まいの方で、今回の漏洩事件でご自身のデータが流出した可能性があると思われる方は、以下の点にご注意ください。
フィッシングの可能性のあるメールやテキストメッセージに注意してください。怪しいものをクリックしたり、知らない人に返信したりしないでください。
"私たちの[ビットコイン]ウォレットがクラックされてしまいました。幸いなことに、多額の資金を保管していたわけではありませんが、いずれにしても不愉快な出来事です。状況が明らかになると、管理者は、理論的には、フォーラムのすべてのアカウントが侵害された可能性があると仮定しました(確率は低いですが、それはあります)。私たちのビジネスでは、それは安全に遂行する方が良いです。だから、私たちは全員のコードをリセットすることにしました。これは大したことではありません。単純にメモして、これから使うだけです。"
"フォーラムのデータベースがハッキングされた時に 結局 除去されたというメッセージを得ています 全員のアカウントパスワードは 強制的にリセットされた あなたが知ってる人に この情報を渡して下さい フォーラムはドメインレジストラを通してハッキングされました。レジストラが最初にハッキングされた その後 ドメイン名サーバーが変更されて トラフィックを嗅ぎつけられた"
"フォーラムの管理者がこの全体のセキュリティで許容できる仕事をしなかったことは、今までに明らかであるべきである "攻撃者は説明した。"ほとんどの場合、怠惰や無能のために、彼らはすべてを放棄しました。しかし、私たちにとっての主な驚きは、クッキー、リファラー、最初の登録のIPアドレス、ログイン分析、その他すべてのユーザーデータを保存していたことです。"