2018-05-13

そろそろセキュリティは漏らす前提で考えるべき

相手を信用させる前例なき手口 コインチェック攻撃で明らかに

https://www3.nhk.or.jp/news/html/20180512/k10011436321000.html

読んだ、攻撃手法の巧妙化が進めば人やシステムでは対処しきれなくなる。

1日に100通以上のメールが届く現場かめちゃくちゃ忙しくてセキュリティを気にしている余裕がない現場運用保守ヘルプデスク・開発・設計・構築とあらゆる現場で見てきた。

自信はSI業界人間なのだが秘文が動くシステムでは、件名と宛名を見ただけで問題ないと判断し「.exeファイルだろうとダブルクリックで実行または即解凍する人が多い。

運用IT関係知識に疎い人が関われば正体不明ファイルでも宛先に知ってる会社取引相手名前があれば疑うことなく開く開く。


社内のセキュリティポリシー厳格化されていても課長以上の人が「どうしても取り込めないファイルがあるんだ、なんとかしろ!」と言えばセキュリティポリシー無効化されるし

顧客企業社員が「このファイルが開けないと仕事にならない何とかしろITに詳しいんだろ!」と怒れば特別扱いで従うしかない。


一番驚いたのが開発とテスト時に使われるIDパスワードを本番環境でも使い、当たり前のようにそのまま納品してしま現場に立ち会ったことだ。

そのシステムに関わった下請け技術者数千人が知っているIDパスワードと言えば恐ろしさが伝わるだろうか?

下請けである自分が「変更した方がいいのでは?」と心配になって言っても元請けPMは「お前が考えるような事じゃない」と、何処吹く風。


そんな環境実在する今、巧妙化するサイバー攻撃対処するのはほぼ無理だと思う。

気を付けるにしても気を付ける余裕も時間もないどころか気を付けると客に怒られる現場存在する中では漏らさない前提のセキュリティ対策無意味

漏れる前提でセキュリティ対策を考えた方が良いのではないかと思う。


一番簡単ソーシャルエンジニアリングは、大企業官公庁システム開発に関わるSI企業下請け技術者として潜り込む事だと思う。

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん