  |
はてなキーワード: パスワードとは
高校生の頃から地道にやってきて、今では何回か週刊誌のグラビアにも載せて頂いたりと、ようやく軌道に乗ってきた感じだ。
そのお店は高校生の頃から何度か利用したことがあって馴染みも深いお店だったので快諾した。
ゆくゆくは観光大使とかに選ばれたら嬉しいなあなんて思いながら…。未来はまだまだ明るい。
そして、一日店長をすることになった当日…
朝4時。まだ寝ているのにスマホが鳴り出す。見知らぬ番号からの着信だった。
「あっ、店長ですか?〇〇ですけど…。ちょっと熱が出ちゃったみたいで…今日の早番休みます…よろしくお願いします…」
どうやら電話の主は今日店長をやるお店のスタッフのようだった。
熱、絶対嘘でしょ。オールしてる上に飲みすぎて二日酔い確実だから休みたいんでしょ…
と思いつつ「わかりました、お大事にしてください…」としか言えなかった。
続けてスタッフ君はこう続けた。
「あっ、早番自分しかいないので、お店の鍵は、お店のポストの中に隠してあります。ホントすいません!よろしくお願いします!」
今はまだ夜明け前ということもありマネージャーも寝ているであろう。
8時になったら連絡してみることにした。
1日とはいえ、私が店長だ。10時の開店を、そして私の一日店長を楽しみにしているお客様を裏切るわけにはいかない。
気がついたらお店のポストに隠してあった鍵を手にし、シャッターをガラガラっと開けて
空調の効いていないムワァとした店内に入っている私がいた。
壁には「明るく楽しく元気よく!気持ちの良いスタッフ!お客様第一!笑顔、ヨシ!姿勢、ヨシ!態度、ヨシ!」と手書きで書かれた謎のポスターと、
修正されまくってもはや何が何だかわからなくなっているシフト表。
まずは空調をつける。
そして、有線をかける。A30。
デスクトップに思いっきりフセンでIDやパスワードが書かれているのは大丈夫なのだろうか。
Outlookのメールフォルダに、本社からの何とも言えないメールたちがごっそり溜まっていた。
一日でこんなに来るの?なんで、「了解しました」を全員に返信でしてる人がいるの?
本社が考えてくれた、私の一日店長にともなう今日の施策は「2,000円分お買い上げで店長と握手&飴プレゼント」
やる気あるのか?と疑いたくなった。
そして今日のためのポップのデータもきていたが、メール受信がついさっきだったので、もちろん用意は出来ていない。
パウチのでかい機械をつけて、店内をとりあえずワイパーで清掃。
パウチが温まったら、私の顔写真がついて創英角ポップ体かつレインボーの字で私の名前が書かれたポップを印刷し、パウチする。
自分でやるのは、地味につらい。
そしてポップを店頭に貼り付けたらもう9時半を超えていた。
ああ、もう時間がない。
そういえばお金とかどうすればいいんだろう?
バックヤードになぜか何個もある鳩サブレのカンカンをあけて発見したレジの鍵を取り出し、レジを起動させた。
不幸中の幸い(と言っていいのかわからないけれど)か、このお店は過疎地にあるため暇だった。
正午過ぎには遅番のスタッフも来てくれて、手馴れた様子でお店をまわしてくれた。
しかし暇で暇で、ギフト用の紙BOXの組み立てや、ポリ袋をちぎってすぐ入れられるようにする作業をしていた。
たまにお客様の波はあったものの私のファンはほとんど来ず、施策である私との握手&飴プレゼントは0人であった。
そんなこんなであっという間に閉店時間になった。
スマホでLINEを開いたら、なぜか「〇〇店☆業務連絡用」というグループLINEに入ってて
その中ではスタッフたちによるシフト変更(翌日分も含む)がたくさん来ていた。
目も当てられない。
円の違算が出てしまっていることも発覚した。
もう何もかも辞めたくなってしまった。
二度と一日店長はしたくない。
| 2008年9月 | 豪華客船を模した外観の琵琶湖クルージングモール「ピエリ守山」オープン。イメージキャラクターは、げんごろうぶなの「ゲンゴ」、あゆの「アユ」、びわこ大ナマズの海賊船船長「ナズマ船長」、ほとけどじょうの「ジョー」、ピエリ号の船長「キャプテンP」、びわよしのぼりの「ヨッシー」、けいそうの「ケイ」、わたかの「ワカ」、あかざの「アカザブロー」からなる「ピエリ・オールスターズ」で、オープニングセレモニーに実際に登場したのは「ゲンゴ」「アユ」「ナズマ船長」。 |
| 2010年3月 | 「ナズマ船長@ピエリ守山」ツイッター開始。語尾は「ゾ」。 |
| 2013年 | ピエリ守山、徐々に廃墟化。イメージキャラも登場しなくなる。 |
| 2013年8月 | ナズマ船長のツイッター休止。 |
| 2014年2月 | ピエリ守山、営業休止。 |
| 2014年3月 | ナズマ船長のツイッター、パスワードがpierimoriyamaと単純だったため、勝手に高校生が乗っ取ってつぶやきだす。 |
| 2014年10月 | ハチャメチャな「アユ@脱・廃キャラ活動中」と、でRが口癖の「ナズマ@ワシがホンモノ」がツイッター開始。 |
| 2014年10月 | 旧・ナズマ船長のツイッター、なりすましだったと明かす。 |
| 2014年12月 | Nスタが「ゲンゴ」「アユ」「ナズマ船長」の復活を報じるも、「ゲンゴ」はピエリから逃げる。 |
| 2014年12月 | きれいな衣装になった「アユちゃん」と、ちょい悪ファッションの「ナズマ船長」あらため「ナズマ館長」お披露目。 |
| 2014年12月 | ピエリ守山、復活リニューアルオープン。 |
| 2015年1月 | ゲスい人事課の「城門司 公望」ツイッター開始。アユちゃんとのやりとりが人気に。 |
| 2015年2月 | マツコ・デラックスそっくりな「バスコ」、ひそかにツイッター開始。ウ○コとつぶやくなど下品な一方、人生相談にも乗る。 |
| 2015年2月 | 「バスコ」お披露目。 |
| 2015年11月 | マツコ&有吉の怒り新党で、マツコにバスコの存在がバレる。 |
| 2015年11月 | 「城門司 公望」「バスコ」がピエリから逃げる。 |
| 2019年7月 | ピエリ守山のウェブサイトで「ナズマ館長」「アユちゃん」の館内巡回を2019年7月を以て休止することを発表。 |
サーバログイン用の共通パスワードはpasswordに毛が生えたようなもので
共通パスワードに変更せずにデフォルトパスワードをエクセルで管理してるし
そのエクセルファイルはv1からv20ぐらいまでoldフォルダに入っていて最新版にはv21_最新.xlsxとかになってるし
予算管理システムに投入した画面のスクリーンショットを所定の共有フォルダにPDFで保存する決まりになっているし
それがちゃんと格納されているかどうかを四半期毎にチェックする必要があって
予算管理システムから吐き出したcsvファイルをエクセルマクロで読み込んで
それをPDFで保存して所定の共有フォルダにPDFで保存する決まりになっていて
流石にこの現状をどうにかしようと予算管理システムを刷新したんだけど
刷新を指揮していた人が異動して引き継いだ人は意味を分かっていなかったらしく
予算管理システムがデータをちゃんと検索できるようになったのに
新システムのどの画面のスクリーンショットを残すべきか議論して
やっぱり四半期毎のチェックは必要だったりして
はじめまして。普段はそこらへんにいる何の変哲も無いオタクをしています。
今回、Twitterで見かけたお気持ちnoteについて書きます。
この投稿では、自分という一個人のオタクが、何を考え、どう思い、この投稿をしたのか、順を追って記していきます。
匿名ですので、ご本人には届かないでしょうし、相手にもしてくださらない御様子ですので、まあスッキリしないし、某さん的に言えば私で怒ってるので、したためます。書ききれるのか?わからん……
(ここまで真似したけど、長くなるのでやめます)
自分も第何章とかにすればいいかなって思ったけど、そこまでやってらんねえからなるべく読みやすく、なぜ、怒っているのか()なるべくわかりやすく簡潔に上品に、まとめます。
自分は消費するだけの界隈の人間で、こういう言い方はあまり好きではないけど、わかりやすくいうなら.5俳優が好きです。今回の騒動でちょっと巻き込まれてるのでは…?という方の人です。カツラの髪の短い方です。色々と長言い方でやると面倒なので「推し」と言います。
今回の騒動、最初は燃えてるなあ〜〜あ、この人ルールとかそういうのわかってないんだなあ 見るとダメだから距離置こう で遠巻きに見てました。
ただちょっとイラっとしたのでちょろっとツイートはして、そっからは忘れました。
そして、今回のお気持ちnote。最初の「怒ってるんです!」でもう的外れで読むのやめようって思ったけど、頑張ってみました。通勤長いし。でも、クソ長くて途中から流し読みでした。ごめんなさい。ちゃんと読んでない人間が文句言うのは、こんなこと書くのはまた琴線に触れてしまうかもしれないです。なにせ匿名だし。身分証を出さずに匿名でネットで書いて、卑怯なんですから。まあでも一生懸命検索しないと引っかからないし、某さんが必ず読む訳じゃないから、いいですよね。だって本人もそういってたし。何かしら引っかかるワードを入れて、必死に探さないと、気になる内容じゃないとみないんですもんね。
それは置いといて、
なぜ自分がこれを書いたかというとお気持ちnoteのなかで「演者が腐に寄せた発言をしてたり、距離感の近い写真をあげていた。それを受けての発言なのになぜ私だけ叩かれなければならないのでしょう?」というようなことが記載されていたからです。
気が抜けてる時に読んでいたら普通に声に出して「はあ?」といってしまっていたと思うほどに何をおっしゃっているのか一ミクロンほども理解ができませんでした。
その発言を見て、「叩かれた発端はご自分にあるのに、演者に責任転嫁するのか」ととても憤りました。
眩暈〜〜〜
片方ずつのイヤリングも、東西で別れた時のエスコートも「そういう演出で、そういう商売」です。たしかにワァ〜〜!?って思った。写真も嬉しかった。でも「ただエスコートした」だけであって、そういう意味じゃない。イヤリングも。友達とお揃いとか色違いのピアスやイヤリング、キーホルダーを買って付けるのと一緒じゃないんですかね。仲の良い友人との写真って距離感近くなりませんか?ツーショット写真撮りませんか?自分はやりますよ。フィルター何枚かかればそういう思考になるんですか?理解できない。
何遍も匿名で「役者さんの立場を考えてください」と言われたと記載がありました。もっと考えてください、思考止めないで、もっと、考えて。
彼らは役者ですよ。役を演じることが「商売」なんですよ。わかってますか?
燃えなければ、ここまでの騒ぎにならなければきっとスルーされてた事案でしょう。でも燃えてしまった。もしかしたらどこかの関係者の方の目にも入ってしまったかもしれない。「瑣末なこと」と受け止められるかもしれない。でもそうじゃなかったら?
「あの役者のファン(ではないんだろうけど)は厄介だしな…」というお偉いさんがいるかもしれない。仕事がなくなるきっかけになっていたとしたら?
ナマモノを扱うということは、そういうことですよ。だからきちんと考えなければいけないのです。「誰の話をしているか」を見定めなくてはいけないんですよ。
これからも作品は続いていくし、人口も増えれば多様性が生まれる。人の考えは一つではないから「ルール」があるのですよ。
それを分からない人は来るな出てけどとは言わない。理解して、一つの作品を、役者の未来をダメにするかもしれないってどこかで思っててほしい。まあ守れない、理解のない人はくたばって欲しいですけどね。
ちなみに夢小説について言及してらっしゃったので、いろんな界隈のオタクを長いことしてきた身から言えば、簡単なものから本当にきちんと調べないと分からないものまであるけど、みんなきちんとパスワードかけてるますよ。これが鍵垢と同じような取扱いになるんじゃないですかねえ。
こんだけ燃えてしまったんだから、もうお気持ちnoteを書かれた方がわぁっとなったら写真やら演出は無くなるかもしれませんね。ドンマイ!
早速ダウンロードしようとするも「Android5.0以上が必要です」
ま、まぁちょうどスマホを切り替えようかなと思ってたし最大25%還元やポイントでもある程度回収できるし。
アプリをダウンロードすると「dアカウントにクレジットカードを登録して下さい」
登録を試みるが3Dセキュア非対応カードでクレカ会社でパスワード貰ったこいと。
| 時間 | 記事数 | 文字数 | 文字数平均 | 文字数中央値 |
|---|---|---|---|---|
| 00 | 94 | 9388 | 99.9 | 42 |
| 01 | 53 | 4104 | 77.4 | 28 |
| 02 | 39 | 7795 | 199.9 | 58 |
| 03 | 19 | 1862 | 98.0 | 32 |
| 04 | 5 | 959 | 191.8 | 88 |
| 05 | 9 | 7634 | 848.2 | 56 |
| 06 | 31 | 3506 | 113.1 | 42 |
| 07 | 33 | 2955 | 89.5 | 44 |
| 08 | 50 | 4743 | 94.9 | 54 |
| 09 | 59 | 6358 | 107.8 | 51 |
| 10 | 131 | 11289 | 86.2 | 32 |
| 11 | 51 | 7056 | 138.4 | 52 |
| 12 | 58 | 3435 | 59.2 | 37 |
| 13 | 82 | 14369 | 175.2 | 56.5 |
| 14 | 56 | 4439 | 79.3 | 49.5 |
| 15 | 65 | 6229 | 95.8 | 39 |
| 16 | 71 | 5354 | 75.4 | 39 |
| 17 | 60 | 5962 | 99.4 | 45 |
| 18 | 81 | 9101 | 112.4 | 40 |
| 19 | 73 | 6839 | 93.7 | 45 |
| 20 | 114 | 7816 | 68.6 | 30 |
| 21 | 149 | 9734 | 65.3 | 34 |
| 22 | 130 | 12108 | 93.1 | 41 |
| 23 | 95 | 10023 | 105.5 | 36 |
| 1日 | 1608 | 163058 | 101.4 | 40 |
フリーソフトウェア運動(3), プッチンプリン(7), 2段階認証(4), Gab(3), 7月5日(3), レトロゲー(4), アジャコング(4), 社会党(3), 下道(3), 7月1日(3), 創始者(3), プリン(13), 職業差別(17), 自民(24), パスワード(11), リセット(8), 選挙(32), 民主(7), 野党(24), 増税(13), 街中(6), 投票(24), 与党(8), 民主党(6), 自民党(18), セキュリティ(6), 政権(15), 消費税(18), 家事(29), 年金(16), 甘い(14), お母さん(11)
■忘れないであろう入社後の違和感を絶対に忘れたくない。 /20190706101915(21), ■オッサンの事笑える年齢じゃないでしょう? /20190705162211(19), ■お前ら選挙いく? /20190705213734(9), ■子どもは家事をするもの /20190706112432(9), ■誤解する病名 /20190706074324(9), ■増田やブクマカのRPGにありそうなステータス /20190705121803(8), ■40代おばさんと別れる方法求む /20190705154222(8), ■Mastodon創始者とGabの対立が本格化 /20190706150428(7), ■スマフォの待ち受け画面って変えるもんなの? /20190706200741(7), ■役立たずの無能が使い方次第で超有能な力を発揮する /20190706231735(7), ■セックスみたいな菓子 /20190705162349(6), ■おっさんになると最近のゲームやアニメがつらくなる現象について /20190705121642(6), ■ /20190702193539(5), ■ /20190706101247(5), ■なんで野球部って無駄に叫ぶの? /20190706125117(5), ■誕生日 /20190706072008(5), ■男は甘いもの食ったら恥ずかしいみたいな風潮なんなの? /20190706135911(5), ■なんで異世界に行ったはずなのに登場人物の名前がヨーロッパ風なのか /20190706121948(5), ■おっさんが使う「。。。」の起源ってなに? /20190706212201(5), ■ /20190704235137(4), ■飲み友達がほしい /20190706225113(4), ■セックスみたいな蟹 /20190706181852(4), ■子供の汗の臭いがひどい /20190706125226(4), ■自殺って /20190706092938(4), ■忘れられた○○って魅力的じゃない? /20190706064129(4), ■資産運用って面白いの? /20190705113320(4), ■会社でメモ取りたいのに取れない /20190706213441(4), ■誰も選挙についての疑問に答えてくれない /20190706165806(4), ■電気グルーヴにおけるピエール瀧の存在意義 /20190706023921(4), ■批判→「おまえ出来るの?」 /20190706205045(4), ■ファーストブクマカの人手不足 /20190705195248(4)
6419778(2794)
お使いのメールアドレスと生年月日を入力していただければ強固なパスワードを自動で生成いたします。
ご入力いただいたメールアドレスと生年月日、当サイトで生成されたパスワードを用いてxxx側のご登録手続きを行なってください。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
「なんで俺のパスワード覚えてないんだ💢」
「(ええ〜) じゃあパスワードリセットメールを送信しますね。はい、送信っと」
「こねーぞオイイ💢」
「そんな昔のこと覚えてねーよ!今のメアドでリセットできるようにしろ💢」
「やれやれ…」
今はなきセキュアドの午後問で出てきた
パスワードを忘れて電話で問い合わせたところセキュリティを盾に答えない情シスに対して
「肝心なときに役にたたんな。今朝、重要顧客の L 社の専務から電話があり、電子メールを送ったので至急見てほしいと連絡があったんだ。何とかならんか。」
20年位前の情報処理技術者試験にN部長からパスワードを訪ねる電話がIT部門にかかってくるみたいな問題があったな。
なりすましかもしれないのでパスワードは教えられませんと答えたら、部長が「使えないな!」と激おこぷんぷん丸になるという問題だった。
まあ、そういうことじゃないか?
...ええ、当時の自分の周りの意見はN部長は逝ってヨシだったが。
追記:
この記事を参照している記事で教えてもらった通り、NじゃなくてPだった。(出題者もDQNという意味でPにしてたのかと思ってしまった)
コールバックしろが答えだと思うんだけれど、こういう強引な人って結構いるよねって思う。
まあ、公的機関や金融機関を自称する人が電話で個人情報を言わせようとする事例をまあまあ見るんだけれど、P部長と同じだよなーと思う。
https://www.7pay.co.jp/news/news_20190705_01.pdf
一番下の「セキュリティ対策プロジェクト組織図」なんだけどさぁ、「情報流出の原因追究」って書いてあるんだよね…
なんか流出してたっけ?原因追及ってお漏らしっていう結果がなかったら不要じゃん?
パスワードリスト攻撃とガバガバパスワードリセットの合わせ技で一本(900本)取られた感じなのかと思ってたんだけど
| 時間 | 記事数 | 文字数 | 文字数平均 | 文字数中央値 |
|---|---|---|---|---|
| 00 | 77 | 15105 | 196.2 | 59 |
| 01 | 54 | 4377 | 81.1 | 31 |
| 02 | 34 | 6245 | 183.7 | 55.5 |
| 03 | 23 | 4181 | 181.8 | 114 |
| 04 | 12 | 679 | 56.6 | 35 |
| 05 | 12 | 3358 | 279.8 | 40 |
| 06 | 11 | 422 | 38.4 | 24 |
| 07 | 22 | 1967 | 89.4 | 55.5 |
| 08 | 39 | 3890 | 99.7 | 41 |
| 09 | 134 | 15698 | 117.1 | 54.5 |
| 10 | 137 | 14660 | 107.0 | 50 |
| 11 | 161 | 15356 | 95.4 | 49 |
| 12 | 126 | 11107 | 88.2 | 45.5 |
| 13 | 223 | 19912 | 89.3 | 47 |
| 14 | 235 | 24251 | 103.2 | 52 |
| 15 | 231 | 17033 | 73.7 | 51 |
| 16 | 230 | 19584 | 85.1 | 59 |
| 17 | 213 | 14101 | 66.2 | 43 |
| 18 | 131 | 9489 | 72.4 | 41 |
| 19 | 163 | 11894 | 73.0 | 44 |
| 20 | 91 | 8482 | 93.2 | 40 |
| 21 | 82 | 12637 | 154.1 | 45.5 |
| 22 | 120 | 15628 | 130.2 | 39.5 |
| 23 | 91 | 9002 | 98.9 | 37 |
| 1日 | 2652 | 259058 | 97.7 | 48 |
ALS(4), ぺい(3), ロマンス詐欺(3), 諱(3), 位置ゲー(5), セブン&アイ(3), 務(16), pay(16), アライグマ(9), デスハラ(3), 分かろ(4), マッチングアプリ(43), 受け身(13), 意思(77), 安楽死(25), ヤリ(13), ムード(10), リテラシー(9), マーケティング(9), 只(8), セブンイレブン(9), たくない(21), セブン(14), 特権(14), ランチ(14), 性交(14), パスワード(10), 決済(12), 同意(53), 契約(32), ホテル(28), 平等(32), 搾取(34), 確認(77), 例え(21), セックス(103), デート(19)
■「ランチの後、ホテルで休憩はどうでしょう」 /20190703231902(29), ■ブコメで安楽死安楽死言う人 /20190703183336(19), ■老後のために小説書いたら誰にも読まれなくて詰んだ /20190703202308(16), ■そうなの?ってなる情報を教えて欲しい /20190703111248(16), ■女の子で4文字以上の名前って超少なくない? /20190701200632(14), ■ /20190704171522(13), ■肛門から出したら痛そうなひらがな /20190703203601(10), ■健康診断のレントゲンを撮る車がショボイ件 /20190704141737(9), ■下着を売っていたJKのブスが前向きになった話 /20190703013656(7), ■結婚式ってやってみたいけど結婚する相手がいない /20190703135004(7), ■頭の弱さを可視化する話題 /20190704224724(6), ■他人の意思は関係なく、俺の意見が最優先されてこそ平等! /20190704165438(6), ■神と和解させたい人たちの正体 /20190704020733(6), ■毒親の雑な生き方 /20190702010945(6), ■7idの認証周りでダメなところを挙げていけ /20190704002555(5), ■anond:20190703231902 /20190704153257(5), ■娘に有村架純の人生は用意してあげられない /20190704120716(5), ■anond:20190704161946 /20190704162435(5), ■死んでしまいたいが、こういうのは言葉に出したらまずい気がする。 /20190704143641(5), ■介護って昔はこんなに多い仕事だったの? /20190704175453(5), ■ /20190704121046(5), ■異性愛者/同性愛者がわからない。 /20190704142318(5), ■安楽死についてなんにも知らない考えてないバカが反対してるだけなん /20190704161645(5), ■anond:20190703231902 /20190704103104(5)
嫌いな人間や、困らせたい相手が三井住友銀行に口座を持っており、店番号と口座番号が分かる場合。
SMBCダイレクトのログイン画面で店番号と口座番号を入力し、適当なパスワードを何回も入れると、ネットバンキングのアカウントがロックされる。
7iDはもともと2015年11月に開始したセブン&アイグループの総合通販サイト「オムニ7」用の「オムニ7会員」が名称変更したものだ。
結局はこれ。
悪意の攻撃が行われないだろうと言う前提のもとでは、とにかく、お客様の利便性を優先し、
MNPによって携帯のキャリアを変えた挙句、登録時のメールアドレスが使えなくなってしまったバカなお客様でも簡単に
サポートセンターの力を借りることなくパスワード変更が出来たほうがシステム全体としては都合が良かったのだ。
二段階認証にして金を掛けても、せいぜい割引クーポンがセキュアに発行できるだけでは、意味がない。
オムニ7のサービス形態全体を見て、コスパの良い、ある意味手を抜いたセキュリティにしていたのは、それほど間違った判断ではなかった。
