はてなキーワード: オレオレ詐欺とは
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。
個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。
(関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨)
私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさせてください。
サーバーというのは、簡単に言うとシステムを提供しているコンピュータです。
貴方が触っているコンピュータシステムのネットワークの向こう側にいます。この増田も増田のサーバーというのがいて、私たちにサービスを提供してくれています。
しかし、このサーバ、どんなイメージを持っていますか? でっかい黒い冷蔵庫?ちかちか光るロッカー? それともバーチャルのネットワークで画面上に写されるものでしょうか。
サーバーといっても、実4形態ぐらいあるのです。私もチョットワカルぐらいなので間違っていると思いますが、まずは理解する為に簡単に説明させてください。
と言う段階があります。
ニコニコ動画のサービスはどうかというと、色々な情報を得ると、④を使いながら③にする途中で、まだ②が残っている、ということのようですね。
これらの使い分けについてですが、最近は自社でサーバを持っていると自分たちで管理しなければならなかったりして大変なので、できるだけ②から③、できたら④に持っていきたいと言うのが世の中の流れです。それでも②はのこりますが、最小限にしていく方向。
現在は、②のシステムがだけがやられたように、セキュリティ的にも預けた方が望ましいと言われています。
今回も、自社で管理している部分が攻撃されました。特にクレジットカード情報が漏れていないと何度も言われているのは、そこを自社で管理せずに専門業者に任せていたことが大きいわけです。
この流れをまずは頭に入れましょう。
さて、メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるこことはありません。これは何故かと言うと、それぞれを細かくたくさんのシステムや仮想サーバに別けた独立なシステムになっているからです。
さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)で必要な機能が異なるので、部署が異なるのと同じように違う仕組みになっているはずです。ただし、物理的にどこにサーバがあるかなどはあまり関係がありません。
しかし、こうなると小さなサーバがたくさんたくさんあると言う状態になって管理が大変です。
利用者の視点にしても、システムごとにログインするための情報が別々だと非常に使いづらいですよね。会社で部屋ごとに別々の鍵がついていて、じゃらじゃら鍵束を持って歩くような状態は面倒です。
すると、どうするかというと、これらをまとめて管理するシステムというものが作られます。
これを「システム管理ソフト」と「認証システム」といいます。これらが全体に対してユーザ認証や、サーバが正常に動いているかどうかの管理を提供する事で、たくさんのシステムの管理を効率化するのです。
企業の警備室に機能を集約するようなものです。ですが、ここが要になっていて、破られると全ての鍵が流出してしまうということになるわけです。
出てきた情報から見ると、この管理するシステムと認証するシステムがやられたと思われます。
また、その前の前段はVPNと言う仕組み(ネットワークを暗号化して安全に隔離するもの)が攻撃されて破られたのではないかと推測しています。
これは近頃猛威を振るっている攻撃で、業務用で多く使われているVPN装置の脆弱性(弱点)が狙われて、多数の問題が起きています。当然脆弱性を修正したプログラムは適用されていると思いますが、次から次へと新たなセキュリティホールが見つかる状況であり、匿名のアングラネットでは脆弱性情報が取引されているため、訂正版のプログラムが出る前の攻撃情報が用いられた可能性があります。(これをゼロデイ攻撃といいます) あくまでも推測ではありますが。
個々のシステムは独立しています。ですが、こうなってくると、今回はシステム全体が影響を受け、さらにどこまで影響が及んでいるかの分析が困難なレベルだと言われています。
ここまで広範囲に影響するとすると、管理と認証とVPNが攻撃を受けてやられたとみるべきでしょう。
また、ここが破られていると、クラウドシステムにも影響が及ぶケースがあります。
一時期「クラウド」というとストレージの事を言うぐらい、クラウドストレージが当たり前になって、自社運用ファイルサーバは減りました。これは今では危険と認識されているほかに、こちらの方が安く利便性も高いからです。
それ故に、クラウドストレージ、たとえばSharePoint OnlineやGoogleDrive、Boxなど外部のシステムに置くようになっています。
オンプレミスの認証サーバが破られているので、その認証情報を利用してクラウドにアクセスできてしまったものだと思われます。言わば、鍵を集めて保管してあった金庫がやぶられるようなもの。
通常、クラウドシステムはそんなに甘い認証にはなっていません。例えば多要素認証といってスマホなどから追加で認証すると言うような仕組みがあります。貸金庫に入るとき、自称するだけでは入れず、身分証明書とパスワードの両方が必要なうなものです。
また、日本企業なのに突然ロシアからアクセスされたりすると警報をだして遮断する仕組みがあります。
とはいえ、いちいちクラウドにアクセスする度に追加認証をしていると大変で、面倒クサいと言う声が上がりがちです。
そんなときに行われてしまうのは、自社のネットワークからアクセスするときは、認証を甘くすると言う仕組みです。
つまり、ネットワークは安全だという仮定の下においてしまうわけですね。自社の作業着を着ている人なら合い言葉だけで、本人確認なしで出入り自由としてしまうようなものです。
ところが今回は、ここが破られてしまって被害を受けている可能性があります。自社の作業着が盗まれているので、それを着られてしまったので簡単に入れてしまったようなもの。
また、社内システムからデータを窃盗するには、どのシステムが重要かを判断しなければなりませんが、クラウドサービスだと世界共通であるため、一度入られてしまうと慣れ親しんだ様子で好きなようにデータを窃盗されてしまうわけです。
上記のことを踏まえて、KADOKAWAの展開してるサービス自体や、そこに登録しているクレジットカードは「おそらく」大丈夫です。パスワードも「ハッシュ化」という処置を経て通常は記録されていません。
ただ、パスワードを使い回している方は、その事実とは別にそもそも危険です。パスワード変更をおすすめします。さらに、ハッシュ化をされていても、時間をかければ色々な方法でパスワードを抜き出す事も不可能では無いことも忘れずに覚えておきましょう。
しかし、単なるユーザー、お客さんではなく、KADOKAWAと会社として関わってる人や従業員、取引先で色々な書類等出した人は、既に情報が窃盗されていて、そこから今後も追加で情報が出回る可能性があります。
一方で、分かりやすい場所に保存されていたわけではない情報(システムのデータベース上にだけ入っていたものなど)は、センセーショナルな形で流出したりはしないのではないかと予想しています。
犯人が本当に金が理由だとするならば、データを分析するような無駄な事に労力を割かないためです。
腹いせで全てのデータを流して、暇人が解析する可能性はあります。
ありますが、犯人はコストを回収しようとするので、これらの情報を販売しようとします。売り物になる可能性のものをただ単に流したりもしづらいのではないかと思っています。
もちろん、油断はするべきではありませんし、購入者が現れるとすると購入者は具体的な利用目的で購入するため、より深刻な被害に繋がる可能性も残されています。
犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
また、周到にソーシャルハッキング(オレオレ詐欺のようになりすまして情報を搾取するなどの方法)や、このために温存したゼロデイ攻撃(まだ誰も報告していない不具合を利用した攻撃)を駆使され、標的型攻撃(不特定多数ではなく、名指して攻撃すること)をされると、全くの無傷でいられる企業や団体は、恐らく世界中どこにも存在しません。
それは大前提とした上で、敢えて言うならば、どちらかというと、経営判断が大きいと思われます。
ニコニコ系のサービスと、KADOKAWAの業務システムと2つに別けて話しをしましょう。
ニコニコ系のサービスは、現在、クラウドにシステムをリフトアップしている最中だったと思われます。先日のAWS(クラウドサービスの大手企業)の講演会で発表があったようにです。
ですが、この動きは、ニコニコのようにITサービスを専門にする企業としては少し遅めであると言わざるを得ません。
これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます。特殊すぎてそれを受け入れられるクラウドサービスが育つまで待つ必要があったと思われます。
それが可能になったのはようやく最近で、動画配信系はクラウドに揚げて、残りを開発している最中だったわですが、そこを狙われたという状態ですね。
ただ、厳しい見方をするのであれば、その前に、クラウドに移行する前に自社オンプレのセキュリティ対策を行っておくべきだったと思います。結果論ですが。
それをせずに一足飛びでクラウドに移行しようとしたというのだとは思います。確かに一気に行けてしまえば、自社オンプレに施した対策は無駄になります。コストを考えると、私が経営者でもそう言う判断をしたかも知れません。
KADOKAWAの業務システムですが、これはITを専門としない企業であれば、オンプレミス運用(②番)が多く残るのは普通です。
何故かと言うとシステムとは投資と費用なので、一度購入したら4年間は使わないといけないからです。そして自社向けであればそれぐらいのサイクルで動かしても問題はありません。
しかし、それ故に内部的なセキュリテ対策の投資はしておくべきだったと思います。
以上の様にエンジニアのレベルととかは関係ありません。基本的には経営者の経営判断の問題です。エンジニアに責任があるとすれば、経営者に対して問題点を説明し、セキュリティを確保させる事ができなかったと言う所にあるでしょう。
ですが、パソコンのことチョットワカル私として、想像するのです。彼らの立場だったら…自社グループに経験豊富なエンジニアがいて、一足飛びにクラウドへリフトアップができそうなら、既存の自社サービスのセキュリティ変更に投資はしないと思います。
逆に、パソコンに詳しくなく、自社部門だけでは対応が難しく、SIerの支援を受けつつやらなければならないと言うのならば、SIerは固いセキュリティの仕組みを付けるでしょうし、システムごとにSIerが異なることから自然とシステムは分離されていたでしょう。
そして減価償却が終わった者から徐々にになるので時間がかかることから、昨今の事情により、セキュリティ変更に投資をしてからスタートしたかも知れません。
ただし、繰り返しになりますが、犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
(おそらくは)社内のシステム管理を、自社でできるからと言って一本化して弱点を作ってしまったのは不味かったと思います。
先ほど述べたように、高度化していく手口でシステムへの侵入は防ぐことが出来ません。
なので、システムは必ず破られると考えて、それ以上被害を広げないこと、一つのシステムが破られたからと言って他のシステムに波及しないようにすることなどを意識する必要がありました。
これは物理的な話しではなくて、論理的な話です。例えば物理的に集約されていてもちゃんと別けていれば問題ないし、物理的に分散していても理論的に繋がっていたら同じです。
すごく簡単に言えば、管理するグループを何個かに分けておけば、どれか一つが破られても残りは無事だった可能性があります。
とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービスは人員的にも予算的にも全然関係ない感じ
慰謝料200万必要。これを払わないと職場にバレてクビになる」みたいな内容だったらしい。
受け子に渡したという。
まじでバカかよ。
未成年を妊娠させたら自ら職を辞すべきだろうが。淫行で逮捕されて当然だろ。
というより金で解決しようっていう考えが浅はかすぎる。お腹の子供はどうすんだよ。
心身の負担を考えたら200万なんかじゃ足りねーだろ。親なら説教しろよ。
父親のことはこれまでも嫌いだったが
余計に嫌いになった。
いつも正道を説いてるくせに、こういうことは
金でなんとかしようとするのかよ。
更に「お前ならやりかねないと思った」
「親心だった」とか言われた。
警察には金は返って来ないと言われた。
このことで後々父親に文句を言われるのが嫌だったので父親の口座に200万振り込んだ。
これは手切れ金だ。
事がわかったので縁を切ろうと思う。
少ししたら転職しようと思う。
よく男性と女性の性差で議論になるとき「性差よりも個人差の方が大きい」という優れた意見に出会うことがある.同感である.
確かに性差はあるだろうが,個人差の方が大きいのは事実だろう.
東京 vs 地方の話題も同じだと感じる.どちらも都合よく,文化や環境の議論をしているように思う.
そこで,地方の子育て事情(3σ外れた異常値と認識している)として,自分が行った子育ての例を紹介したい.
異常値であると記載した通り,地方の子育てがこれが平均だというつもりは毛頭ない.むしろ,地方においても親が異常者であればこういう子育てが可能であるという例である.
先にバックグラウンド.私は東大卒で,妻も東京の国立大学卒である.二人とも博士号を有している.
仕事の都合で,地方都市(三代都市圏近郊ではない,まさしく地方都市.人口数十万人)で15年間子育てをすることになった.
私は仕事で住んだ地方都市よりもさらに人口の少ない地方都市出身者であり,18歳までその地元で暮らしていた.
まず,毎週末のように,県内及び隣県にある文化施設や大きな公園などに高速を使って出掛けていた.
子供たちが異常に好奇心が旺盛であったため,科学館や天文台,美術館,博物館なんでもOKだったし,
公園には必ず図鑑を持って出かけ,気になる花や虫は図鑑でチェックしながらなるほど〜と家族みんなで確認した.
連休は近隣県でジオパークに出かけたり,温泉旅館に泊まったりした.行く前に図鑑や本で地域の情報や歴史を調べ,
車の中でみんなで披露するというのがお出かけのパターンであった.
中学校くらいからは歴史に出てくる場所や有名建築家が設計した建築物回りなど,社会科学寄りのお出かけも増やしていた.
半年に1度程度の頻度で東京や大阪には出かけ,そこでしか体験できないこと(科博,未来館,キッザニア,鉄博,USJなど.なぜかディズニーには一切興味を示さなかった)
にも出かけた.特に未就学時は鉄道大好き人間だったので,JRの全ての鉄博,地下鉄博物館,京王レールランドなどにも行った記憶がある.
体験格差などという言葉があるが,少なくとも我が家はお出かけという観点において,首都圏での子育てと比べて,劣っているとはあまり思っていない.
それは元々自分も妻もお出かけ大好き人間であり,軽々しく遠出をする人間だったためと考えられる.
上の子,下の子ともにゲームは2-3歳から解禁していたが,1日30分というルールで行っていた.最初は駄々を捏ねていたが,
1週間もすればルールに順応する.小学生からは1日1時間.お休みの日や特別な日(テストが終わった日など)は長時間を許すという柔軟な運用をした.
私自身ゲームが大好きであり,子供の頃も馬鹿みたいにやっていたので,ゲームをすれば頭が悪くなるなんてことは一切考えたことない.
一方で,ゲームは面白すぎるのでやめ時が難しいことが問題で(これはマンガであれ,Youtubeであれ,小説であれ,映画鑑賞であれ他の全ての趣味にも共通する)
そこさえ親がきちんと見守れば,子供がやりたいこと,見たいものは与えて良いと思う.際限ないことが問題なので.
習い事や勉強について.未就学期の習い事は上の子は水泳,ピアノ,造形教室,ダンス教室,下の子は水泳,造形教室だった.
通っていたお絵かき教室が県内で相当有名なところであり,コンクールの賞ゲッターを量産するところだったので,
我が家もそれなりにエフォートを割き,小学生と中学生の際にはいくつかの賞を受賞し,地元の新聞に載った.
公文は個人的に否定派だったので,未就学時は自宅でこぐま会をやっていた.もちろん小学校受験などするつもりはないので,あくまで頭のパズルと基礎力をつけるという程度.
自宅で先取り学習は絶対にしないようにした(ここでいう先取り学習とは学年よりも先の内容をやること)
小学校(公立)では,全く勉強に困ることはなかった.これは首都圏のようなレベルの高い競争がないため,当然と思われる.
そのため,自宅では,首都圏の中学受験用の教材を4年生くらいから利用した.また,その地元の進学塾にも通っていた.
大学時代の友人(首都圏在住)を通して,勉強法を聞いたり,首都圏と地方での勉強の違いなどを埋めようと親が努力した.
(が,友人とも話したが結局は個人差の方が大きいというオチだった)
中学受験期には,本人も同意の上で,通えないこと前提で首都圏の学校をいくつか受けた.本人にとっては力試しという意味が大きく,通えないことは理解していたし,前向きだった.
上の子は開成に受かり,下の子も渋幕に受かった.上の子は中学は地元の公立中学に進学した.下の子は後述.
上の子が開成に受かった時は親としても非常に悩ましく,妻と子供たちだけ首都圏で暮らすことも考えた.
が,家族みんなで暮らす方が楽しいだろうということで,これはあくまで力試しが目的だったはず,本来の目的に戻ろうということになった.
ただし合格は本人の自信になったようだ.
それから数年後に私の転職があり,首都圏で暮らすことになった.
上の子は高校受験で開成に,下の子はちょうど引越しタイミングと受験タイミングが重なり,渋幕に無事合格した.
子供達二人とも首都圏に引越してから,学校でついていけないこともなかったし,特段の文化的な劣等感も感じることはなかったと話していた.
この後,我が子が殺人鬼になったり,オレオレ詐欺の主犯として捕まる可能性もあるので,手放しで自分たちの子育てが成功例であるとは言わないが,
少なくとも人口数十万レベルの地方都市においても,首都圏と同レベルの子育てはできるという実例になると思う.
もちろん親は二人ともめちゃくちゃ努力したと思う.そりゃ週末はイオンに行って1日過ごせば親もフードコートやゲームセンターで休めて楽だけど,
妻がお弁当を作り,大きな公園で遊ぶ,子供達が疲れてきたら近くのイオンに行き,買い物をして帰るという生活は体力的にも根性的にも辛い.
ただ,あの時の自分たちは私の仕事の都合で地方都市で暮らしていたこともあり,親の都合で子供達の住む場所が決まってしまっていることへの罪悪感からか,
過剰に,それこそ首都圏での子育て以上に様々な体験をさせてやるんだという気概があったように思う
その意味では,首都圏がどんなに文化や環境に恵まれていたとしても,1日中switchを与えて親が子供を放置していた家庭よりは地方の我が家の方が多くの体験をしていただろうし,
かといって周りを見渡した時に,周りのご家庭が我が家のようにある意味で狂気的な子育てをしていたかというとそんなことはないと思う
よって「地域差よりも家庭差の方が大きい」という面もあることを伝えたい.
「東大卒博士号の経歴をドブに捨てて田舎の専業主婦で終わった奥さん可哀想という感想しかない 」
というトラバ,まず妻は東大卒じゃないし,専業主婦とも書いてないんだが,エスパーか?
妻は専門職なので,地方都市でも東京でも育休中以外ずっと働いてたんだが…というのが1点目.
次に,仮に東大卒博士号持ちが専業主婦をすることの何がおかしいのか,可哀想なのかがわからないというのが2点目.
もしかして博士号のような生産性の高い人物が子育てという非生産的な行動を行うのが勿体無いと言いたいのか?
世の中で博士号持ちの女性,たくさん子育てしてるよ.日本だけじゃなくて海外でも.
それに,君,働いたことある?会社の仕事取ってくる営業や開発だけが生産的で,人事はコストセンターで生産性が低いまたはゼロと思ってる?
目の前でお金を稼ぐことだけが生産性じゃないんだよ.世帯内や社会全体で役割が分担されていて,その寄与度は複雑な関係になってるよ.
それに君が好きな生産性で言えば,うちの子供達が2000億ドルくらいのイーロンマスク並の資産を形成したら
うちの妻が仮に東大卒博士号持ちの専業主婦で20年子育てしたとしても,100億ドル/年のリターンがあるわけで,めっちゃその優秀な能力を発揮したことにならない?そんなこと求めてないけど.
3点目として,別にうちの子供がイーロンマスクにならなかったとしても,うちの妻的には人生が楽しければ良くないか?
上にも書いた通り,私はゲームが好きなんだけど,ゲームした時間って別に新自由主義的な意味で生産的な時間じゃないだろうけど,面白ければ良いのでは?
我々夫婦が「大変なこともあったけど,色々二人で頑張って面白かったな.子どもたちも育って勝手に好きなように生きてるし,なかなか我々がんばったね」って思えたら御の字で子育てでそれ以上を求めても仕方ない気がする