「セキュリティホール」を含む日記 RSS

はてなキーワード: セキュリティホールとは

2018-01-14

IT業界某国スパイ巣窟

IT業界日本社会の縮図となっているんだよ - こうして僕らは腐る

http://www.byosoku100.com/entry/2018/01/13/212749

ITを学んでIT企業就職して、この国のIT企業はきっとCIAか何かによって弱体化を図られたとしか考えられないと思いました。

自分ロジック組んだり、アルゴリズムを考えたりする仕事をさせてくれている会社もありますが、会社の規模がでかくなればなるほどそういう仕事下流に任せる感が強い。まずこの構造が弱体化の出発点。

多重下請構造は、製造業日本ならではの伝統下流低賃金が根強い。背広を着た人がその伝統文化を売り捌く。文化が短納期、安請け合いを生み、短納期、安請け合いにより、品質が下がり、雇用も安く済まされ、弱いSEしかまらず、国際競争力はなくなる。この下請け構造文化を持ち込んだのは、他ならぬ製造業文化を固持してきたメーカーベンダーのように思えますメーカーベンダーCIAからなんだかのスパイ行為に加担したのでしょうか?

実はそんなメーカーベンダーにもいたのですが、ぽっと出の強いSEもいます。ところが強さが仇となり、全容を把握している神扱いで一段上に据えられます。そして多忙を極め、ロジックアルゴリズムをひねり出す知的生産力は、仕様書指示書と呼ばれるエクセル方眼紙に図形や文書を書き殴る作業力へと変貌します。

指示は全て自社フォーマット図面に書け!その図面審査承認課長に貰え!え?予算の都合、本部承認必要本部長いつ来るの?1週間後だって!?リスケだ!工数再見積もりだー…これは仕事ですか?それとも茶番ですか?こうして強いSEは弱体化します。強いSEほど自分の置かれた立場環境に順応しようとする意識が強く、仕事ができる人間になるためにはお上に楯突かず、弱体化を受け入れようと考えます

エクセルのvlookupを使うために、学生時代関数型言語を学んだわけじゃないのに…と就職して思うようになったunix文化を学んだ強いSEが、思考停止している情シスによって管理しきれないものは全てセキュリティホールみたいな会社にいたら、「あいつはセキュリティを脅かす不良社員」のレッテルを貼られ、朝から晩までvlookup,vlookup...(いやそのエクセル脆弱性情報パッチ出ているけど、いやお上のお達しを待て!的な茶番劇)せめてgrep,awk,sedくらい使わせてやれって、残業がなくなってボス最近社長の思いつきで始めた健康経営者として表彰されるかもしれんよ?思いつきだから明日あるか分からんけど…。いつまでこんな寸劇をやればいいのやら。学んだことは活かせません。茶番寸劇の中心にはやはりこの国のIT業界を弱体化させ国際競争力を低下させるスパイが潜んでいるとしかおもえません。

ここで、IT業界蔓延日本国際競争力をいちぢるしく低下させているスパイの特徴を述べておきます

・安請け合いをする無能な人

スパイ目的である国際競争力の低下にダイレクトアプローチするスパイ中のスパイです。こいつがいたら即辞めないと国や社会のためにも良くないです。

・「よく分からないものセキュリティの都合使えません」と思考停止している人

お前はそのツールコミッターでそのツール脆弱性を分かってそんな事を言っているのか?と、せめて同僚がツール有用性を知りつつ使いたいっていうならそれなりのセキュリティ的可用性を示すのが情シス仕事じゃねーのかと?まぁこ場合スパイなのでそんな調査は死んでもやりませんが…

・「ツール使用効率化ではなくズルだ!」と言い続ける人。

スパイの常套プロパガンダです。明らかにおかし言動なのでスパイの中では未熟者なのかもしれません。

・「大学で学んだことが社会では通用しない」と偉ぶる人

そのままで通用しないけど、出発点であるべき。でなければその空白を埋めるコストをどうしろと?そんな言葉マジで吐く人間は出発点にすら立たせて貰えていない場合が多い。ただ言葉を吐くスパイは、スパイが故に企業内の立場は上のほうにいるかもしれません。出発点に立っていなかろうが

法律無視する人

よく考えてみてください。遵法精神のあるスパイがいると思いますか?そもそもこのスパイ蔓延構造日本社会根深く浸透しているので、法律を取り締まる側もうまく騙されていると考える方が自然です。労基法下請法派遣法…機能しないのも当然です。

2017-12-01

WordPressさんよ…

リリースノートで「このセキュリティホール修正したよ」て書いてあるところ、ちゃんとCVE載せてくれよ…

2017-08-28

https://anond.hatelabo.jp/20170828183315

DNSサーバセキュリティホールの温床で、とにかく頻繁にアップデートをしないと運用不可能

そのため、DNSサービスレジストラ等の専門業者サービスを利用するのが安全という認識が広まる。

その結果、DNSに関する知識は、

それらの専門業者のUIを操作できるレベルでよくなり、UI操作方法マニュアルを見ればよくなったので、

さらDNSの本を書いてもあまり売れない。

多分こんな感じ。

2017-08-13

一見すると信じがたいけどもしかしたらそんなこともあるかもしれないという嘘に弱い

最近の若者はこんなに違う感性を持っている。

いまの流行はこんなにもおかしい。

海外ではこんな異常事態が起きている。

最新の研究ではこんな変なことが分かった。

…といった内容のツイートがよく流れてくる。

センセーショナルな内容なので広く話題になり、

それを見た人も「うっそ〜マジで〜信じられな〜い」と言いつつ信じてしまう。

しかし、よくよく調べてみると、発言者の推測や誇張が多分に混じっていたり、

たった一つの体験談から話を膨らましているだけだったり、

誤解だったり誤認だったり、といったことがほとんどだ。

奇抜で突飛な話に真実味があるのは何故だろう。

なぜ信じられないものを信じてしまうのだろう。

人類セキュリティホールって感じがする。

2017-07-17

https://anond.hatelabo.jp/20170717022634

憲法にも改憲の手順が書かれてるけど、改憲絶対反対の人はそこをどう捉えてるんだろう?

セキュリティホール的な感じだろうか?

2017-07-09

wordpressさいこーといってる人へ

wordpress最盛期。あの案件もこの案件WordPressを使って、プラグインしまjqueryしまし脂マシマシな納品が星の数ほど生まれていく。「プラグインが最新バージョン対応しないので、本体バージョンアップができません」といってセキュリティホールだらけのwordpress放置される。アホかと、バカかと。

フロントエンドhtml,css,javascriptでつくるものだよ。expressをみて「javascriptバックエンド書くの?気持ち悪い」っていってただろ。それと同じだ。いつまでphpフロントエンド書くつもりだよ。phpで動的生成し続けるからいつまでもwp headでwordpressサイトってバレてアタック受けるんだよ。とりあえずurlの末尾にwp-adminってつけて確認されるんだよ。

分離しろ、分離。wordpress管理画面が悪いとはいわない。あいはいいやつだ。けど、wordpressフロント書く必要はない。wordpressrest apiだしただろ。更新wordpressでやって、その情報apiで取得してきたらいいんだ、それでいい。

wordpressテーマをつくるのがキャッチだった頃からもう6年はたった。6年前といえば、Windows 7使ってた頃だよ。ヒカリエまだできてない。そんな頃のやり方つかって「これがスタンダードです」とかいってクライアントをだまくらかして楽しいか。さっさと2017年に追いつけよ。

2017-03-22

http://anond.hatelabo.jp/20170322033150

増田それ恋愛違う。

未熟未形成自我セキュリティホールが生むただの承認欲求処理。

人間を道具として使用した精神自慰行為であり人間関係における迷惑行為

生涯においてつがいと非常に強い紐帯を結ぶことで知られる雁の仲間において、

つがい」を失った年配の雌の雁が同様の行動をしたことが観察されてるね。

その雌は、相手とまともにつがいを結ぼうとする若い雄と次々と「偽りのつがい」を

結んで取っ替え引っ替えして、あたか性的からかいをする妖婦のようだったと

その観察をした動物行動学者記述している。その雌が最終的にどうなったか

知りたければ、その学者の本を読むといいよ。

2017-02-03

会社辞めよう

毎日サービス残業やってらんねー

俺は奴隷じゃないんだよ

セキュリティホール作って辞めよ

あと残業代請求する

2017-01-18

みのもんた説明するサービスが欲しい

個人差はあるが、人間年を取ると頭が固くなる。

特に子供の言うことだけは素直に聞いたら負けだと思っている親も多いことだろう。

しかし、よく観察するとその頭にはだいたいセキュリティホールがあり、誰の言うことも聞こうとしないが、

なぜかテレビに出ている特定個人が言うことだけは何でも信じる、という構造になっている。

たぶん、テレビが普及するまでは、その役割を近所の偉い人やら何やらが担っていて、

今ではそれがタレントに移ったということなのだろう。

ここまで言えばおわかりだろう。そういうサービスを出して欲しい。

内容を予め入力すると、みのもんたがその通りに喋る。これでようやくコミュニケーションが成立するわけだ。

みのもんた最近身内のアレでおとなしいから、今でしょの人とかミヤネ屋の人とかもいいかもしれない。

とにかく頭の固い人間は度し難い。

2016-12-09

http://anond.hatelabo.jp/20161209221500

モラルに反する以前に法律違反からそれは警察仕事だろ

金を預けてる方としては数年間既知のセキュリティホール放置してるような銀行には二度と金預けんわ

ただこの世界銀行は1社しかないので誰も文句言えない状態

anond:20161209220529

エンジニア責任うんぬん言うなら悪用される可能性を残したサービス提供してる検索エンジン責任者が一番問題だろ

やってることはセキュリティホールが5年以上前からあったのに放置してたようなものなんだが

銀行システムセキュリティホールがあっても、それを突くシステムを作ったらモラルに反するでしょ。

http://anond.hatelabo.jp/20161209215504

エンジニア責任うんぬん言うなら悪用される可能性を残したサービス提供してる検索エンジン責任者が一番問題だろ

やってることはセキュリティホールが5年以上前からあったのに放置してたようなものなんだが

2016-11-15

東大女子だが

http://anond.hatelabo.jp/20161115002441

三鷹国際宿舎は女子フロアの数が少ないので新入生の女子の枠は留学生含め30人程度、かつ留学生から優先的に入れるので(当然だが)、実質日本人女子は十名以下の定員だ。これはいくらなんでも少ない。

昔は三鷹に入れなかった場合白金が受け入れてくれる場合もあるとあったが多くて4,5名、少ない時は1,2名、しか留学生から優先される(なお現在白金寮はなくなった)。日本人だと地方出身者と親の年収が低い方からになるので、中近距離住まい一般家庭の女子学生ほとんど寮に入れなかった。かといって駒場付近家賃が高くしか民間女子寮ですら決して安くない。通学時間が片道2~3時間かかったとしても千葉茨城埼玉方面からくる女子は通学定期を買って通学したほうが安い。ところが通学だけで一日4~6時間かけてると正直進振りレースには入れないし、サークルなんてもってのほかバイトの余裕すらない。

くわえて地方学生には県人会などの奨学金制度や寮制度があるが千葉埼玉茨城茨城あるかな?)群馬神奈川栃木あたりの首都圏ではあまりそういうのが盛んではない。東京都内もしくは神奈川実家のある富裕層東大女子の多くを占めると言われている)はそもそも寮に入る必要がないし、親だって二年間の補助を受けるよりマンションを買ってやったほうが税金対策やその後の投資の面でも安上がりなのでそうするだろう(東大女子マジョリティである富裕層というのはそれくらいのレベル金持ちが多い)。結局本当にこの補助を必要としているのは、決して少なくない数がいる、授業料免除を受けるほど貧しくはない首都圏郊外に住む親がサラリーマン一般家庭の東大女子なんだよ(年収が300万を切らないと授業料免除も落とされるので実質貧困家庭よりこれくらいの家庭のほうが家計的に厳しい)。

駒場付近で二階以上の1ルームマンション家賃は安くても五万程度から女子学生ならセキュリティ的に六万程度はみておきたいところだ。三万円の補助があれば定期代の三万+補助でちょうどそれくらいの物件が借りられる。当事者には大変にありがたいと思う。

ちなみに二年間だけなのは本郷に進学する学生が多いからだと思われる(逆にいえば最初の二年は必ず駒場に通わねばならない)。本郷では本郷学生課があるのでそちらでなにかやるんでは?

自分一年の時から本郷周辺に住んでいたが、あのあたりは下町なのでギリギリ3~4万くらいのぼろい女子専用アパートがある。一階に大家が住んでいるという形態のやつ。そういうとこにはたいてい院生が入っていて学部の時から借りてるとだいぶ苦労人の扱いをうけた。北区の方へ行けば家賃も下がるし、千葉茨城埼玉あたりからなら自宅から通うという選択肢もある距離だ。その後四年時は柏の葉キャンパスへいく学生もいるので一律補助みたいなやり方はやりにくいのだろう。ちなみに男子場合豊島の寮の定員が多いので中近距離でも豊島寮に入れる(追分などは老朽化でなくなった追分は国際宿舎になったそうです。豊島追分の国際宿舎は毎年各十名程度女子が入れるようだがやはり少なすぎ)

さらにいえば、首都圏郊外出身者の東大女子が応募できる奨学金給付・貸与どちらも)が非常に少ないのも問題だ。特に理系場合対象男子のみとなっている場合も多く、女子というだけで奨学金の応募資格がない。特に企業のだしてる奨学金青田買い意味合いが強く、そのせいで女子敬遠される傾向がある。なんとか取れるのが日本学生支援機構の二種くらい。一種ももらいやすいが、学生補助の対象外になるとバイトにかけなきゃならない時間が段違いにふえるし、バイトをしなくてもいい富裕層の子女や留学生にくらべ勉強時間が削られるので成績上位者にはなりにくいという事情がある。男子しか応募できない奨学金制度是正するなどの処置をとってほしい。

個人的にはそこらへんの事情をかんがみて後輩に進学の相談をされた場合お茶の水女子大を推薦しているくらいだ。東大は入るだけなら楽、でも卒業するのは大変。普通に卒業するのも結構大変なのに、理一なら進振りが大変だし進振り専門課程に進んでからの授業はもっと大変だし、それをこなしつつ生活費を稼いで卒業するのは正直言って困難だ。理系東大女子修士進学率が低いのはこの大変さをさらに二年経験するよりは就職したほうが楽だからだろう。博士過程まで進学すれば授業料免除になるし、東大学振をとりやすいのでかなり楽になるが。



追記:

借り上げの女子寮にしないのはやはりセキュリティ問題だと思いますよ。この建物女子東大生がすんでいる借り上げ寮となるとそれを狙ってくる変質者が必ず来ますから白金でも配達員を装って変質者が入り込んだことがあるみたいなことを白金にすんでた人からいたことがあるし、御茶ノ水女子寮もそのあたりを常に警戒していました。女子寮はどこもそういう問題を抱えています特に一棟全員女子となると誰か一人でもセキュリティホールがいると同じ棟にすむ別の誰かが被害者になる可能性もあるので、一箇所集中で変質者の注意を引きつけるより、大学が紹介できる物件複数ある方がリスク分散になるのでは。

また、自分修士までいって計十二回授業料免除申請しましたが、東大授業料免除基本的に親の収入評価ベースとし、一定値を引いたのち、各家庭の状況に応じて値を引いていって、最終的にゼロになったら免除がおりるという仕組みになっています世帯収入が二百万ちょっとだと一定値を引いた段階で値がマイナスになるので必ず免除に、三百万くらいだと一定値をひいてさらに本人が下宿をしている場合の値を引くとだいたいゼロになるので免除がおります。それより上だと、兄弟高校生もしくは大学生下宿をしていたり、誰かが入院していたり、おじいさんの介護必要だったりするとより免除がもらえやすくなります。ただし、同じように高校生兄弟がいる場合も通っている学校私立のほうが引かれる値が大きいので、「お金がないので公立に」というほんとうの意味であまり裕福でない家庭には不利な計算になります。これでだいたい400~800万(兄弟の人数にもよりますが)くらいの世帯収入の家庭で免除をもらえる家庭とそうでない家庭に別れるます。ちなみに地元被災したなどとなると親の年収にかかわらず次の期に授業料免除になります

自分修士一年の冬に父親のガンがみつかり、春頃から休職をしていましたが、世帯収入判断源泉徴収票で行われるため、卒業まで免除が受けられませんでした。翌年、妹は授業料免除され寮にも入れましたが、基本的に家庭の収入が激減した場合一年耐える必要があります。もらい火事で家がなくなった、とか急に介護必要になって母親仕事をやめた、父親リストラ減給されたなどして世帯収入が激減すると、もともと厳しい状況が更に困難な状況になると経済的理由による休学もやむをえない、現代日本とは思えないような状況になるわけです。このような場合にせめて住居という名目はいえ三万円が次の期からもらえれば、当事者には大変にありがたいです。またその場合女子寮よりも現在住んでいる場所そのままで援助してもらえるほうが引越し費用などをすこしでも節約できるので制度として活用やすいかと思い明日

東大年収区分を設けなかったのは、こういうふうに400~800万ゾーンもっと免除がもらいにくく、かつ本当は低所得世帯留学生よりも補助を必要としている学生を援助するためと思われます本来なら男子学生もこのような処置があるといいとは思いますが、前述の通り男子は寮に入れる余地が多少なりともありますから短期的にあいている寮に押し込むことで解決しているのかもしれません(女子場合その余地もない(なお昔は博士課程で学振をもらってる学生独立世帯であるとして申請すると、収入が低すぎて独立世帯なわけがないと落とされていたらしい(文科省もっと金を出せ

あと奨学金の応募資格の件ですが、有名私立高校OBがやっている女子のみ対象奨学金もあったりしますので一概に「男子のみだからだめ!」と大学が言うわけには行かないのだろうなと思いますアメリカだと「○月生まれのための奨学金」みたいなのがありますが、それに該当しない月のひとが「差別だ!」と言うのはちょっと変ですよね。問題なのは、定期的に企業研修へいくとか、卒業後は入社するように縛りをもうけている男子のみ対象奨学金のようなあきらかな青田買い奨学金だと思います。でもまぁそれも強くは言えない(そういう方針だと言われてしまえば大学は口を出せない)のでなかから改革するほかないのだと思います。こちらとしてできるのはそういった企業就職しないとか、商品を買わないとかそういうことになりますが。

なお自分学部生で奨学金をあさっていたのは就活バブルなみによくなった20062008年より前で企業がかなり学生に対して強気だった時期なので今はちょっと違っているかもしれません。

奨学金でいえば併願不可のくせに一万ポッキリ給与かい奨学金を出している団体は一体何なんだろうかと当時は思ったりしていました…なんなんだろうな、あれ。

2016-09-08

http://anond.hatelabo.jp/20160908104334

最近みつかって修正されたiOSセキュリティホールは、

ブラウザとあるURLに行くだけでJailBreakされるらしいので

古いのを使い続けるのは絶対やめた方が良いよ^^;

2016-09-07

http://anond.hatelabo.jp/20160907154048

たびたび記事やら何やらで語っている事と違うし。政治家道義的責任を追及してきた人が他人には厳しいのに、自分には甘いという印象はぬぐえない。

日本法律上の扱いがどうだろうと、台湾側の手続きに除籍があるのならしておくべきだったし、出来ないのなら「○年○月○日に試みたが出来なかった」と最初からブレずに答えるべきだった。

日本の政治家としてやっていくためには、かなりしくじったと思う。

これは法律セキュリティホールに近い。二重国籍日本法律が認めていないのは解るけど、外国籍を持ちながら何らかの手段日本国籍を取れば選挙にも出られるし、何かの理由日本にいられなくなったら、外国籍を生かしてそちらに逃げるとか可能になってしまう。

2016-07-13

世の中KY(空気読めない、クソヤロウ)がセキュリティホールすぎると思ったが

世の中はそれなりの塩対応をするので安心というか

2016-03-01

http://anond.hatelabo.jp/20160301220735

そしてそれがIEセキュリティホールになり得るから

X-Content-Type-Options: nosniff

っていうレスポンスヘッダを付けよう!って言われているよね

http://d.hatena.ne.jp/hasegawayosuke/20110106/p1

2016-02-05

http://anond.hatelabo.jp/20160205161207

文章の読み方は「10年前の、(今現在からしたら)セキュリティホールがあるかもしれないソフト」だけどな。

大体のソフトはクッソ古い穴だらけの32bitCPU用ですらないライブラリ依存してたりして、

それを現在環境で動かそうとかジョークに近いっていう見解はまああり得るだろ。

Windows例外的にそれを許してるだけで、全般的には下位互換性はある程度のところで打ち切られるもんだぜ。

http://anond.hatelabo.jp/20160205160647

Apple的には「10年前のセキュリティホールとかもあるかもしれないソフトを動かす」事が害悪のものなので、そこはしょうがいね

2016-02-01

JavaVM・JREクライアントを使う側の立場から見たら

開発者の願望優先すぎで使う人のことを一ミリも考えてないな。勝手セキュリティホールになるは、インストール後のメンテナンス必要だわ、重くなるわ。

理想なのはわかるが、完全に方向性を誤ったとしか言いようが無い。今もアップデートの準備ができましたとか出てきやがって。呼んでねーと何回言わせれば。

2015-12-06

WindowsiOSアップデート

アップデートは様子見するのが正解」みたいな風潮が出来てしまっているのは糞。

初心者が何でもかんでもアップデートしないでセキュリティホール放置してしまう。

2015-12-02

銀行から1万4000件の情報流出」をシステム目線妄想したい

http://anond.hatelabo.jp/20151201162600

上の増田を読んでて、SEやっている人間としては気になったので妄想してみる。

前提

そもそも何が漏れたのさ? WHAT

出会い系サイト銀行振り込みした人の電話番号・振込日時・金額。詳細は上記の増田参照。

誰の情報流出したの? WHOES

出会い系サイト運営者らの口座の情報

ここの口座の入出金明細の中に、出会い系サイト利用者から業者への振り込み履歴があり、そこに利用者電話番号記載されていた。

まり、盗まれたのは出会い系サイト顧客情報出会い系サイト利用者個人情報)で、

被害にあったのは出会い系サイト運営者の口座ということになる。

どこから漏れたのよ? WHERE

「残高照会ダイヤルから

これは、銀行電話自動応答システムの1つで、

口座番号とかを入力して、残高や入出金明細を音声で照会できるという、いわゆる音声自動応答サービス

使用する際は本人認証必要になるが、以下のいずれかが求められる。

どちらかが正しければ本人と確認され、入出金明細が自動音声で読み上げられる。

今回、この「残高照会ダイヤル」にセキュリティホールがあり、それを悪用されて情報流出してしまった。

…「今回」というより、つい先日まで流出し続けていた、という表現のほうが正しいかも。

誰が盗んだの? WHO

銀行提供している音声応答サービスなので、基本誰でも盗める。

上記の増田によると、架空請求業者悪用していた模様。

報道を見ると、今回発覚したのは、

流出した電話番号架空請求電話がかかってきたという警察から情報提供で明らかになった

ということらしい。

いつから流出してたの? WHEN

こちらも報道にある情報から察するに、平成16年2月平成27年10月と見られる。

このシステムは先月下旬に改修されましたが、平成16年2月から使われていたため、実際に流出した情報さらに多いおそれがある

セキュリティホール自体がいつからあったか不明だが、システム稼働同当時から不具合だとすれば、約12年ほど放置流出していた可能性がある。

これは銀行内部で当該システムの改修履歴調査しない限り、正確にはわからない。

警察から指摘を受けて1週間で修正したそうなので、調査自体はそう難しくないと思われる。

本題 HOW

そもそも何で出会い系サイト運営者の口座だけ被害にあったの?

出会い系サイト運営者の口座は通帳のない特殊な口座(「照合表口」という口座)であり、

それらの口座の場合に、上記の残高照会ダイヤルから不正情報を抜き取れるというセキュリティホールがあった。

入出金が頻繁にある事業者などは、いちいち通帳に記載するわけにも行かないので、こういう口座を使う。

(通帳の代わりに照合表というのが発行される)

まり、抜き取れる情報出会い系サイト運営者の口座だけではなく、照合表口のものは全部抜き取れたということになる。

ただ、通常は振込名義と金額・日時位しかからないので盗んでも大した価値はない。

しかし、出会い系サイト運営者の口座の場合、振込名義の部分にサイト利用者電話番号入力されていたらしい。

この番号に架空請求業者が凸などして実際の被害が出たとのこと。これも上記の増田を参照いただきたい。

まとめると、「出会い系サイト運営者の口座の情報けが流出したのではなく、流出したものの中で出会い系サイトのもの悪用された」ということ。

実際に流出たかどうかはわからないが、出会い系以外の口座の情報も盗もうと思えば盗める状態だった。

…「被害」を「口座の情報が盗まれ状態にあった」とすれば、照合表口の利用業者全てが被害者と言う事になる。書いてて怖くなった。

で、どういうセキュリティホールで、どうやって漏れたのさ

通帳を発行しない口座では、本来は「残高照会ダイヤル」で「(2)通帳に印字されている最終残高」による認証ができない仕様になっている必要がある。

通帳がないのだから当然のこと。

なのだが、どうも上記の照合表口では最終残高として「ある特定数字」を入力すると、本人と認証されてしまう不備があったらしい。

で、この不備を悪用して「残高照会ダイヤル」を通じて情報が盗まれ

この口座への振込依頼人が依頼人名として電話番号記載していたため、「出会い系サイト利用者電話番号」が漏洩することになった。

本命妄想 なにそのセキュリティホール

ある特定数字

「ある特定数字」とはなんぞや、と言うことだが、架空請求業者が頻繁に使用していた(1日数十回とか?)らしいので、

自動応答サービスで一々入力することを考えると、かなり分かりやす数字若しくは短い数字と思われる。

  • 1234567890
  • 1111111
  • 141421356
  • 31415926

とか。

で、SEやっている人ならピンと来るかもしれないけど、

これって、試験用に開発者が使っていた数字じゃなかろうか。

SEじゃない人向けに解説すると、システム開発者プログラム書いてシステムを作ると、正常に稼働しているか試験します。

  • 正しくない通帳残高を入れたらエラーになるか(誤って照会できてしまわないか)
  • 正しい通帳残高を入れたら正しく照会できるか
  • aの条件の時、正しい通帳残高を入れたら正しく照会できるか
  • bの条件の時、正しい通帳残高を入れたら正しく照会できるか

その際に実際のお客様の番号とかを試験に使うわけにはいかないので、試験用のダミー口座を作ったりします。

ただ、試験パターンが何千何万となってくると開発者億劫になるし、ころころ変わる通帳の最終残高を毎回設定するのが大変なので

「通帳の最終残高認証OK時の試験パターンを楽にこなすために、全部の口座で無条件に残高認証OKの番号を用意しよう」という発想になったのではないかなと。

妄想した流れ
  • 正しい動き

照合表口であるYES暗証番号が合っているかYES→照会OK

                      →NO→照会NG

       →NO→暗証番号or通帳残高が合っているかYES→照会OK

                           →NO→照会NG

  • 今回のケース

                            ↓ここで通帳残高の「ある特定数字

照合表口であるYES暗証番号or通帳残高が合っているかYES→照会OK  情報窃取!

                           →NO→照会NG

       →NO→暗証番号or通帳残高が合っているかYES→照会OK

                           →NO→照会NG

まり、以下の2つの要素が組み合わさって、今回の事件になってしまったのではないだろうか、と妄想してみた。


書いてて思ったが、これ通常の口座でも使えていたら、更にエライ事になってたな。

・・・と、最後妄想まで長かったけど、間違いとか俺はこう思うねとかあれば指摘してもらえると一増田としては嬉しいです。

最後に、担当SE達に合掌。他山の石とさせていただきます。いつ、同じような目に自分が遭うかわからないから

参考URL

ITprohttp://itpro.nikkeibp.co.jp/atcl/news/15/113003910/

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん