  |
はてなキーワード: セキュリティホールとは
自分はあまりしません、ていうかどう話していいかとかどこまで話すべきかとか色々悩んでしまう
そうして自分のことをあまり話さないのだが、そうなるとやっぱり周りとの距離がそれなりにできてくる
結果としては少しさびしいが、これで良かったのでは?と思うことがある
というのも、プライベートを明かすということは自分の弱点が相手に見えやすくなると考えてしまうから
ただ、相手からはあまり良いイメージは持たれてないと感じるし、実際それによる疎外感は結構精神的に苦しかったりする
少し小出しにプライベート的な内容で最近した買い物の話を同僚に振ってみてんだが、案外楽しかった
話が凄い弾んだわけではないが、「(お、割りといけるやん)」と思い、適当な談話として一定時間成立していたとおもう
しかし後から考えて気づいたのだが、あの時話した内容は自分とあまり中が良くない方(かた)とも口伝されて拡散されてしまっているのではないかと考えてしまった
自分でも自意識過剰だと思うがそう考えてしまったら最後、自分で自分のセキュリティホールを作ってしまったのでないかと怖くなってくる
IT業界は日本社会の縮図となっているんだよ - こうして僕らは腐る
http://www.byosoku100.com/entry/2018/01/13/212749
ITを学んでIT企業に就職して、この国のIT企業はきっとCIAか何かによって弱体化を図られたとしか考えられないと思いました。
自分でロジック組んだり、アルゴリズムを考えたりする仕事をさせてくれている会社もありますが、会社の規模がでかくなればなるほどそういう仕事は下流に任せる感が強い。まずこの構造が弱体化の出発点。
多重下請構造は、製造業日本ならではの伝統、下流=低賃金が根強い。背広を着た人がその伝統文化を売り捌く。文化が短納期、安請け合いを生み、短納期、安請け合いにより、品質が下がり、雇用も安く済まされ、弱いSEしか集まらず、国際競争力はなくなる。この下請け構造文化を持ち込んだのは、他ならぬ製造業文化を固持してきたメーカー系ベンダーのように思えます。メーカー系ベンダーはCIAだからなんだかのスパイ行為に加担したのでしょうか?
実はそんなメーカー系ベンダーにもいたのですが、ぽっと出の強いSEもいます。ところが強さが仇となり、全容を把握している神扱いで一段上に据えられます。そして多忙を極め、ロジックやアルゴリズムをひねり出す知的生産力は、仕様書、指示書と呼ばれるエクセル方眼紙に図形や文書を書き殴る作業力へと変貌します。
指示は全て自社フォーマットの図面に書け!その図面、審査、承認を課長に貰え!え?予算の都合、本部長承認が必要?本部長いつ来るの?1週間後だって!?リスケだ!工数再見積もりだー…これは仕事ですか?それとも茶番ですか?こうして強いSEは弱体化します。強いSEほど自分の置かれた立場や環境に順応しようとする意識が強く、仕事ができる人間になるためにはお上に楯突かず、弱体化を受け入れようと考えます。
エクセルのvlookupを使うために、学生時代に関数型言語を学んだわけじゃないのに…と就職して思うようになったunix文化を学んだ強いSEが、思考停止している情シスによって管理しきれないものは全てセキュリティホールみたいな会社にいたら、「あいつはセキュリティを脅かす不良社員」のレッテルを貼られ、朝から晩までvlookup,vlookup...(いやそのエクセル脆弱性情報とパッチ出ているけど、いやお上のお達しを待て!的な茶番劇)せめてgrep,awk,sedくらい使わせてやれって、残業がなくなってボスも最近社長の思いつきで始めた健康経営者として表彰されるかもしれんよ?思いつきだから明日あるか分からんけど…。いつまでこんな寸劇をやればいいのやら。学んだことは活かせません。茶番寸劇の中心にはやはりこの国のIT業界を弱体化させ国際競争力を低下させるスパイが潜んでいるとしかおもえません。
ここで、IT業界に蔓延る日本の国際競争力をいちぢるしく低下させているスパイの特徴を述べておきます。
スパイの目的である国際競争力の低下にダイレクトにアプローチするスパイ中のスパイです。こいつがいたら即辞めないと国や社会のためにも良くないです。
・「よく分からないものはセキュリティの都合使えません」と思考停止している人
お前はそのツールのコミッターでそのツールの脆弱性を分かってそんな事を言っているのか?と、せめて同僚がツールの有用性を知りつつ使いたいっていうならそれなりのセキュリティ的可用性を示すのが情シスの仕事じゃねーのかと?まぁこの場合スパイなのでそんな調査は死んでもやりませんが…
スパイの常套プロパガンダです。明らかにおかしな言動なのでスパイの中では未熟者なのかもしれません。
そのままでは通用しないけど、出発点であるべき。でなければその空白を埋めるコストをどうしろと?そんな言葉をマジで吐く人間は出発点にすら立たせて貰えていない場合が多い。ただ言葉を吐くスパイは、スパイが故に企業内の立場は上のほうにいるかもしれません。出発点に立っていなかろうが
よく考えてみてください。遵法精神のあるスパイがいると思いますか?そもそもこのスパイが蔓延る構造は日本社会に根深く浸透しているので、法律を取り締まる側もうまく騙されていると考える方が自然です。労基法、下請法、派遣法…機能しないのも当然です。
wordpress最盛期。あの案件もこの案件もWordPressを使って、プラグインましましjqueryましまし脂マシマシな納品が星の数ほど生まれていく。「プラグインが最新バージョンに対応しないので、本体のバージョンアップができません」といってセキュリティホールだらけのwordpressが放置される。アホかと、バカかと。
フロントエンドはhtml,css,javascriptでつくるものだよ。expressをみて「javascriptでバックエンド書くの?気持ち悪い」っていってただろ。それと同じだ。いつまでphpでフロントエンド書くつもりだよ。phpで動的生成し続けるから、いつまでもwp headでwordpressのサイトってバレてアタック受けるんだよ。とりあえずurlの末尾にwp-adminってつけて確認されるんだよ。
分離しろ、分離。wordpressの管理画面が悪いとはいわない。あいつはいいやつだ。けど、wordpressでフロント書く必要はない。wordpressもrest apiだしただろ。更新はwordpressでやって、その情報をapiで取得してきたらいいんだ、それでいい。
wordpressでテーマをつくるのがキャッチだった頃からもう6年はたった。6年前といえば、Windows 7使ってた頃だよ。ヒカリエまだできてない。そんな頃のやり方つかって「これがスタンダードです」とかいってクライアントをだまくらかして楽しいか。さっさと2017年に追いつけよ。
未熟未形成な自我のセキュリティホールが生むただの承認欲求処理。
人間を道具として使用した精神的自慰行為であり人間関係における迷惑行為。
生涯においてつがいと非常に強い紐帯を結ぶことで知られる雁の仲間において、
「つがい」を失った年配の雌の雁が同様の行動をしたことが観察されてるね。
その雌は、相手とまともにつがいを結ぼうとする若い雄と次々と「偽りのつがい」を
結んで取っ替え引っ替えして、あたかも性的なからかいをする妖婦のようだったと
その観察をした動物行動学者は記述している。その雌が最終的にどうなったかが
知りたければ、その学者の本を読むといいよ。
特に、子供の言うことだけは素直に聞いたら負けだと思っている親も多いことだろう。
しかし、よく観察するとその頭にはだいたいセキュリティホールがあり、誰の言うことも聞こうとしないが、
なぜかテレビに出ている特定の個人が言うことだけは何でも信じる、という構造になっている。
たぶん、テレビが普及するまでは、その役割を近所の偉い人やら何やらが担っていて、
ここまで言えばおわかりだろう。そういうサービスを出して欲しい。
内容を予め入力すると、みのもんたがその通りに喋る。これでようやくコミュニケーションが成立するわけだ。
みのもんたは最近身内のアレでおとなしいから、今でしょの人とかミヤネ屋の人とかもいいかもしれない。
とにかく頭の固い人間は度し難い。
http://anond.hatelabo.jp/20161115002441
三鷹国際宿舎は女子フロアの数が少ないので新入生の女子の枠は留学生含め30人程度、かつ留学生から優先的に入れるので(当然だが)、実質日本人女子は十名以下の定員だ。これはいくらなんでも少ない。
昔は三鷹に入れなかった場合は白金が受け入れてくれる場合もあるとあったが多くて4,5名、少ない時は1,2名、しかも留学生から優先される(なお現在白金寮はなくなった)。日本人だと地方出身者と親の年収が低い方からになるので、中近距離住まいの一般家庭の女子学生はほとんど寮に入れなかった。かといって駒場付近は家賃が高くしかも民間の女子寮ですら決して安くない。通学時間が片道2~3時間かかったとしても千葉・茨城・埼玉方面からくる女子は通学定期を買って通学したほうが安い。ところが通学だけで一日4~6時間かけてると正直進振りのレースには入れないし、サークルなんてもってのほか、バイトの余裕すらない。
くわえて地方学生には県人会などの奨学金制度や寮制度があるが千葉埼玉茨城(茨城はあるかな?)群馬神奈川栃木あたりの首都圏ではあまりそういうのが盛んではない。東京都内もしくは神奈川に実家のある富裕層(東大女子の多くを占めると言われている)はそもそも寮に入る必要がないし、親だって二年間の補助を受けるよりマンションを買ってやったほうが税金対策やその後の投資の面でも安上がりなのでそうするだろう(東大女子のマジョリティである富裕層というのはそれくらいのレベルの金持ちが多い)。結局本当にこの補助を必要としているのは、決して少なくない数がいる、授業料免除を受けるほど貧しくはない首都圏郊外に住む親がサラリーマンの一般家庭の東大女子なんだよ(年収が300万を切らないと授業料免除も落とされるので実質貧困家庭よりこれくらいの家庭のほうが家計的に厳しい)。
駒場付近で二階以上の1ルームマンションの家賃は安くても五万程度から、女子学生ならセキュリティ的に六万程度はみておきたいところだ。三万円の補助があれば定期代の三万+補助でちょうどそれくらいの物件が借りられる。当事者には大変にありがたいと思う。
ちなみに二年間だけなのは本郷に進学する学生が多いからだと思われる(逆にいえば最初の二年は必ず駒場に通わねばならない)。本郷では本郷の学生課があるのでそちらでなにかやるんでは?
自分は一年の時から本郷周辺に住んでいたが、あのあたりは下町なのでギリギリ3~4万くらいのぼろい女子専用アパートがある。一階に大家が住んでいるという形態のやつ。そういうとこにはたいてい院生が入っていて学部の時から借りてるとだいぶ苦労人の扱いをうけた。北区の方へ行けば家賃も下がるし、千葉・茨城・埼玉あたりからなら自宅から通うという選択肢もある距離だ。その後四年時は柏の葉キャンパスへいく学生もいるので一律補助みたいなやり方はやりにくいのだろう。ちなみに男子の場合は豊島の寮の定員が多いので中近距離でも豊島寮に入れる(追分などは老朽化でなくなった→追分は国際宿舎になったそうです。豊島と追分の国際宿舎は毎年各十名程度女子が入れるようだがやはり少なすぎ)
さらにいえば、首都圏郊外出身者の東大女子が応募できる奨学金(給付・貸与どちらも)が非常に少ないのも問題だ。特に理系の場合は対象が男子のみとなっている場合も多く、女子というだけで奨学金の応募資格がない。特に企業のだしてる奨学金は青田買いの意味合いが強く、そのせいで女子は敬遠される傾向がある。なんとか取れるのが日本学生支援機構の二種くらい。一種ももらいやすいが、学生補助の対象外になるとバイトにかけなきゃならない時間が段違いにふえるし、バイトをしなくてもいい富裕層の子女や留学生にくらべ勉強の時間が削られるので成績上位者にはなりにくいという事情がある。男子しか応募できない奨学金制度は是正するなどの処置をとってほしい。
個人的にはそこらへんの事情をかんがみて後輩に進学の相談をされた場合はお茶の水女子大を推薦しているくらいだ。東大は入るだけなら楽、でも卒業するのは大変。普通に卒業するのも結構大変なのに、理一なら進振りが大変だし進振り後専門課程に進んでからの授業はもっと大変だし、それをこなしつつ生活費を稼いで卒業するのは正直言って困難だ。理系の東大女子の修士進学率が低いのはこの大変さをさらに二年経験するよりは就職したほうが楽だからだろう。博士過程まで進学すれば授業料が免除になるし、東大は学振をとりやすいのでかなり楽になるが。
借り上げの女子寮にしないのはやはりセキュリティの問題だと思いますよ。この建物は女子東大生がすんでいる借り上げ寮となるとそれを狙ってくる変質者が必ず来ますから。白金でも配達員を装って変質者が入り込んだことがあるみたいなことを白金にすんでた人から聞いたことがあるし、御茶ノ水の女子寮もそのあたりを常に警戒していました。女子寮はどこもそういう問題を抱えています。特に一棟全員女子となると誰か一人でもセキュリティホールがいると同じ棟にすむ別の誰かが被害者になる可能性もあるので、一箇所集中で変質者の注意を引きつけるより、大学が紹介できる物件が複数ある方がリスク分散になるのでは。
また、自分は修士までいって計十二回授業料免除の申請をしましたが、東大の授業料免除は基本的に親の収入を評価ベースとし、一定値を引いたのち、各家庭の状況に応じて値を引いていって、最終的にゼロになったら免除がおりるという仕組みになっています。世帯収入が二百万ちょっとだと一定値を引いた段階で値がマイナスになるので必ず免除に、三百万くらいだと一定値をひいてさらに本人が下宿をしている場合の値を引くとだいたいゼロになるので免除がおります。それより上だと、兄弟が高校生もしくは大学生で下宿をしていたり、誰かが入院していたり、おじいさんの介護が必要だったりするとより免除がもらえやすくなります。ただし、同じように高校生の兄弟がいる場合も通っている学校が私立のほうが引かれる値が大きいので、「お金がないので公立に」というほんとうの意味であまり裕福でない家庭には不利な計算になります。これでだいたい400~800万(兄弟の人数にもよりますが)くらいの世帯収入の家庭で免除をもらえる家庭とそうでない家庭に別れるます。ちなみに地元が被災したなどとなると親の年収にかかわらず次の期に授業料免除になります。
自分は修士一年の冬に父親のガンがみつかり、春頃から休職をしていましたが、世帯収入の判断は源泉徴収票で行われるため、卒業まで免除が受けられませんでした。翌年、妹は授業料が免除され寮にも入れましたが、基本的に家庭の収入が激減した場合は一年耐える必要があります。もらい火事で家がなくなった、とか急に介護が必要になって母親が仕事をやめた、父親がリストラや減給されたなどして世帯収入が激減すると、もともと厳しい状況が更に困難な状況になると経済的な理由による休学もやむをえない、現代日本とは思えないような状況になるわけです。このような場合にせめて住居という名目とはいえ三万円が次の期からもらえれば、当事者には大変にありがたいです。またその場合は女子寮よりも現在住んでいる場所そのままで援助してもらえるほうが引越し費用などをすこしでも節約できるので制度として活用しやすいかと思い明日。
東大が年収で区分を設けなかったのは、こういうふうに400~800万ゾーンのもっとも免除がもらいにくく、かつ本当は低所得世帯や留学生よりも補助を必要としている学生を援助するためと思われます。本来なら男子学生もこのような処置があるといいとは思いますが、前述の通り男子は寮に入れる余地が多少なりともありますから、短期的にあいている寮に押し込むことで解決しているのかもしれません(女子の場合その余地もない(なお昔は博士課程で学振をもらってる学生が独立世帯であるとして申請すると、収入が低すぎて独立世帯なわけがないと落とされていたらしい(文科省はもっと金を出せ
あと奨学金の応募資格の件ですが、有名私立高校のOBがやっている女子のみ対象の奨学金もあったりしますので一概に「男子のみだからだめ!」と大学が言うわけには行かないのだろうなと思います。アメリカだと「○月生まれのための奨学金」みたいなのがありますが、それに該当しない月のひとが「差別だ!」と言うのはちょっと変ですよね。問題なのは、定期的に企業の研修へいくとか、卒業後は入社するように縛りをもうけている男子のみ対象の奨学金のようなあきらかな青田買いの奨学金だと思います。でもまぁそれも強くは言えない(そういう方針だと言われてしまえば大学は口を出せない)のでなかから改革するほかないのだと思います。こちらとしてできるのはそういった企業に就職しないとか、商品を買わないとかそういうことになりますが。
なお自分が学部生で奨学金をあさっていたのは就活がバブルなみによくなった2006~2008年より前で企業がかなり学生に対して強気だった時期なので今はちょっと違っているかもしれません。
後奨学金でいえば併願不可のくせに一万ポッキリ給与とかいう奨学金を出している団体は一体何なんだろうかと当時は思ったりしていました…なんなんだろうな、あれ。
たびたび記事やら何やらで語っている事と違うし。政治家の道義的責任を追及してきた人が他人には厳しいのに、自分には甘いという印象はぬぐえない。
日本の法律上の扱いがどうだろうと、台湾側の手続きに除籍があるのならしておくべきだったし、出来ないのなら「○年○月○日に試みたが出来なかった」と最初からブレずに答えるべきだった。
日本の政治家としてやっていくためには、かなりしくじったと思う。
これは法律のセキュリティホールに近い。二重国籍を日本の法律が認めていないのは解るけど、外国籍を持ちながら何らかの手段で日本国籍を取れば選挙にも出られるし、何かの理由で日本にいられなくなったら、外国籍を生かしてそちらに逃げるとか可能になってしまう。
X-Content-Type-Options: nosniff
っていうレスポンスヘッダを付けよう!って言われているよね
http://anond.hatelabo.jp/20151201162600
上の増田を読んでて、SEやっている人間としては気になったので妄想してみる。
出会い系サイトに銀行振り込みした人の電話番号・振込日時・金額。詳細は上記の増田参照。
ここの口座の入出金明細の中に、出会い系サイト利用者から業者への振り込み履歴があり、そこに利用者の電話番号が記載されていた。
つまり、盗まれたのは出会い系サイトの顧客情報(出会い系サイト利用者の個人情報)で、
被害にあったのは出会い系サイト運営者の口座ということになる。
口座番号とかを入力して、残高や入出金明細を音声で照会できるという、いわゆる音声自動応答サービス。
使用する際は本人認証が必要になるが、以下のいずれかが求められる。
どちらかが正しければ本人と確認され、入出金明細が自動音声で読み上げられる。
今回、この「残高照会ダイヤル」にセキュリティホールがあり、それを悪用されて情報が流出してしまった。
…「今回」というより、つい先日まで流出し続けていた、という表現のほうが正しいかも。
銀行の提供している音声応答サービスなので、基本誰でも盗める。
報道を見ると、今回発覚したのは、
ということらしい。
こちらも報道にある情報から察するに、平成16年2月〜平成27年10月と見られる。
このシステムは先月下旬に改修されましたが、平成16年2月から使われていたため、実際に流出した情報はさらに多いおそれがある
セキュリティホール自体がいつからあったかは不明だが、システム稼働同当時からの不具合だとすれば、約12年ほど放置・流出していた可能性がある。
これは銀行内部で当該システムの改修履歴を調査しない限り、正確にはわからない。
警察から指摘を受けて1週間で修正したそうなので、調査自体はそう難しくないと思われる。
出会い系サイト運営者の口座は通帳のない特殊な口座(「照合表口」という口座)であり、
それらの口座の場合に、上記の残高照会ダイヤルから不正に情報を抜き取れるというセキュリティホールがあった。
入出金が頻繁にある事業者などは、いちいち通帳に記載するわけにも行かないので、こういう口座を使う。
(通帳の代わりに照合表というのが発行される)
つまり、抜き取れる情報は出会い系サイト運営者の口座だけではなく、照合表口のものは全部抜き取れたということになる。
ただ、通常は振込名義と金額・日時位しかわからないので盗んでも大した価値はない。
しかし、出会い系サイト運営者の口座の場合、振込名義の部分にサイト利用者の電話番号が入力されていたらしい。
この番号に架空請求業者が凸などして実際の被害が出たとのこと。これも上記の増田を参照いただきたい。
まとめると、「出会い系サイト運営者の口座の情報だけが流出したのではなく、流出したものの中で出会い系サイトのものが悪用された」ということ。
実際に流出したかどうかはわからないが、出会い系以外の口座の情報も盗もうと思えば盗める状態だった。
…「被害」を「口座の情報が盗まれる状態にあった」とすれば、照合表口の利用業者全てが被害者と言う事になる。書いてて怖くなった。
通帳を発行しない口座では、本来は「残高照会ダイヤル」で「(2)通帳に印字されている最終残高」による認証ができない仕様になっている必要がある。
通帳がないのだから当然のこと。
なのだが、どうも上記の照合表口では最終残高として「ある特定の数字」を入力すると、本人と認証されてしまう不備があったらしい。
で、この不備を悪用して「残高照会ダイヤル」を通じて情報が盗まれ、
この口座への振込依頼人が依頼人名として電話番号を記載していたため、「出会い系サイト利用者の電話番号」が漏洩することになった。
「ある特定の数字」とはなんぞや、と言うことだが、架空請求業者が頻繁に使用していた(1日数十回とか?)らしいので、
自動応答サービスで一々入力することを考えると、かなり分かりやすい数字、若しくは短い数字と思われる。
とか。
で、SEやっている人ならピンと来るかもしれないけど、
SEじゃない人向けに解説すると、システムの開発者はプログラム書いてシステムを作ると、正常に稼働しているか試験をします。
その際に実際のお客様の番号とかを試験に使うわけにはいかないので、試験用のダミー口座を作ったりします。
ただ、試験パターンが何千何万となってくると開発者も億劫になるし、ころころ変わる通帳の最終残高を毎回設定するのが大変なので
「通帳の最終残高認証OK時の試験パターンを楽にこなすために、全部の口座で無条件に残高認証OKの番号を用意しよう」という発想になったのではないかなと。
照合表口である→YES→暗証番号が合っているか→YES→照会OK
→NO→照会NG
→NO→暗証番号or通帳残高が合っているか→YES→照会OK
→NO→照会NG
照合表口である→YES→暗証番号or通帳残高が合っているか→YES→照会OK 情報窃取!
→NO→照会NG
→NO→暗証番号or通帳残高が合っているか→YES→照会OK
→NO→照会NG
つまり、以下の2つの要素が組み合わさって、今回の事件になってしまったのではないだろうか、と妄想してみた。
書いてて思ったが、これ通常の口座でも使えていたら、更にエライ事になってたな。
・・・と、最後の妄想まで長かったけど、間違いとか俺はこう思うねとかあれば指摘してもらえると一増田としては嬉しいです。
最後に、担当のSE達に合掌。他山の石とさせていただきます。いつ、同じような目に自分が遭うかわからないから…
出会い系サイト運営者と繋がりのある方より直接話を聞くことができました。
文才がないながらも出来るだけ当事者側からの目線で解説したいと思います。
先に言いますが、本件は出会い系サイト自身が被害者でもありますので、「出会い系サイトなんて全部サクラサイトだろ?」みたいな先入観をお持ちの方は一旦捨てて頂くと理解しやすいかと思います。真っ当に運営されている出会い系サイトが被害者です。
「残高照会ダイヤル」は、契約者が持つ口座の残高や、通帳に「印字されうる」取引明細も音声で知ることができます。例えば
もちろん契約者(契約団体)自身しかアクセスできないはずの情報なわけですが、この残高照会ダイヤルの操作において恐らくセキュリティホールがあり、かなり長い間第三者が通帳情報を知ることができていました。
振込をするときの「振込人名義」は、たいてい「フグタマスオ」のような人名か「カ)ウミヤマショウジ」のような社名です。ということは、通帳情報から漏れうるのは「誰が、どの口座に、何円振り込んだ」という情報になるはずです。
では、この流出した通帳情報だけを使って架空請求できるのかと言われても、恐らく何もできないはずです。
よほどレアな氏名でもない限り、氏名だけを悪用するのは難しいです。どこに住んでる人かも分からないですので。
「振込人名義」を知ったところで、本人と連絡の取りようがない。ここが重要です。
この答えは最後にまとめますが、出会い系サイトでは、会員に対して「周りに秘密で、匿名で使える」ことをアピールするため「銀行振込をするときは名前の代わりに電話番号を入力すれば、それで照合しますよ」という案内をして利用料を支払わせる方法をとる場合が多いです。
「氏名の代わりに電話番号を書かせる」を実際にやると、通帳の情報はこうなります。
:
「27-11-27 振込 090xxxx3634 *10,000」
「27-11-30 振込 090xxxx2005 *30,000」
「27-11-30 振込 090xxxx3634 *10,000」
「27-11-30 振込 080xxxx2309 * 5,000」
:
「出会い系サイトにお金を払った人の入金履歴と電話番号」です。
同一人物が複数回振り込むことのほうが多いため、ユニークでは数千人であろうと推測します。これはスマホの重課金者の比率と大体同じと思って頂いていいかと思います。
上記のリストが「出会い系サイトの運営者ですらない第三者」に漏れました。
架空請求の被害者の話からすると、通帳の情報は恐らくかなり高い頻度で(1日に数十回以上)チェックされていたのではないかと思います。
:
「27-11-27 振込 090xxxx3634 *10,000」
「27-11-30 振込 090xxxx2005 *30,000」
「27-11-30 振込 090xxxx3634 *10,000」
「27-11-30 振込 080xxxx2309 * 5,000」
:
大事なのは「リアルタイム(新鮮)なデータを入手できていた可能性が高い」ということです。振り込め詐欺師であれば、この情報を使って巧みに話すことができます。
実際にあった架空請求の電話内容を教えてもらいましたので、以下に示します。
もしもし、ありがとうございます、出会いサイトのセンターの者ですが、つい先ほどご入金頂きました件です、ええ、今ちょっとだけお時間よろしいでしょうか。
お客様の携帯番号は090-xxxx-3634でお間違えなかったでしょうか。
お客様、11/27と11/30にそれぞれ1万円ずつ入金頂いておりますよね、ありがとうございます。
ただですね、入会金が未払いのままなんです。
入会金をお支払いただかないとせっかくご購入頂いたポイントがもうすぐ使えなくなっちゃうんですよ。
システムの都合でお客様に正しく伝わってないかもしれません、ご存じなかったとしたら申し訳ございません。
弊社のシステムはちゃんとした出会いを保証しておりまして、入会金5万円頂戴しているんですね。
序盤でパーソナルな内容を吹き込まれています。ほんの数時間~数日前の振込を知っているわけで、これはうっかり信用しちゃうのではないでしょうか。
振り込め詐欺師にとって、最低限、詐欺を行うために必要なデータは、以下の3パターンです。
以下のどれかを入手できれば振り込め詐欺師は詐欺を試すことができます。振り込め詐欺師にとって、氏名なんて全くいらないようです。
今回はここに「入金履歴」という非常にパーソナルな情報がセットで漏れました。素晴らしいデータです。出会い系サイトにお金を払う勇気のある人リストです。
これ一般企業でも、取引履歴の主キーに電話番号を使うようなリストを使ってる会社は超ヤバいですよね。
また、振込人名義に電話番号を書かせるシステムを採用しているECサイトなどは、出会い系サイトに限らず今回のようなセキュリティリスクを負うことになります。
情報源の方は2010年前後に出会い系サイトの運営を実際に行っていました。今回のような被害を2011年に受け、ネット上で「あのサイトは入会金の後払い請求をしてくる」と悪評が一気に広がってしまい、開設から1年半で閉鎖することになりました。
当時「振込履歴が流出してるらしいが、どこから流出しているかが分からない。出会い系システムのせいか?ショルダーハックか?」と騒動になったそうです。流出源として社員全員に疑いを掛けられ、社内の風通しも悪くなり、企業の対外関係にまで悪影響があったそうです。
運営者も指をくわえて眺めているわけではなく、色々な情報漏洩対策を検討しました。そんな中、
「架空請求被害を受けている人は銀行振込の経験者だけで、クレジットカード払いの人には架空請求が行われていないらしい。出会い系サイト自体がクラッキングされてるとしたら、カード払いの人にも架空請求するはずだ。なぜだろう。じゃあ試しに、出会い系に登録していない電話番号でわざと\3,000口座に振込んでみるか?」
という所に気付いた社員が現れました。
この条件で振込をしたところ、その20分後、実際にその番号に架空請求が来ました。
「システムがクラッキングされてるわけではなく、通帳の情報だけが漏洩しているぞ!」という所まで、なんとかこの企業は特定したのです。
あとは通帳の情報がどう漏洩したかのルートです。これが結局最後まで特定できませんでした。
最初は「無通帳口座であったとしても、国内の誰かが通帳を持っていて、定期的に記帳しているのではないか?」と銀行を疑いました。
しかし銀行からは「無通帳口座なのでどこかのATMで印字したログ的なものは一切ない」と一蹴され、この筋は無いということになりました。
いずれにしても運営者は電話番号を振込人名義にするのをやめ、代わりに「振込む時は、あなたの会員IDを入力して下さい」などとし、IDの照合でポイントなどを購入させるようにシステムを改善しました。これにより架空請求の新たな発生がゼロになったようです。
架空請求がゼロになったことで、この企業は銀行に対するこれ以上の追及をしませんでした。
惜しかったのは「三菱東京UFJの口座だけが被害を受けている」という所まで突き詰めることができなかったことです。
新たな架空請求の発生を止めることはできても、すでに会員の信頼を失いきってしまった出会い系サイトの被害は甚大でした。
しかし、この運営者側から警察に被害届が出されることはありませんでした。
出会い系サイトだから、あまり警察のお世話になりたくない。そういう気持ちが働いたのではないかと思います。
振り込め詐欺師は、この微妙な所を逆手に取ったのではないかと推測します。
攻撃しても表沙汰にならなそうで都合のいい出会い系サイト口座だけを、意図的に狙ったのではないかと思うのです。
銀行の不祥事なのに、出会い系サイトとセットで語らないといけない根本的な理由はおそらくこのあたりですし、これが「残高照会ダイヤル」の不具合を長いこと放置することになった最大の要因ではないかと思います。
http://www3.nhk.or.jp/news/html/20151130/k10010324671000.html
http://www.goodbyebluethursday.com/entry/2015/11/11/184513
もしも自分の子供が「就職せずに自分の夢を追いかけたい」と言ってきたら、あなたはどうしますか?
私はこの人に近い考えだと思うのだが、
今その時にやりたいことをやらせてあげるのが子供の幸せに繋がるとは限らない。
うちの子は本が好きだ。できることなら好きなだけ本を読ませてあげたいが、
放っておけば食事や身の回りの事をそっちのけで没頭する。
やむなく本を読むのは基本的な生活を逸脱しない範囲に規制せざるをえない。
食事が偏れば体調を崩す。歯を磨かなければ虫歯になる。
パッチを当てる役目は親や周りの大人たちの役割ではないだろうか?
歩きながら本を読んで車にはねられてからでは取り返しがつかない。
成人しているのなら、
というか言われるまでもなく好きにするだろう。
かつての自分がそうであったように。
その夢が自身や周りの人々の心と身体と金銭に対して脆弱性を持っているなら、
きっと私は黙って見過ごすことは出来ないだろう。
出来る限りは手や口を出さずに見守るだけに留めたい。
幸せに暮らして欲しいと願うが、子がそれに応えて幸せに暮らす義務は無い。
あと十数年、彼女達が大人になるまでに子離れできるだろうか。
どこかでこの話をぶちまけようと思っていろいろ考えたが、はてな匿名ダイアリーにて。
このアカウント、メルアドともに一時期に取得したものであり今後の利用はない言いっぱなしのものである。
セキュリティホールメモさん http://www.st.ryukoku.ac.jp/~kjm/security/memo/2015/08.html#20150806__LINE の記事とコメント(「電話番号…は…パスワードと同じくらい他人に教えてはいけない重要な情報」。LINE のくせにそう言っちゃうんだ。へー。 )
2015/08/04のLINE公式ブログにある内容は利用者の電話帳から電話番号やメルアドなどの個人情報を取得し、照会も訂正も削除も応じない運営方針と矛盾があると思われる。
Web魚拓)http://megalodon.jp/2015-0809-1212-52/official-blog.line.me/ja/archives/39021529.html
以前より様々なところで話題になっていたようにLINEは電話帳とメールアドレスだけでは個人情報になり得ない為に法に縛られずに管理運用できると言うふざけた解釈をしている。
例)http://security.srad.jp/comments.pl?sid=627575&cid=2571985
LINEを使っていない自分からすればLINE社は他人であり、友人や知人の電話帳からもたらされたであろう自分の電話番号やメルアドがおそらく存在するのですぐに破棄するよう問い合わせフォームから連絡。
以下引用。
LINEおよび関連サービスをご利用いただきありがとうございます。
お問い合わせの件についてご案内いたします。
ご指摘いただいた、http://official-blog.line.me/ja/archives/39021529.htmlの記載が誤解を招く表現となっており、申し訳ありませんでした。
上記記事では、法的な定義ではなく、あくまでも一般のお客さまに分かりやすく注意喚起をすることを目的に記載されたものとなります。
電話番号・ キャリアメールアドレスが、それのみでは「保有個人データ」(個人情報保護法25条、26条)に該当しないという方針を変更したものではありません。
以上から、弊社では電話番号・キャリアメールアドレスの取得状況の確認・編集・削除のご要望にはお応えしておりません。
ご不快な思いをさせてしまい恐縮ですが、弊社では、法律を順守し、収集した情報は適切な取り扱いを行っております。
収集する範囲や取り扱いについての詳細は、プライバシーポリシーに記載しておりますのでご参照いただければ幸いです。
http://terms.line.me/line_rules/
ご案内は以上となります。
いったん手に入れた個人情報は絶対に手放さず最大限利用するのがLINE。
