  |
はてなキーワード: ソーシャルハッキングとは
みんなもソーシャルハッキングには気をつけような。
準備
餌をまく
実行
以上です。
これで騙される人もいるかもしれないけど、よっぽど魅力的なドメインじゃないとそんな高値にならないので、1件数万円程度かな。リスクとリターンが見合わないかと思います。
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。
個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。
(関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨)
私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさせてください。
サーバーというのは、簡単に言うとシステムを提供しているコンピュータです。
貴方が触っているコンピュータシステムのネットワークの向こう側にいます。この増田も増田のサーバーというのがいて、私たちにサービスを提供してくれています。
しかし、このサーバ、どんなイメージを持っていますか? でっかい黒い冷蔵庫?ちかちか光るロッカー? それともバーチャルのネットワークで画面上に写されるものでしょうか。
サーバーといっても、実4形態ぐらいあるのです。私もチョットワカルぐらいなので間違っていると思いますが、まずは理解する為に簡単に説明させてください。
と言う段階があります。
ニコニコ動画のサービスはどうかというと、色々な情報を得ると、④を使いながら③にする途中で、まだ②が残っている、ということのようですね。
これらの使い分けについてですが、最近は自社でサーバを持っていると自分たちで管理しなければならなかったりして大変なので、できるだけ②から③、できたら④に持っていきたいと言うのが世の中の流れです。それでも②はのこりますが、最小限にしていく方向。
現在は、②のシステムがだけがやられたように、セキュリティ的にも預けた方が望ましいと言われています。
今回も、自社で管理している部分が攻撃されました。特にクレジットカード情報が漏れていないと何度も言われているのは、そこを自社で管理せずに専門業者に任せていたことが大きいわけです。
この流れをまずは頭に入れましょう。
さて、メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるこことはありません。これは何故かと言うと、それぞれを細かくたくさんのシステムや仮想サーバに別けた独立なシステムになっているからです。
さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)で必要な機能が異なるので、部署が異なるのと同じように違う仕組みになっているはずです。ただし、物理的にどこにサーバがあるかなどはあまり関係がありません。
しかし、こうなると小さなサーバがたくさんたくさんあると言う状態になって管理が大変です。
利用者の視点にしても、システムごとにログインするための情報が別々だと非常に使いづらいですよね。会社で部屋ごとに別々の鍵がついていて、じゃらじゃら鍵束を持って歩くような状態は面倒です。
すると、どうするかというと、これらをまとめて管理するシステムというものが作られます。
これを「システム管理ソフト」と「認証システム」といいます。これらが全体に対してユーザ認証や、サーバが正常に動いているかどうかの管理を提供する事で、たくさんのシステムの管理を効率化するのです。
企業の警備室に機能を集約するようなものです。ですが、ここが要になっていて、破られると全ての鍵が流出してしまうということになるわけです。
出てきた情報から見ると、この管理するシステムと認証するシステムがやられたと思われます。
また、その前の前段はVPNと言う仕組み(ネットワークを暗号化して安全に隔離するもの)が攻撃されて破られたのではないかと推測しています。
これは近頃猛威を振るっている攻撃で、業務用で多く使われているVPN装置の脆弱性(弱点)が狙われて、多数の問題が起きています。当然脆弱性を修正したプログラムは適用されていると思いますが、次から次へと新たなセキュリティホールが見つかる状況であり、匿名のアングラネットでは脆弱性情報が取引されているため、訂正版のプログラムが出る前の攻撃情報が用いられた可能性があります。(これをゼロデイ攻撃といいます) あくまでも推測ではありますが。
個々のシステムは独立しています。ですが、こうなってくると、今回はシステム全体が影響を受け、さらにどこまで影響が及んでいるかの分析が困難なレベルだと言われています。
ここまで広範囲に影響するとすると、管理と認証とVPNが攻撃を受けてやられたとみるべきでしょう。
また、ここが破られていると、クラウドシステムにも影響が及ぶケースがあります。
一時期「クラウド」というとストレージの事を言うぐらい、クラウドストレージが当たり前になって、自社運用ファイルサーバは減りました。これは今では危険と認識されているほかに、こちらの方が安く利便性も高いからです。
それ故に、クラウドストレージ、たとえばSharePoint OnlineやGoogleDrive、Boxなど外部のシステムに置くようになっています。
オンプレミスの認証サーバが破られているので、その認証情報を利用してクラウドにアクセスできてしまったものだと思われます。言わば、鍵を集めて保管してあった金庫がやぶられるようなもの。
通常、クラウドシステムはそんなに甘い認証にはなっていません。例えば多要素認証といってスマホなどから追加で認証すると言うような仕組みがあります。貸金庫に入るとき、自称するだけでは入れず、身分証明書とパスワードの両方が必要なうなものです。
また、日本企業なのに突然ロシアからアクセスされたりすると警報をだして遮断する仕組みがあります。
とはいえ、いちいちクラウドにアクセスする度に追加認証をしていると大変で、面倒クサいと言う声が上がりがちです。
そんなときに行われてしまうのは、自社のネットワークからアクセスするときは、認証を甘くすると言う仕組みです。
つまり、ネットワークは安全だという仮定の下においてしまうわけですね。自社の作業着を着ている人なら合い言葉だけで、本人確認なしで出入り自由としてしまうようなものです。
ところが今回は、ここが破られてしまって被害を受けている可能性があります。自社の作業着が盗まれているので、それを着られてしまったので簡単に入れてしまったようなもの。
また、社内システムからデータを窃盗するには、どのシステムが重要かを判断しなければなりませんが、クラウドサービスだと世界共通であるため、一度入られてしまうと慣れ親しんだ様子で好きなようにデータを窃盗されてしまうわけです。
上記のことを踏まえて、KADOKAWAの展開してるサービス自体や、そこに登録しているクレジットカードは「おそらく」大丈夫です。パスワードも「ハッシュ化」という処置を経て通常は記録されていません。
ただ、パスワードを使い回している方は、その事実とは別にそもそも危険です。パスワード変更をおすすめします。さらに、ハッシュ化をされていても、時間をかければ色々な方法でパスワードを抜き出す事も不可能では無いことも忘れずに覚えておきましょう。
しかし、単なるユーザー、お客さんではなく、KADOKAWAと会社として関わってる人や従業員、取引先で色々な書類等出した人は、既に情報が窃盗されていて、そこから今後も追加で情報が出回る可能性があります。
一方で、分かりやすい場所に保存されていたわけではない情報(システムのデータベース上にだけ入っていたものなど)は、センセーショナルな形で流出したりはしないのではないかと予想しています。
犯人が本当に金が理由だとするならば、データを分析するような無駄な事に労力を割かないためです。
腹いせで全てのデータを流して、暇人が解析する可能性はあります。
ありますが、犯人はコストを回収しようとするので、これらの情報を販売しようとします。売り物になる可能性のものをただ単に流したりもしづらいのではないかと思っています。
もちろん、油断はするべきではありませんし、購入者が現れるとすると購入者は具体的な利用目的で購入するため、より深刻な被害に繋がる可能性も残されています。
犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
また、周到にソーシャルハッキング(オレオレ詐欺のようになりすまして情報を搾取するなどの方法)や、このために温存したゼロデイ攻撃(まだ誰も報告していない不具合を利用した攻撃)を駆使され、標的型攻撃(不特定多数ではなく、名指して攻撃すること)をされると、全くの無傷でいられる企業や団体は、恐らく世界中どこにも存在しません。
それは大前提とした上で、敢えて言うならば、どちらかというと、経営判断が大きいと思われます。
ニコニコ系のサービスと、KADOKAWAの業務システムと2つに別けて話しをしましょう。
ニコニコ系のサービスは、現在、クラウドにシステムをリフトアップしている最中だったと思われます。先日のAWS(クラウドサービスの大手企業)の講演会で発表があったようにです。
ですが、この動きは、ニコニコのようにITサービスを専門にする企業としては少し遅めであると言わざるを得ません。
これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます。特殊すぎてそれを受け入れられるクラウドサービスが育つまで待つ必要があったと思われます。
それが可能になったのはようやく最近で、動画配信系はクラウドに揚げて、残りを開発している最中だったわですが、そこを狙われたという状態ですね。
ただ、厳しい見方をするのであれば、その前に、クラウドに移行する前に自社オンプレのセキュリティ対策を行っておくべきだったと思います。結果論ですが。
それをせずに一足飛びでクラウドに移行しようとしたというのだとは思います。確かに一気に行けてしまえば、自社オンプレに施した対策は無駄になります。コストを考えると、私が経営者でもそう言う判断をしたかも知れません。
KADOKAWAの業務システムですが、これはITを専門としない企業であれば、オンプレミス運用(②番)が多く残るのは普通です。
何故かと言うとシステムとは投資と費用なので、一度購入したら4年間は使わないといけないからです。そして自社向けであればそれぐらいのサイクルで動かしても問題はありません。
しかし、それ故に内部的なセキュリテ対策の投資はしておくべきだったと思います。
以上の様にエンジニアのレベルととかは関係ありません。基本的には経営者の経営判断の問題です。エンジニアに責任があるとすれば、経営者に対して問題点を説明し、セキュリティを確保させる事ができなかったと言う所にあるでしょう。
ですが、パソコンのことチョットワカル私として、想像するのです。彼らの立場だったら…自社グループに経験豊富なエンジニアがいて、一足飛びにクラウドへリフトアップができそうなら、既存の自社サービスのセキュリティ変更に投資はしないと思います。
逆に、パソコンに詳しくなく、自社部門だけでは対応が難しく、SIerの支援を受けつつやらなければならないと言うのならば、SIerは固いセキュリティの仕組みを付けるでしょうし、システムごとにSIerが異なることから自然とシステムは分離されていたでしょう。
そして減価償却が終わった者から徐々にになるので時間がかかることから、昨今の事情により、セキュリティ変更に投資をしてからスタートしたかも知れません。
ただし、繰り返しになりますが、犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
(おそらくは)社内のシステム管理を、自社でできるからと言って一本化して弱点を作ってしまったのは不味かったと思います。
先ほど述べたように、高度化していく手口でシステムへの侵入は防ぐことが出来ません。
なので、システムは必ず破られると考えて、それ以上被害を広げないこと、一つのシステムが破られたからと言って他のシステムに波及しないようにすることなどを意識する必要がありました。
これは物理的な話しではなくて、論理的な話です。例えば物理的に集約されていてもちゃんと別けていれば問題ないし、物理的に分散していても理論的に繋がっていたら同じです。
すごく簡単に言えば、管理するグループを何個かに分けておけば、どれか一つが破られても残りは無事だった可能性があります。
とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービスは人員的にも予算的にも全然関係ない感じ
なので踏んだことは全然悪くないのに吊し上げするような行為なので
逆に本当に引っかかった時に隠蔽される恐れがある
「パンパカパーン!あなたは標的型メールを踏みました!残念!HDDは10秒後に削除されます!」
って出てくるとでも思ってるんだろうか
エスカレーション時間を短くすることで早期発見し被害範囲を抑える、みたいに思ってるのかも知れないが
専門部署がソーシャルハッキングを組み合わせて対象部署を攻撃する
みたいなノリで連絡があって、相手側の情報を引き出すような攻撃をしかける
社内規定に則っていれば防げる攻撃だが、「緊急なので」とかの理由を付けて社内規定を破らせようとすればいい
当然ながら事前告知など一切しない
ただ、メール以外のコミュニケーションツールの準備・パスワード管理ツールの導入・定期的な監査などはやっておかないと意味がない
標的型の訓練なんてそれらをやった後の話なのに、基本的なことをやってないところが多すぎる
"なんでこんな10年古いクラッキング情報に無言ブコメがたくさんついてんだろう。 みんなそんなにハッカーになりたいのかね"
https://b.hatena.ne.jp/miz999/20200909#bookmark-4691121887536574818
を見て、ちょっと期待しながらIDに紐づいてるブログを開いたけど
GASに関する実務記事だけで、あーこの人口先だけハッカーな人かーって少し残念だった。
とりあえず、倫理的ハッキング、Ethical HackerはCertified Ethical Hackerっていう認定資格があって
v10まで改定していて比較的歴史もあるから、ハッカーなりたいけど、何から勉強したらわからないって人はそこから手をつけるといいよ。
ハッカー業界のIPA資格だから、どんなに素敵なエンジニアでも基本情報技術者資格を持ってないと信用されないのと一緒だよ。
あ、ソーシャルハッキングも手法として一章割いて紹介されているけど、そこは試験で実践はしないよ。
ハッキングは対象システムの意図しない動作を、意図的に引き起こすバグを見つけることがその第一歩だけど(正確な定義は違うけどー)
それ関連でいえばここ十年で一番驚いたのはsyzkallerっていうファジングツールだね。
「Linuxカーネルのファジングツールsyzkaller / Linux kernel fuzzing tool syzkaller」のNTTデの藤井さんの資料がわかりやすいよ。
https://speakerdeck.com/fujiihda/linux-kernel-fuzzing-tool-syzkaller
300以上あるLinuxのシステムコールを適当に叩いて、システムをクラッシュさせたら、再現用スクリプトを自動的に作成までしてくれる優れものだよ。
Googleの人が作ったらしいけどソースコードは正直異星人か100年先の未来人が降りてきてわざわざ作ってくれた感じがするよ。僕には理解できなかったよ。。。
ついさっき、これは一部の人しか知らないんだけど、という枕詞の話を聞かされた。
残念だが、それはすでに3日前には聞いていた情報だ。
デテールが改変されていたので、汲み上げてから再度別の情報ソースから降りてきたのだろう。
もっともらしい権威者の名前が並べられていたが、情報そのものは信じるに値しないお粗末なものだった。
そういう事自体はよくあることだ。
しかし、危険なのは、その人がこの情報化社会の中において、まだ、自分は情報の源流に近いと信じてしまっていることだ。
周りが知らないことと、その情報が最新であることはイコールにならない。
自分よりも情報の源流で散々に議論され尽くした結果拡散しなかった情報だって、自分の周りには降りてこないのだから。
その人も自分はそんなものには騙されないと豪語するような人だが、うっかり信用できる情報源から流れてきただけで単純に信じてしまうほど危うい人だということがわかった。
ソーシャルハッキングの実に初歩的な手段の一つ。ネームドロップ。覚えておこう。
ネットセキュリティっても、映画みたいなハッキングなんて実際は殆ど無くて、実際はソーシャルハッキングばっか
確かに、ジジババに「パスワード貼るな」「誕生日とかゾロ目にするな」「ワンタイムパスワード」「変なメール開くな」「スタバで画面開きっぱなしにするな」「変な無料WiFiつなぐな」言っても聞かないだろうし、そういう上役から会社のセキュリティ超えられても護られそうだからな
そんな馬鹿は会長でも退職金無しで即クビが可能なら出来そう。でも経団連の会長室でやっとメール使い始めたし、USB知らない大臣居るしな。アイツらまだエロ本で抜いてるの?LINEじゃなくて店に通って口説いてるの?まだ芸者レベル抱いているの?
本当に知能が低いな。「恥ずかしいから」程度の想像力しかないのか。
まずスマホのブラウザ。使ったほぼ全てのネットサービスのパスワードを知ってる。これだけで一回死ねる。
次に各種のSNSがみれる。これと連絡帳の情報を使ったら、私の知り合いに対してソーシャルハッキングのし放題だ。オレオレ詐欺どころじゃない成功率で引っ掛けられるだろう。これで二回死ぬ。
で、普通の人なら、無くした時に備えてクレジットカードの番号と緊急連絡先をメモしてある。パスポート番号とか免許証の写真とかまであるかも。スマホにはアプリをまたいだ全文検索とかあるからすぐみつかる。全IDを作り直しだ。三回死ぬ。
選挙での「白票」を「社会を変える力がある」とミスリードする謎の集団「日本未来ネットワーク」のサイトが突如出現
http://buzzap.jp/news/20141127-mirai-senkyo/
ソースコードにあったJavaScriptの関数名「FirstEntryCookieManageOnUnLoad」はかなり特徴的。
HTMLソースやJavaScriptも検索対象としたサーチエンジンで検索すると、
https://search.nerdydata.com/code/?and_code[]=FirstEntryCookieManageOnUnLoad
https://twitter.com/magonote/status/537618636492390401
偶然にしてはちょっと被りすぎっぽい。
どっちにしても例の小4よりはガードが硬い。
小4サイトでは発火点となった、.com以外のプライバシープロテクションが効かないドメインの同時取得などもしていない。
http://www.apimages.com/metadata/MSIndex/-/62762947/4/0
http://www.shutterstock.com/ja/s/%E9%80%81%E5%88%A5/search.html?page=1
技術的な側面からは裏で指示している組織まではたどれなさそう。
自分の予想では製作者は幸福の科学。でも万が一自民が作ってたら「有権者は寝ていてくれれば」の再来。個人の発言以上に言い訳が効かないはず。
現時点で唯一たどれそうなGMOルートにソーシャルハッキングするとか、いろいろと工夫してくださいね。
あとはサーバのIPから同居しているサイトがどんなのかを洗い出してみようかと思っている。
なんかあれば追記しますが、できればもう少しいろんな側面から調べたいので何か思いついた人は協力お願いします。
こんな有権者を完全になめくさった真似をほっとけるかって話です。
---
追記
http://tobira.sakura.ne.jp/doukyo/203.189.109.62
専鯖ではないみたい。たぶんあまりヒントはないなあ。
---
https://twitter.com/kensonmusic/status/538473167673491457
https://twitter.com/kensonmusic/status/538473574755868673
「昨日のどこかの時点で微妙に書き変えられている」とのこと。与党支持への誘導部分が消えてます。
慌てて馬脚を引っ込めた感じ。
http://anond.hatelabo.jp/20140719101444
pkm 酷いブコメを書くと家まで来てくれるんですか?
2chやTwitterのようにブクマコメントから個人特定可能か?
ブログやTwitterで写真を投稿していたりオフ会に参加するようなユーザーなら特定できる可能性もあるだろうが、それ以外のユーザーはどうか。
・連携するTwitterアカウントのフォロワー精査から実名本垢発見
・地方ローカル情報や仕事関係と思われるブクマをしているのを発見してプロファイリング
・正体を知っていそうな仲良しユーザーに接近してソーシャルハッキング
うーん、どれも難しそうだ。
パスワード管理ソフトを使わずに使いまわさないパスワードの作り方と覚え方。
1:すべてのパスワードで使う基本となる文字列とパスワードの作り方を覚える
2:利用するサービスのドメインとIDごとに基本文字列を加えたパスワードを作る
例
1:基本文字列を「abc12」とする。
2:利用サービスは「はてな」(http://www.hatena.ne.jp)、IDは「anonymous」とする。
3:作り方は「基本文字列+ドメイン下3文字+ID下3文字」と決めて、今回作り出すパスワードは「abc12enaous」となる。
作り方と基本文字列を覚えておけば管理ソフトもいらずにそれなりの強度あるパスワードが作れる。また基本文字列に大文字小文字や記号を加えると強度が増す。
機械的なアタックにはそれなりに強いと思われるが、ソーシャルハッキングのように特定されて攻撃された場合は脆い。
女子中学生を名乗るスパムメールが来て釣られてみるかと会いに行ったら本当に女子中学生だった話。あるいは日本の将来やばい。
ありのまま起こったことを話す。女子中学生を名乗るスパムメールが来て釣られてみるかと会いに行ったら本当に女子中学生だった。何を言っているかわからないと思うけれど、自分でも何が起こったのかよく分からない。とりあえず詳しい経過を書いてみる。
一昨日(9/23)の深夜、一通のスパムメールが来た。簡単に「友達になりませんか?」と。普通ならそこで削除して終わりなのだけれど、他のスパムメールと決定的に違うことがあった。送信者のアドレスが@docomo.ne.jpだったのである。
ほぼ釣りか巧妙なスパムだと思ってスルーしていたけれど、ふと「どちらさまですか」と返信してみるとすぐに「XXX(以下、仮にハルカとする)っていいます。中3です!!」と返事が来た。
99%釣りと思ったけれど、遊んでみるかとメールを続けてみた。全力で釣られるのが紳士の努めである・・・
こういったスパムの場合、考えられるのは次の3つのいずれかだろう。
おそらく 2. だと思われるが、綺麗に釣られることで盛り上がるかなあとそれなりにメールを続けてみた。すると、いろいろ不審な点がでてきて、3. が急浮上してきた。
まず、メールの書き方が拙い。もし釣りであれば、もっと話を膨らませようとしたり、こちらの墓穴を掘ろうとするだろう。自分から、「メル友になりませんか♡」と書いてきたのに、話を膨らませる気がなさそう、「部活はなにやってたの?」と聞くと「卓球をやってました。」と答えるだけ。普通、相手にも同じ質問を返すか、そこでの話をしようとすると思う。あと一部、文脈がない、質問してもそれに答えないこともあったり。マウンテン・ティムがブチギレるレベル。それでも、なんとかメールを返すとちゃんと返事をくれる。返事は早くチャット状態だった。
そしてやたら地名が生々しい。話の流れから愛知県に住んでることがわかったのだけど、そのあと、「いまはヒルズにいます」と言ってきた。六本木ヒルズのことで東京にいるのかと思い聞いてみると、ヒルズXXというローカルなショッピングセンターのことだった。
ここからおそらく、女子中学生かどうかはともかく、かなり本物と言うか素人的ななにかじゃないかという推測が立てられた。
このときは夜神月くんが偽物だろうと思いながらもデスノートを試してみたら本物だったとわかってしまったような心境。だったと思う。
その日の夜、友達と飲みながら話をしていたら、もっとメールしてみようということになって、いろいろ送ってみることにした。その中で、なんでこのアドレスにメールしたの?(どこかで見つけたの?)と質問するとはぐらかされてしまった。そのあとに文脈がわからないまま写メ見せてください☆と来て何人かで写っている写真を「この中のどれかだよ!XXXちゃんの写真も見たいな」と送ってみた。すると自分の送った写真にはなんのコメントもせずに3人で写っているプリクラを送ってきた。幼い、明らかに女子中学生・・・。念のため書いておくと自分はロリコンじゃない、けれどもし相手がこの写真に写っている1人なら、どういう経緯で自分にメールを送ってきたのか、中学生の間でなにが流行っているのか、すこし興味が湧いてきた。
そのあと、その3人で写っている中でどれが私だと思いますかと聞かれて、半ば適当に答えるとんぜか見事に正解、その流れと怖いもの見たさとお酒の勢いで「これは会いに行かないといけないな^^」とキモいメールを送るとむこうもまんざらじゃなさそう、「でも会わないほうがいいですよ」とも言ってきたり、なぜか身長と体重を聞かれたり、そのあとに年齢を聞かれて、話をしているうちに、ほんとに翌日会うことになってしまった。
会う場所は、名古屋駅にしようと連絡するとよくわからない、と来た。それもそうか、と思うと「あの...お母さんがヒルズXXXにしなさいって言ってるんですけど...大丈夫ですか?」と返信。お母さん現る・・・!?
相手のホームグラウンドに行くのは美人局的なリスクもあって恐怖もあったけれど、なんとかなるかと勢いを大事に約束を取り付けて、おやすみとメールをクローズ。
なお、自分の意志だけでなく、一緒に飲んでいた人の後押しとカンパがあったことも書き加えておく。
翌朝、いつもの仕事の時間より早く起きて新幹線に乗る。片道1万円以上、なかなか痛い出費だけど、取材費と割り切る。
ただ、約束の11時のまえ、2時間くらい前からメールをしてみたけれど返事がない。まだ寝ているのか、やはり知らない男の大人に会うのは怖くて切ったのか、と不安になる。ゆったり勉強しようと思っていた休日とお金を遣ってる分、なんとか会わないとと思いつつも会えなくてもそこを観光してその県で仕事をしている先輩とごはんを食べることが出来ればそれでいいかなと思えてくる。
待ち合わせの時間を過ぎても返事がなく、別に連絡をとっていた現地の子に連絡をとってお昼を食べることになり騙されちゃったよと言っていると急にメール「すいません汗汗 お母さんの買い物付き合っててもうすぐ帰るんですけど時間かかりそうです汗汗汗」
お母さん同伴!?
と思いつつ、まあここまで来たしお母さんと話してもよいかなあと(なぜか)思えて、一緒でもよいよと返信してみた。メールを続けるとハルカちゃんはお母さんに自分と会うことになったと言ってしまい、当然反対されたということ、でも抜けて会いにいける、となって会うことに。
わりといそうな、ちょっと日に焼けていて服装もそんな気を遣ってはいなさそうだけど伸ばした髪はちゃんと手入れしてそうな感じの子。顔つきは地味目で、そしてすごい痩せている。
まだ子ども。なんでこんなメールをしてきたのか気になるのでいろいろ話を聞いてみる。
まわりから援助交際を疑われるかも知れないけれど、手をつないだりするわけでないし親戚のお兄さんが遊びに来たように見える、はず。
ただ、これは間違い。あとから分かったのだけど、その田舎のショッピングセンターは地元の人が遊んでばかりで、知っている子もぱらぱらいたそう。知っている人、友だちに知らない大人の男と一緒にいるところを見られてもなんとも思わない、むしろ自慢する風でもあることにふとした空恐ろしさを感じる。
驚くべき内容が多くて衝撃を受けたのだけど、うまく表現できないので箇条書きしてみる。
で、このあとプリ機(プリクラのことらしい)でプリクラ撮って少し話して、ペットショップ見てそろそろさようならとしようかなと思っていた、けれど・・・
高1のお姉さんも、デートするのにはアピタかこのショッピングセンターしかないらしく、遭遇してしまった。
しかも男連れ。彼氏(?)はどうみて40歳くらい。なにが起こっているのかワケガワカラナイヨ。
ただ見た目はちょっと格好悪いおっちゃんだけど話してると地元の景気を憂いていたり、新しいプリ機とかわからないけれど高校生と一緒にいるといろいろ勉強になると語るなど意外とまとも。気まずくてちゃんと話せなかったけれどまた話みたい、かも・・。
お姉さんはモテてる、と聞いた割にそう顔立ちがいいわけでないし、かわいらい格好をしているわけでない、ただ、先ほどのハルカちゃんの話の影響からか色目を使われているような気がしてしんどかった。
そしてフードコートで美味しくない山盛りのフライドポテトを食べてだらだら話をした。さっきまですごくたくさん話してくれたハルカちゃんもお姉さんの前ではあまりしゃべらない。謎の空気が気まずくて話も盛り上がらない。そして4人でプリクラ撮って、自分の気力が萎えて解散。ああ、禍根を残してしまった・・・。
最後はなんかいきなりキスしたりエッチとかはありえないけどキスマくらいなら・・みたいなことを言われて衝撃。けれど正直、文脈も分からないし飽きてきたのでよくわからない。はいはいワロスワロスみたいな感じで聞いてさらっと別れた。たぶん、もう二度と会うことはないだろうな・・・
そうして傷心したまま、名古屋駅で麺や六三六を食べてシルバーウィーク最終日の激混み新幹線で帰宅。
パスワードを忘れたお客様には、新規に発行するのが昔からの伝統だな。
忘れた人に答えられると言うことは、システム側で平文で保存していると言うことをお客様に伝えているので都合が悪い。
逆に、その会社のセキュリティを調べるために真っ先にするのは、パスワードを忘れた振りをして復元するだ。
それで平文が帰ってきた場合、セキュリティがザルだと思って良い。
そもそも、本人を偽られた場合(ソーシャルハッキングをされた場合に)個人情報であるパスワードを教えた責任は、騙されたでは済まない。
教えないで、新規にランダムパスワードを設定すれば十分。にもかかわらず、元のパスワードを教えろと言ってきた場合、それは、犯罪に関わっている可能性が高いと判断して問題ない。
そういう意味では、忘れた場合に自分が設定したパスワードが平文で帰ってくるサービスはセキュリティがザルなので、使い捨てパスワードを設定しない利用者も悪いといえなくも無い。
多角的に考えて、パスワードを忘れたお客様対応も含めて、不必要な平文パスワード保存をしているということは、万が一のことがあった場合に、
お客様のアカウントとパスワードを売ろうと考えている悪徳業者か、銀行などの他のサービスに同一ID・パスワードでハッキングを狙った犯罪業者と言われても、
しょうがないリスクを背負ってまで、平文パスワードにするのは理由が分からない。
