年末から、全国各地でGmailアカウントの乗っ取り被害が続出している。
【Gmail乗っ取り事件の概要】
個人のGmailアカウントのIDとパスワードが盗まれる(方法不明)
⇒その人の連絡先あてにスパムメールが送られる
⇒メールの受信者がURLを開くとウイルス感染する
正月早々、会社でも「Gmailからの不審なメールは開かないように」との注意。
さらに・・・
会社の情報部門のW君から電話が入った。
「よよよさん、ちょっとお尋ね、イントラネットでGmail使ってますか?」
『使ってるよ・・・ダメ?』
「ダメとは言わんけど、ちょっと聞きたいんだけど。アカウント乗っ取りがあってて・・・」
『全員メールで来てたから知ってるけど(ドキッ)・・・』
何のことはない。
会社PCで一番いらんことしそうな私に、利用実態を聞きたかったらしい。(ホッ)
今回のGmailアカウント乗っ取り事件を受けて、社内セキュリティのためにGmailなどのWebアプリにアクセスできないように検討しているそうだ。
「親会社では前からアクセス禁止になってるそうなんですよ」
(まぁ、隣の会社でもUSBすら認識できないよう制限してるし)
『安全のために何でも制限するって、どんどん不便になるってことだよ』
そうなのだ、高速道路が危険だからといって、その利便性を捨てるのか?
事件が起きると、絶対の安全性議論になる。
それは「頭の足りない議論」なのである。
「Gmailとかを禁止にして、イントラを外部アクセス可能な仕組みとかできないかと」
『それって、敵に攻撃目標を与えるようなもんだよ、電子証明なんて脆弱だし』
悪意を持った者の行動って、最終目標を破壊することである。
そのため、無差別な攻撃を仕掛けて、それを足掛かりに目標に入り込む情報を得るのだ。
つまり、今のところ数百万人のGmailアカウンターの中からだから、被害者になる確率は極めて低い。
しかし、会社の外部アクセス窓口を作れば、攻撃目標が定まり被害を受けた場合の危険性が飛躍的に高まる。
それを防護するためのセキュリティは極めて厳重にする必要がある。
必然的に使いにくい(使えない)システムになるのだ。
情報保護のセオリーは、研修で豪語してヒンシュクを買った、
『自分の身を守るためには、敵から見て価値のない人間になることだ』
ということに尽きる。
敵に利用価値のない者になること、そう偽装することで、自分の持つ情報が攻撃を受ける可能性をそこいらの人と同様程度に薄めることができる。
重要国家機密は常に狙われるが、田舎のバァさんのPCは意図して狙われることはない。
それでも被害を受けたら、それは交通事故なのである。
「そうですねぇ、被害の可能性が薄まるってことは反論になるかもですね」
(いやいや、頭の固い連中には通じないと思うけど(-"-))
さてさてこの事件、実はとんでもない重大な問題がある。
それは、みんな持っているスマートホン。
Gmailアカウントなんか使ってないよって人でも、アンドロイドスマホを持っている人は絶対にGoogleアカウント(=Gmailアカウント)を持っている。
そして、ほとんどがGoogleアカウントか、もしくは携帯会社から料金の支払が可能となっているのだ。
会社の情報部門は、皆にスマホの危険性について注意してやるのが本当ではなかろうか。
(続く)
【Gmail乗っ取り事件の概要】
個人のGmailアカウントのIDとパスワードが盗まれる(方法不明)
⇒その人の連絡先あてにスパムメールが送られる
⇒メールの受信者がURLを開くとウイルス感染する
正月早々、会社でも「Gmailからの不審なメールは開かないように」との注意。
さらに・・・
会社の情報部門のW君から電話が入った。
「よよよさん、ちょっとお尋ね、イントラネットでGmail使ってますか?」
『使ってるよ・・・ダメ?』
「ダメとは言わんけど、ちょっと聞きたいんだけど。アカウント乗っ取りがあってて・・・」
『全員メールで来てたから知ってるけど(ドキッ)・・・』
何のことはない。
会社PCで一番いらんことしそうな私に、利用実態を聞きたかったらしい。(ホッ)
今回のGmailアカウント乗っ取り事件を受けて、社内セキュリティのためにGmailなどのWebアプリにアクセスできないように検討しているそうだ。
「親会社では前からアクセス禁止になってるそうなんですよ」
(まぁ、隣の会社でもUSBすら認識できないよう制限してるし)
『安全のために何でも制限するって、どんどん不便になるってことだよ』
そうなのだ、高速道路が危険だからといって、その利便性を捨てるのか?
事件が起きると、絶対の安全性議論になる。
それは「頭の足りない議論」なのである。
「Gmailとかを禁止にして、イントラを外部アクセス可能な仕組みとかできないかと」
『それって、敵に攻撃目標を与えるようなもんだよ、電子証明なんて脆弱だし』
悪意を持った者の行動って、最終目標を破壊することである。
そのため、無差別な攻撃を仕掛けて、それを足掛かりに目標に入り込む情報を得るのだ。
つまり、今のところ数百万人のGmailアカウンターの中からだから、被害者になる確率は極めて低い。
しかし、会社の外部アクセス窓口を作れば、攻撃目標が定まり被害を受けた場合の危険性が飛躍的に高まる。
それを防護するためのセキュリティは極めて厳重にする必要がある。
必然的に使いにくい(使えない)システムになるのだ。
情報保護のセオリーは、研修で豪語してヒンシュクを買った、
『自分の身を守るためには、敵から見て価値のない人間になることだ』
ということに尽きる。
敵に利用価値のない者になること、そう偽装することで、自分の持つ情報が攻撃を受ける可能性をそこいらの人と同様程度に薄めることができる。
重要国家機密は常に狙われるが、田舎のバァさんのPCは意図して狙われることはない。
それでも被害を受けたら、それは交通事故なのである。
「そうですねぇ、被害の可能性が薄まるってことは反論になるかもですね」
(いやいや、頭の固い連中には通じないと思うけど(-"-))
さてさてこの事件、実はとんでもない重大な問題がある。
それは、みんな持っているスマートホン。
Gmailアカウントなんか使ってないよって人でも、アンドロイドスマホを持っている人は絶対にGoogleアカウント(=Gmailアカウント)を持っている。
そして、ほとんどがGoogleアカウントか、もしくは携帯会社から料金の支払が可能となっているのだ。
会社の情報部門は、皆にスマホの危険性について注意してやるのが本当ではなかろうか。
(続く)