サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法! | ScanNetSecurity
2024.05.08(水)

サーバ管理者、経営者に朗報! 安価で安全な新方法論 サイバーノーガード戦法!

 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。
 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではな

製品・サービス・業界動向 業界動向
facebookLINE
 ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。
 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではないかと思うわけである。


>> 目からうろこが落ちる発想の転換! 個人情報なんか漏れても問題ない!?
このところの動きを見ていると、どうやら世間では

 ・脆弱であることを知っていながら、それを放置してサーバを運営することは問題ではない。
 ・上記に関して刑事責任を問われることもない
 ・損害賠償(民事上の責任)はしなくてもいいし、してもいい。民事で告訴されることはめったにない。

ということになっているらしい。
 今回の事件についてもACCSが脆弱性を放置し、個人情報を漏洩させてしまったことには刑事責任は問われないし、被害者にもなんも保障もしないようである。
 office 氏が個人情報を公開してしまったことは問題であると認識しているが、その一方で脆弱性を放置し個人情報を漏洩にいたった側にも同様の責任があると感じている。
 被害者とっては、どちらも office 氏もACCSも加害者なのである。

 とはいえ、どうもそのようには、世の中は動いていないらしい。
 脆弱性を放置し、問題が発生してもおとがめなしであるなら、放置した方がお得というものである。

個人情報流出はネット公害 当事者意識のない企業と関係官庁(2002.9.2)
https://www.netsecurity.ne.jp/article/1/6487.html

IT政策大綱の正しい読み方 〜多様性廃し経済性優先。
尊い犠牲者大量募集!〜(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7116.html

 以前から、そうじゃないかとは思っていたが、やはりそうだったのである。しかも、今回は、これをさらに発展させて新しい防御メソッドまで登場した。題して「メソッドA」である。


>> 必殺! サイバーノーガード戦法! メソッドA

「利用者のみなさまへ
本サイトはメソッドA サイバーノーガード戦法で運用しております。
本サーバには脆弱性がありますが、それを利用して情報を抜き出した場合、不正アクセス禁止法および威力業務妨害により刑事罰に処せられる可能性があります。当社は、こうしたクラッキング活動に対して徹底して戦い、利用者の方の保護に全力をつくします。」

メソッドAとは要するにこういうことである。

その1 セキュリティへのコストを切り詰めて、脆弱性あってもいいやで安価に開発。サーバ管理者もセキュリティまでわかる人は単価高いので、安いサーバモンキー程度ですませる。予算があったら保険に入っておく。

その2 冒頭の文章=このサイトがメソッドAで運用されていることを掲示する。

その3 脆弱性の指摘があったら「うちはノーガード戦法だから、余計なことをいうな。」とつっぱねる。

その4 脆弱性をついた攻撃あるいは脆弱性の情報公開があったら、相手を不正アクセス法と威力業務妨害で告訴する。今回の事件でわかるように、脆弱性を放置し個人情報を漏洩させても運営者は全くおとがめなしで安全である。これは運営者からすると、訴えたもん勝ちといえる。警察のお墨付きというわけである。

その5 もし、本当に被害が発生したら、迅速にお詫びのメールを被害者に送付する。世間がうるさかったら、商品券でも送る。商品券のコストがセキュリティ投資のコストを上回る可能性はまずないので、これでも損ではない。

 なお、タイトルにある「安全」というのは、運営者が安全という意味で利用者はきわめて危険な状態におかれる。


>> 深く静かに広がるサイバーノーガード戦法 メソッドA

 筆者は寡聞にして知らなかったが、このメソッドAは、かなり広く普及しているらしい。

 そういえば、筆者が脆弱性を通知したサイトの多くもこのメソッドにしたがって「よその人間にセキュリティの問題を指摘されるのは不快である。これ以上いうと訴える」とか「お互いに不幸なことになりますので、ご配慮たまわりたくお願い申し上げます」といったお話しをいただくことも少なくなかった。
 筆者の知らないところでこうした事態が進行し、さらにはロビイスト活動を行ってサーバ管理者が絶対負けない=ノーガードでも安心な状況になっていたとはびっくりである。

 というわけで筆者は、これからノーガード戦法=メソッドAの導入実態と運営ノウハウなどを調査してみたいと思っている。
 読者の方で「ぜひ、うちで実施しているメソッドAを紹介して欲しい」という方は、下記のアドレスまでメールで投稿していただければ幸いである。

投稿アドレス scan@vagabond.co.jp


[ Prisoner Langley ]
https://www.netsecurity.ne.jp/article/10/10589.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  5. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  6. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  7. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  8. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

  9. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  10. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP