指摘しても「直す気」がない呆れた現状
昨年末から今年にかけ、「SBI証券」や「楽天証券」など大手証券会社で不正な乗っ取り・株取引が行われるケースが多発し、世間を騒がせている。
オールドメディアはこれに対し、あたかもすべての案件が「フィッシング」(またはマルウェア等)であるかのような一面的で安易な報道をしている。
昨年末から今年にかけ、「SBI証券」や「楽天証券」など大手証券会社で不正な乗っ取り・株取引が行われるケースが多発し、世間を騒がせている。
オールドメディアはこれに対し、あたかもすべての案件が「フィッシング」(またはマルウェア等)であるかのような一面的で安易な報道をしている。
だが個人的には、事態はもっと深刻なんじゃないか? と考えている。
それはネット系サービス各社、またはネット「も」使ったサービスを展開している企業のセキュリティ意識の考えられない甘さにある。
例えば私は(もちろん実名はあげないが)あるネットサービスで致命的なセキュリティ・ホールを発見し、「これはまずい」と電話で当該企業に即、報告した。
で、当該企業の某サービスのセキュリティ仕様の、いったいなぜそれが「危険な状態であるのか?」を、こんこんと説明した。
その上で「あなた、この意味がわかりますよね?」と相手に念押しした。
すると電話の相手は、「ご説明を聞いて理解できました」という。
なので私は、即刻、セキュリティの担当部署(むろん外注なら外注先)にこの案件を上げ、至急、対策を取った方がいいですよ? と何度も念押しして電話を切った。
それはネット系サービス各社、またはネット「も」使ったサービスを展開している企業のセキュリティ意識の考えられない甘さにある。
例えば私は(もちろん実名はあげないが)あるネットサービスで致命的なセキュリティ・ホールを発見し、「これはまずい」と電話で当該企業に即、報告した。
で、当該企業の某サービスのセキュリティ仕様の、いったいなぜそれが「危険な状態であるのか?」を、こんこんと説明した。
その上で「あなた、この意味がわかりますよね?」と相手に念押しした。
すると電話の相手は、「ご説明を聞いて理解できました」という。
なので私は、即刻、セキュリティの担当部署(むろん外注なら外注先)にこの案件を上げ、至急、対策を取った方がいいですよ? と何度も念押しして電話を切った。
なんとセキュリティホールは放置されたままだった
それからかれこれ数ヶ月が経ち、「そういえばあの案件はどうなったかなぁ?」と思って実際に確認してみた。
すると事態は相変わらずだった。
そのセキュリティ的に「あり得ない仕様」は、なんとそのまま放置されている。
しかもその企業には、ほかにも似たような「信じられない仕様」が何ヶ所もあるのだ。
もう呆れてモノが言えない。
おまけにそれを「直す気がない」というのだから、信じられない。
だが恐らくこうしたセキュリティに対する甘い認識は、もちろんこの企業だけじゃないはずだ。
それからかれこれ数ヶ月が経ち、「そういえばあの案件はどうなったかなぁ?」と思って実際に確認してみた。
すると事態は相変わらずだった。
そのセキュリティ的に「あり得ない仕様」は、なんとそのまま放置されている。
しかもその企業には、ほかにも似たような「信じられない仕様」が何ヶ所もあるのだ。
もう呆れてモノが言えない。
おまけにそれを「直す気がない」というのだから、信じられない。
だが恐らくこうしたセキュリティに対する甘い認識は、もちろんこの企業だけじゃないはずだ。
その一方で、そうしたサービスを「攻略する側のスキル」たるや、昔からは考えられないほどアップしている。
想像するだに恐ろしいが……遠からず、ネットに絡むとんでもない社会的な事件が続発する確率はかなり高いんじゃないか?
というか、いままでなぜそれが起こらなかったのか、不思議なくらいだ。
想像するだに恐ろしいが……遠からず、ネットに絡むとんでもない社会的な事件が続発する確率はかなり高いんじゃないか?
というか、いままでなぜそれが起こらなかったのか、不思議なくらいだ。
パスワードは英数記号をランダムに混ぜた12文字以上に
とりあえずネットユーザがいちばん手軽にできるセキュリティ対策は、まずサービスに使うIDとパスワードを複雑にすることだ。
そして同じセットを、他のサービスで使いまわさないことである。
IDといえば「自分のメールアドレスを使うものだ」などと、ひと昔前からなんとなく決まりごとのように思われてきた。
だが、もちろん特にそんな必要はない(その任意のサービスで特にそう指定されてない限り)。
つまりパスワードと同様、IDもできる限り複雑にしてもOKなのだ。
一方、安全なパスワードの要件は、アルファベットの大・小文字と記号、数字の4種類をランダムに「ぐちゃぐちゃ」に混ぜた意味を成さない12文字以上の文字列を使うのがいい。
この条件なら、一説には(現状の解読技術を使う限り)突破するには○億年かかる、などとも言われている。
またメールやスマホ等でサービス側から、その都度、いったん「認証コード」をもらいログインする「二段階認証」も有効だ。
こんなふうにネットせキュリティのピンチには、もはや社会規模で備える必要がある。
ユーザができることは各自やるとして、くれぐれもサービス提供・関係者各位には、しかるべき正確な対応をお願いしたいものだ。
こんなふうにネットせキュリティのピンチには、もはや社会規模で備える必要がある。
ユーザができることは各自やるとして、くれぐれもサービス提供・関係者各位には、しかるべき正確な対応をお願いしたいものだ。