第13回 まっちゃ445勉強会 - まっちゃ445
今回も適宜更新いたします。
「Session 1:ライトニングトークセッション」
(LT1:JailBreakMeの悪用事例(totoroさん))
今回は珍しく「フルオフレコ」じゃない、totoroさんのセッション。
JailBreakMe(JBM)についての詳しい事は割愛するとして……
JBMの本体は「wad.bin」、この中身を入れ替える事で好きな環境を構築可能。
と言うか、よくウイルス出ないですよね、ホント。
(悪用例)
・Cydia(非公式アプリのインストーラ)をインストールしない
(仕込み方)
・SSIDを偽装した無線LAN的な何か(認証部に仕込んでID・Passも頂く)
・Honey Wirelessを用いる(ここでSafariをクラッシュさせる)
・wad.binを仕込む
(具体的な手法)
・定期的に外部サーバにアクセス
・特定プロセスに対してあれやこれや
(適用方法)
・行動監視とか(以下検閲により削除)
(そのほかの効能)
・条件さえクリアすれば、メールを表示しただけでもJBできるケースアリ
・iOSに仕込まれた全てのデータ(メール、写真、電話の会話内容など)がダダ漏れになると想定
・しかも殆ど気づかれない
(JBM以外では?)
・JBM以外でも実行可能
・利用者が意図しない状況で仕込まれている危険性
・利用者はそもそもリスクに気づいているか?→殆どの人はまず理解していないでしょうね
……で、デモ用の現物が回ってきたので見てみましたが……iPhoneの操作画面がそのままプレゼンの画面に表示されている!!
お、恐ろしすぎる……。
(LT2:フロッピー証拠改ざん事件から 見えたこと(Oroさん))
(一部オフレコアリ)
先日無罪が確定した某事件の中で発生した「FD改ざん事件」をテーマにした話。
……何というか、証拠の「原本」の扱いの杜撰さが何とも。orz
(以下、ヤバげな話が多いので割愛。)
「Session 2:『情報セキュリティマネジメントとモチベーションOSの相性を探る(仮)』 情報セキュリティ大学院大学客員研究員 miryuさん (twitter ID: @miryu )」
インシデント発生要因→「設備的な不備」の他に「モチベーション」もある
モチベーションとは「自ら何かしよう!と思う事」
内部犯罪のトリガーは「個人の資質」「企業風土」と「動機の形成」の3つの要素によって構成されている。
とは言え、ここまで行くと「犯罪心理学」なので、深追いするには辛すぎる……。
もう1つのインシデント→「ミス」、実は内部犯罪の半分以上はコレが原因
意図的な内部反抗はどう防ぐのか?、人的ミスをどう防ぐのか?
業務を持って帰る問題→従業員が自ら行動しているので、内部犯行(意図的な内部不正)と捕らえる
セキュリティって「めんどくさい」(給料は増えないし、生産性もやる気も下がる)……でもやってもらわないといけないのが事務局
モチベーションが下がる→「モラル低下」「集中力低下」「作業効率低下」「ミス発生が増加」
上げられれば重大インシデントは防げるのでは?
モチベーションマネジメントとは?
・マズローの要求階層理論→肝は要求は上がると下がらない
・アダルファのERG理論
・ハーズバーグの二要因説
・マクレランドの達成動機説
モチベーションOS(ダニエル・ピンク)
・OS1.0→生存を目的
・OS2.0→与えられた動機付け(飴と鞭)
・OS3.0→自分の内面から湧き出る「やる気」、「自律性」「マスタリー(熟達)」「目的」
(注意点!!)
・OS3.0が有効な環境では、OS2.0が有効に機能しない
・OS2.0が有効な環境では、OS3.0が有効に機能しない
つまりOS2.0とOS3.0は全くの別物と考える必要がある(ちなみにOS1.0は2.0/3.0の下位互換である)。
ならOSをアップグレードすればいいのか?
・後発のOSは先発のOSを駆逐するべきか?→そうではない、環境によっては使い分けるべき
業務におけるミスを防ぐには?
意図的に起こす事はない(意図的なのは内部犯行)
システム化による防止→有効だがコストが大きい
教育、啓発による抑止→コストは低いがモチベーションは下がるし効果は???
ハイブリッドOSなのか?→実はバージョンアップした方が良いのか?
リスク対応計画の策定~運用~管理を同じ人がやる方が良いのではないか?
「Session 3:ディスカッション 実際のイシンデント事例に基づく事例考察」
ディスカッション内容はオフレコなので、割愛。
今回も適宜更新いたします。
「Session 1:ライトニングトークセッション」
(LT1:JailBreakMeの悪用事例(totoroさん))
今回は珍しく「フルオフレコ」じゃない、totoroさんのセッション。
JailBreakMe(JBM)についての詳しい事は割愛するとして……
JBMの本体は「wad.bin」、この中身を入れ替える事で好きな環境を構築可能。
と言うか、よくウイルス出ないですよね、ホント。
(悪用例)
・Cydia(非公式アプリのインストーラ)をインストールしない
(仕込み方)
・SSIDを偽装した無線LAN的な何か(認証部に仕込んでID・Passも頂く)
・Honey Wirelessを用いる(ここでSafariをクラッシュさせる)
・wad.binを仕込む
(具体的な手法)
・定期的に外部サーバにアクセス
・特定プロセスに対してあれやこれや
(適用方法)
・行動監視とか(以下検閲により削除)
(そのほかの効能)
・条件さえクリアすれば、メールを表示しただけでもJBできるケースアリ
・iOSに仕込まれた全てのデータ(メール、写真、電話の会話内容など)がダダ漏れになると想定
・しかも殆ど気づかれない
(JBM以外では?)
・JBM以外でも実行可能
・利用者が意図しない状況で仕込まれている危険性
・利用者はそもそもリスクに気づいているか?→殆どの人はまず理解していないでしょうね
……で、デモ用の現物が回ってきたので見てみましたが……iPhoneの操作画面がそのままプレゼンの画面に表示されている!!
お、恐ろしすぎる……。
(LT2:フロッピー証拠改ざん事件から 見えたこと(Oroさん))
(一部オフレコアリ)
先日無罪が確定した某事件の中で発生した「FD改ざん事件」をテーマにした話。
……何というか、証拠の「原本」の扱いの杜撰さが何とも。orz
(以下、ヤバげな話が多いので割愛。)
「Session 2:『情報セキュリティマネジメントとモチベーションOSの相性を探る(仮)』 情報セキュリティ大学院大学客員研究員 miryuさん (twitter ID: @miryu )」
インシデント発生要因→「設備的な不備」の他に「モチベーション」もある
モチベーションとは「自ら何かしよう!と思う事」
内部犯罪のトリガーは「個人の資質」「企業風土」と「動機の形成」の3つの要素によって構成されている。
とは言え、ここまで行くと「犯罪心理学」なので、深追いするには辛すぎる……。
もう1つのインシデント→「ミス」、実は内部犯罪の半分以上はコレが原因
意図的な内部反抗はどう防ぐのか?、人的ミスをどう防ぐのか?
業務を持って帰る問題→従業員が自ら行動しているので、内部犯行(意図的な内部不正)と捕らえる
セキュリティって「めんどくさい」(給料は増えないし、生産性もやる気も下がる)……でもやってもらわないといけないのが事務局
モチベーションが下がる→「モラル低下」「集中力低下」「作業効率低下」「ミス発生が増加」
上げられれば重大インシデントは防げるのでは?
モチベーションマネジメントとは?
・マズローの要求階層理論→肝は要求は上がると下がらない
・アダルファのERG理論
・ハーズバーグの二要因説
・マクレランドの達成動機説
モチベーションOS(ダニエル・ピンク)
・OS1.0→生存を目的
・OS2.0→与えられた動機付け(飴と鞭)
・OS3.0→自分の内面から湧き出る「やる気」、「自律性」「マスタリー(熟達)」「目的」
(注意点!!)
・OS3.0が有効な環境では、OS2.0が有効に機能しない
・OS2.0が有効な環境では、OS3.0が有効に機能しない
つまりOS2.0とOS3.0は全くの別物と考える必要がある(ちなみにOS1.0は2.0/3.0の下位互換である)。
ならOSをアップグレードすればいいのか?
・後発のOSは先発のOSを駆逐するべきか?→そうではない、環境によっては使い分けるべき
業務におけるミスを防ぐには?
意図的に起こす事はない(意図的なのは内部犯行)
システム化による防止→有効だがコストが大きい
教育、啓発による抑止→コストは低いがモチベーションは下がるし効果は???
ハイブリッドOSなのか?→実はバージョンアップした方が良いのか?
リスク対応計画の策定~運用~管理を同じ人がやる方が良いのではないか?
「Session 3:ディスカッション 実際のイシンデント事例に基づく事例考察」
ディスカッション内容はオフレコなので、割愛。