Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

機密情報って「業務マニュアル」扱いに……できるのか?

2010-04-28 11:26:07 | セキュリティ(技術者向け)
日本大学、個人情報1万件以上を含む内部情報がShareで流出 - Internet Watch
日大が職員情報流出で緊急会見「業務情報は無断持ち出しだった」 - Internet Watch
いやー、あまりの「尿漏れ」っぷりに乾いた笑いしか出ないという感じ(勿論当事者からすれば顔面蒼白モノなのですが)。

単に個人情報(氏名とか)ならばまだしも、明らかに「機密(極秘)情報(※1)」扱いな情報が、一職員が閲覧できてしまえてた状況には「?」が付かざるを得ないですな。
――今回流出した情報は、大学にとって機密情報に近い内容とも思われるが、これらの業務情報は人事課の職員であれば誰でも閲覧できる状況だったのか。

 閲覧に関しては、業務マニュアルということで可能だった。情報管理についてはかなり厳しくしていたが、職員は4月24日、業務情報を USBメモリーに保存して無断で持ち出してしまった。業務情報の持ち出しは、ガイドライン上で禁止している。
(「日大が職員情報流出で緊急会見『業務情報は無断持ち出しだった』(Internet Watch)」より引用)
……記者会見でも「業務マニュアル」扱いとして閲覧可能との回答が出ていますが、この手のヤバげな情報は「マニュアル」なんでしょうかね?
(仮に事例対応集としてマニュアル扱いにするなら、個人等が特定できないようにボカした上で掲載するならまだ話が分かるんですが、情報を収集する限りではそうではないようなので。)
---
(※1)公開されたら、明らかに「組織の恥」となるような情報も含まれていた模様。

Java ランタイム、一太郎、Adobe Readerがそれぞれアップデート

2010-04-19 09:43:11 | セキュリティ(エンドユーザ向け)
Java 6 Update 20」公開、ユーザーは早急にアップデートを - Internet Watch
「一太郎」の脆弱性修正モジュール、旧バージョン用も公開 - Internet Watch
Adobe Reader/Acrobatが定例アップデート、自動更新機能も有効に - Internet Watch
最近書くのをサボっていましたが、Java ランタイム(JRE)、一太郎、Adobe Readerがそれぞれアップデートしました。
いずれも重大なセキュリティホール修正に対応したモノなので、速やかにアップデートしましょう。

なおAdobe Readerについては、環境によってはシステム再起動が求められる場合がありますのでご注意を。

今更プアマンズ・ストロボかよ……>ギズモード・ジャパン

2010-04-16 14:14:34 | 写真
あなたのストロボ付きデジカメ、改造しませんか? - Gizmode Japan
まっちゃさんの処経由、って「プアマンズ・ストロボ」かよ……何周遅れてんだよ、ギズモード・ジャパンpgr……というのがカメラ好きからする正直な感想(だってカメラ好きからすると古くから知られているネタだし)。

一応解説しておくと、元々このプアマンズ・ストロボを考えた方は、作例を見れば分かりますが、昆虫や植物などの「等倍以上の接写撮影を要求される」被写体をメインターゲットとしているんですが、何分この分野用の機材が「無い」(あっても超が付く程高い)(※1)!!
特に光源(フラッシュ)はこの方の要求を満たす(※2)モノが無く、試行錯誤の上に生まれたのがプアマンズ・ストロボという訳。

なのでプアマンズ・ストロボそのものは普通の人にはなかなか使いづらいはず(そもそもニッチなターゲット向けなので)。が光源に関するツール類の自作はこの世界ではよくある話で、自分も実際フラッシュのディフューザーを2種類自作し活用しています。
要はストロボは「点光源」で光が「硬く」、そのままではいかにも「フラッシュ焚きました」な写真になってしまうのだから、それを解決するには「面光源」で光を「やわらかく」すれば良いという訳。一番簡単なのは「トレーシングペーパー」をフラッシュの前にかざすという方法(ティッシュペーパーでも良いけど)。
それだと面倒なので、少し工作できる人だと色々と……コンパクトカメラ向けだと、よくあるのが「フィルムケースを加工」する方法(※3)。最近はなかなか手に入らないけど、カメラ屋に行くと余っているモノを分けてくれるかも。
---
(※1)例えばレンズだと、等倍以上で撮影できるのはCanon「MP-E 65mm F2.8 1-5× マクロフォト」位しかない。昔だとリバースコンバーターを用いた「レンズの逆付け」で対応できたが、最近はレンズの電子制御化が進んだ事もあり、単純にリバース接続しただけではレンズの機能をフルに発揮できないケースも多い(一番多いのは絞りの制御ができず、常に開放状態になってしまうケース)。
(※2)野外での撮影が多いので、当然軽い事に越した事がないのだが、既存のリングフラッシュは重いモノが多い。
(※3)「フラッシュ ディフューザー フィルムケース」辺りで検索すると、ゴロゴロ出てくるので詳細は割愛。

3月末頃から品薄傾向が続いていましたからね>Hyblid W-Zero3

2010-04-16 11:12:00 | 雑記
HYBRID W-ZERO3、品薄状態に - /.J
まぁ確かに自分が入手した時点で品薄でしたからね。
(先月の料金プラン変更(PHS通信だけなら、基本利用料だけで通信し放題)の影響は大きい……と言うか、自分もそれが目当で変更した訳なんですが。)

あと「SIMが外れやすい」とありますが……確かに見た目(アイコン)上は外れる事が多い。下手するとテンキーをスライドさせたショックだけで「SIM外れた」アイコンに切り替わる事も。
が、どうやらよく観察してみると「SIMが外れたと検知しやすく、実際には外れていない(false positive)」というケースが殆どのような……。

あるケースでは……
  • あるサイトをブラウジング中に「SIM外れた」と警告が出る
  • どうせ見終わるのに時間がかかるので無視して見続ける
  • 見終わったのでMobile IEを終了
  • 待ちうけ画面上のアイコンが、正常な状態に戻っている
    ……という感じで、特にSIMの抜き差しをしていないにも関わらず正常な状態に復旧している事から、恐らくは「SIMの検出に関する閾値が異常に厳しい」、即ちファームウェア側の問題ではないかと推測しています。
    (物理的に外れやすい構造ならば、SIMの抜き差し無しに復旧する可能性は低いでしょうし。)

    • 改めて概算見積してみた>メッセサンオー個人情報流出事件

    2010-04-06 17:08:43 | セキュリティ(技術者向け)
    メッセサンオー個人情報流出事件の損害賠償額を計算したらエラいことになった - カオスな情報置場
    ヤマガタさんの処経由、まぁ考え方としては悪くはないんですが、ちょいと評価を厳し目にしてません?

    という事で、改めて自分の方でも評価してみました。なおこの評価結果等については、個人的に評価・試算したものであり、必ずしもこの通りになる訳ではない事を予めお断りしておきます。

    -----
    まず、今回概算評価に用いたのはJNSA セキュリティ被害調査WGが毎年出している「情報セキュリティインシデントに関する調査報告書」の「個人情報漏えいにおける想定損害賠償額の算出モデル」になります。
    公開されている最新版は、現時点では2007年度版(Ver1.6)になりますので、それに基づいて評価してみます(報告書はリンク先のページにあるPDFファイルをダウンロードして下さい)。

    【Step.1 : 漏えいした個人情報の価値を算出する】
    漏れた項目(判明している分)に対して、「図36:Simple-EP図」の項目に当てはめ、経済的損失レベル(x)と精神的苦痛レベル(y)を算出します。
    各項目に対する経済的損失レベルと精神的苦痛レベル(x,y)はこんな感じかと思われます。
  • 名前→(1,1)
  • メールアドレス→(1,1)
  • パスワード→(2,1)
  • 性別→(1,1)
  • 住所→(1,1)
  • 年齢→(1,1)
  • 生年月日→(1,1)
  • 携帯電話番号→(1,1)
  • 一般加入電話番号→(1,1)
  • 注文商品の一部(購入履歴)→(2,2)
    元記事では「注文商品の一部(購入履歴)」を「性癖(1,3)」としていますが……これは過大評価でしょう。ここで言う性癖とは「これがバレたら身の破滅を招く(命が無くなる or 社会的に抹殺される)」位のヤバい情報の事を想定しており、たかがエロゲを買っていた事がバレたとしても、精々「周囲から生暖かい or 白い目で見られる」くらいでしょうから、性癖には該当しないものと想定。よって文字通り「購入履歴(2,2)」で評価しています。

    そして実際に漏洩した個人情報の価値(単位はpt)を求める訳ですが、その公式は次の通りです。

    漏えい個人情報価値 = 基礎情報価値 * 機微情報度 * 本人特定容易度

    まず基礎情報価値ですが、これは「500pt」固定になります。
    次に機微情報度ですが、この公式は次の通り。

    機微情報度 = 10^(x-1) + 5^(y-1)
    x,yは各評価で最大の値を用いる

    今回はx(max)が2、y(max)が2なので……
    10^(2-1) + 5^(2-1)
    = 10^1 + 5^1
    = 15
    ……で、「15pt」となります。
    最後に本人特定容易度ですが、これは「表10:本人特定容易度 判定基準」を元に当てはめると、今回は「住所、氏名が含まれており、容易に特定可能」という事で「6pt」となります。

    で、漏えい個人情報価値ですが……

    500pt * 15pt * 6pt = 45,000pt

    ……という事で「45,000pt」となります。

    【Step.2 : 情報漏えい元組織の社会的責任度を求める】
    これは「表 11:情報漏えい元組織の社会的責任度 判定基準」に当てはめれば良いだけなので簡単。
    今回は超有名企業という訳ではないので「一般的(1)」と評価しましょう。

    【Step.3 : 事後対応評価を行う】
    これは「表 12:事後対応評価 判定基準」および「表 13:事後対応 行動例」に当てはめて評価する事になるんですが、何せ現在進行中のインシデントであり、これについては「評価不能(不明、その他)(1)」としておきます。
    (ある程度時間が経たないと評価できない項目なので……。)

    【Step.4 : 損害賠償額の概算見積を行う】
    損害賠償額の概算見積の公式は次のとおり。

    損害賠償額 = 漏えい個人情報価値 * 情報漏えい元組織の社会的責任度 * 事後対応評価

    で、Step.1~3で求めた値をそれぞれ当てはめると……

    45,000pt * 1 * 1
    = 45,000円/名

    ……となります。
    もし仮に該当者全員(1,405名)が民事訴訟を起こし、完全に訴えが認められた場合……

    45,000円/名 * 1,405名 = 63,225,000円

    ……6,300万強という値になります。
    が、実際にはお詫び品(500円の商品券など)で満足してしまう人や、そもそも気にしていない人などが存在する事から、この額より遥かに小さい値になるものではないかと思われます。