ショルダーハッキング

電車とか比較的パーソナルスペースが近い状態のときに、隣で携帯をいじっているひとの画面を相手の肩越しにみる方法などを総じて言いいます。壁に耳あり障子に目あり。隠そうとおもっても漏れるのが情報。もし秘密にしておきたい情報があるのであれば人目があるところでみるべきではありません。肩越しに誰かが見ていますよ。

こんな風にね！

予算委でも極秘資料撮ったら「盗撮」、仙谷官房長官
http://sankei.jp.msn.com/politics/policy/101109/plc1011092043025-n1.htm

[政治] 仙谷官房長官「今後、国会審議中の写真をネットにアップしたら盗撮で逮捕する」
http://yutori2ch.blog67.fc2.com/blog-entry-2062.html

今回はたまたま官房長官がもっている私的メモだったからよかったものの、部下が会社のマル秘の製品仕様を持ち出して電車で読んでたりしたら大変なのでこういう事をしてはいけませんよという例でした。きちんと指導しましょう。

ショルダーハッキングでキーボード操作や銀行ATMの操作などでパスワードを盗むなどという方法もあります。ATMによっては毎回数字の位置がかわったりするところはそういうのを防ぐためにあるわけですね。
ちなみにキーボード操作はキータイプの音などで位置がある程度推測できたりもするものです。文字数がわかるだけでヒントになることもあります。人前でパスワードを打つときにはとくに注意をするようにしましょう。Shiftをつかった大文字入力や数字を混ぜておくのはこのような面からも盗難をさせにくくすることができます。
見ようとおもってなくてもみえちゃったり聞こえちゃったりするものです。
悪意あるひとには利用されてしまいます。注意してね。

ソーシャルハッキング

どんなに頑丈な金庫をつくったとしてもその鍵を泥棒に預けては意味がありませんよね。優れた防壁も内通者がいては意味がありません。これがヒューマンセキュリティホールです。
意図しないで内通者になってしまうパターンや、そもそも利用されたことにさえ気がつかないパターンなど多種多様あります。例えば、社内に堅牢な情報セキュリティを設置して防護壁を設けていたのに部長がエロサイトをみたいがためにそこに穴をあけてしまって大惨事になるとか・・・、あるある！

人間はあらゆるところでもっとも脆弱な部分で、運用や操作をミスることもあれば、情報漏えいのセキュリティホールにもなりえます。色仕掛けで落ちたり、お金で買収されたり、脅されて屈したり。背景は様々ですが情報を盗もうとした場合、システムを攻めるより人間を攻めたほうがらくちんです。場合によっては合法的にインサイダー情報を手にいれることもできるでしょう。世間的にはこれをソーシャルハッキングといいます。

【尖閣ビデオ流出】全容解明いばらの道　異例の捜査開始宣言　石垣海保側重点も…
http://sankei.jp.msn.com/affairs/crime/101109/crm1011090201005-n1.htm

尖閣諸島ビデオのYoutube流出は義憤かられた人による確信犯かもしれませんが、流出させた本人はその情報が価値があるとわかっていての行動だと思います。つまり情報が”位置エネルギーの高い”状態にあり、自由になりたがっていたといえるわけです。そしてそれを守る側の意識がこれを守ることにあまり意義を感じ無かったということなのではないかと思います。金庫番が金庫を守って得られるお給金と、奪って逃げたときどうなるかを秤りにかけて泥棒になったようなものです。ただ、金庫番が泥棒になったから盗まれちゃったではレベルが低すぎます・・・・・・。

金庫番を完全に泥棒にさせないということにたいして１００％を求めることはできません。露見したときのペナルティを強くしてもメリットが高ければこれは防げないからです。金庫番と金庫の鍵をもつ人物を別にするなど、それぞれの権限を分割して管理しあうのが常道であります。フェイルセイフともいいますが、誰かが失敗したり、裏切っても今回のような深刻な事態になるまえに対処が可能なようにする体制をつくることが基本となります。卵はひとつの籠に盛らないように。そして高いところにおきっぱなしにしないようにしましょう。

断片的にしか伝わってきていないので真実は違うのかもしれませんが、記録をUSBに保管していたとか、関係ない管区の権限もない職員が情報にアクセスできる状態にあってそれを持ち出せたというのは、なんか聞けば聞くほど残念な体制でなりません。

ただ、フォローすべき部分もあります。
当初は動画を公開を前提として管理されていたらしいということ。このように途中からセキュリティポリシーを変更してそれを適用するのはとても難しいです。公知にされた状態から秘密にしても人の口に戸は立てられません。見なかったことにしてくれとお願いしてまわっても無理な話しです。虚構新聞じゃないんだから。
公開前提の体制だったものが途中から政治的理由で秘密にされ、さらにみんなが見たいという情報のエネルギーが高まってしまったものを守り通すにはあまりに低い壁だったんではないかとおもいます。

今回の場合、公務員の守秘義務にあたいする秘密であったのかも疑問視する声もあがっています。

政府、責任回避に躍起…映像の「秘密」に疑問も
http://www.sponichi.co.jp/society/flash/KFullFlash20101110116.html
「実質的に秘密として保護するに値するものをいい、国家機関が形式的に秘密指定をしただけでは足りない」
「公開前ならまだしも、限定的とはいえ既に公開されている。流出時に秘密だったと言えるかどうかは議論の余地がある」

このように人間系から流出があった場合、その後の処理も大変です。犯人（実行犯）を捕まえたとしても本当にその人だけの問題なのかを確認する方法はありゃしないので追いきれません。

対応策としては、漏れないように幾重も防護策をもうけるか、もしくはその情報を価値のないもの（エネルギーの低いもの）にしてしまうしかありません。この場合、先に公開してしまえば漏洩などありえなかったわけです。

クラッキング

金庫に金が入っていることが広く知れ渡ってしまった状態で金庫のお金を盗まれないように守り続けるのは非常に困難なことです。金庫番で雇った人物が泥棒になる可能性すら排除できませんし、金庫番よりも強力な武装軍団が強奪にくるかもしれません。隠し場所がばれてしまったら強力な防衛体制を築くか、さもなくば隠し場所を変えましょう。
そうならないためには、まず金庫があることを知られないことです。
さらにもっといいのは必要ない情報は集めないこと、そして一か所に保管しないことです。

防衛は攻撃にたして非常にコストがかかるものです。
自由になりたがる情報を制御しておくには、コップいっぱい分の情報を守るのにダムのような防壁を築かなければなりません。だったらその情報は流してしまって、新しく汲んで来れるようにする体制をつくったほうがコストパフォーマンスはいいです。だから情報は需要や注目があつまったところでリリースするのです。

先にあげたように、情報を得る方法はいくらでもあります。
ゴミ箱あさりのような古典的な方法から、モニターの微弱電波からそのまま画面をトレースしてしまうような電磁波盗聴、MACアドレスの偽装でパケットモニタリングとか、合法的なものから非合法なものまでいくらでも方法はあるでしょう。
闇プログラマー（！）にかかれば情報を守ることはできません。さらに脆弱な人間がいる以上、守り抜くのは容易ではありません。

テロ情報流出　国際的な信用も失墜した
http://www.nishinippon.co.jp/nnp/item/208673
国際テロに関する捜査情報など警視庁が作成したとみられる内部文書が、インターネット上に掲載されていた

先の尖閣ビデオに対して、こちらは明らかな悪意があります。むしろこれすらも何かの目くらましの布石なのではないかと勘ぐってしまうほどです。なぜならこの情報が拡散することに一般的にはメリットがないからです。
壊そうとする側の労力と守る側の労力は明らかに違います。
根らわれたら守り通すのは困難なので、最悪それが奪われてもいいように分割しておきましょう。

IPA情報セキュリティセミナー

そんなわけで、本家のIPAのセキュリティセミナーの宣伝でもしておくよ。
三鷹でもやるし無料だから是非どうぞ。

http://www.ipa.go.jp/security/event/2010/isec-semi/kaisai.html
1月27日 （木）
マネジメント入門? 10:00〜12:00
マネジメント入門? 13:30〜16:00
1月28日 （金）
技術標準? 10:00〜12:00
技術標準? 13:30〜16:00

12月1日申込受付開始予定
三鷹産業プラザ

去年とかの流れを考えると、すぐ埋まるから応募頑張ってくだちい。
なんかすでに商工会経由で手元にチラシがあって、それをみているのんだけど・・・
一般公募は12/1なのかな？
どちらにしろ会場にいるので、みかけたら声掛けてください。

あと、明日はプログラマーズカフェをおおきなお部屋で開催します。
http://pgcafe.net/
http://atnd.org/events/9112

急な大きなお部屋開催なのでがらーーんとしているとおもいます。あそびにきてください。
さみしいです。ごめんなさい きょうも おきゃくさん きませんでした やられたね
↓こんな勢いになりそうです。
http://hamusoku.com/archives/3748124.html

というかこれで人気になれるんだったら、冬場のうちのお店はもっとわびしいツイートできるぞ！