オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

Twitterの情報流出=クラウドは危険じゃない、その前にやるべき簡単なこと

»

確かにクラウド上から盗まれたのでしょう。 それが「=」って考え方が思考停止になっている。「≠」が正しいと考えますし、何が問題だったのかを普通に考えれば答えは簡単なことです。もっとも基本的なことをすればいい。ただ、それだけなのに、ネタとして、標的として、表面化した一部にすぎません。

同じことは、知らない間に既に起きています。表沙汰になってないだけで、どの企業体でもあることなのです。

米Twitterで個人メールアカウントがハッキングされたことで、米Googleとクラウドコンピューティングモデルは、人気ブログTechCrunchのからかいの的になった。

 この攻撃はGoogle Appsのパスワードシステムのセキュリティの弱点を狙ったもの。その結果、企業が機密文書を保存するのにインターネットを利用するのは安全なのかという議論が再燃した。Googleは弁明に追われ、Twitterは7月15日にGoogleを擁護する姿勢を示した。

 今回の騒ぎは、「Hacker Croll」と名乗るハッカーが5月にTwitterから盗んだとされる約300の文書をTechCrunchが入手したのが発端だ。これらの文書の中には、重役会のメモや財務予測のほか、Twitterの従業員の予定表、電話記録、好きな食べ物のリストといったものまで含まれていた。

ここに登場する、Twitter、Google、そしてTechCrunchです。

私は、TechCrunchの言っていることに疑問を感じます。T社もG社も、時の企業ですから、色々と言われてしまうのは、仕方ない部分もあるかも知れませんが、完全に論点がずれていると思うのです。

TechCrunch創設者のマイケル・アーリントン氏は7月14日、Google Appsのパスワードセキュリティは不十分であると指摘し、自身のブログのコメント欄で「Googleのセキュリティホールがそもそもの原因であり、Google Apps for your Domainが狙われたようだ。一部のパスワードが推測され、そこからハッキングされたのだ。これらの文書の大半(あるいはすべて)がGoogleのサーバからダウンロードされた」と述べている。

 その翌日には、アーリントン氏はこれらの文書を公開する権利が自分にあるとして、次のように記している

 Googleがパスワード回復用の質問という方法によって、信じられないほど簡単にユーザーのアカウントにアクセスできるようにしているのは、われわれの責任ではない。Twitterがこれらの文書や重要な情報をすべてクラウドに保存し、容易に推測できるパスワードと回復用の質問を設定していたというのも、われわれの責任ではない。今回の出来事を機に、GoogleおよびGoogleユーザーが今後、より強力なデータセキュリティポリシーについて考えるようになればいいのだが。

先日とあるセミナーで、パスワードは英文字記号で8文字以上!と言っていました。あるべき姿ですが、そんなことを言うのであれば、その使い方や作り方を伝えるべきなのです。先月書いたブログです。ここには作り方を詳しく書いたので、参照下さい。パスワードリマインダーで戸惑う「ひみちゅ」もどうぞ。

安易なパスワードが招いた問題であり、それらが上記のような言い方に変わってしまうのは、どうだろう?

もちろん、システム的に問題がある場合もありますが、使っている人のパスワード管理まではシステムで補完できません。仕組み上、難しいパスワードを設定しないと使えないものもあります。だから、紙に書いたりメモったりする。そこまで技術的に補完は出来ません。

何度も書いてますが、安易なパスワードは忘れません。それは簡単だからです。難しいパスワードは忘れます。覚えられないからです。これは、脳の・・・って話でも記憶力の話でも何でもありません。

クラウド上に利用者の、絶対に知られたくない「ひみちゅ」なデータがあったとすれば・・・それでも簡単なパスワードをつけるでしょうか?つけないはずです。

そんなものをクラウド上には置かない!と言われそうですが、自分にとっての「ひみちゅ」も、企業にとっての「ひみちゅ」も同じです。今現在は、企業にとっての情報しかないから、利用者のパスワード意識が低いのです。別に自分にとって、それほど重要でない情報だったりするし、それ以上に、使い勝手を優先した結果なのです。簡単なパスワードのがいいと。

玄関の鍵がキーボードだとした場合に、表札と同じ「名前」のパスワードや、推測可能な安易なもの、名前に数字の1とつけただけのものなど。。。をつけるでしょうか?

自分の家の玄関の鍵であっても、クラウド上の認証パスワードであっても、「そこを突破」するためのものには変わりありません。

セキュリティの確保!とか難しいことを言う前に、もっと基本的なことがあるのです。これはパスワードに限ったことではありません。

新倉 茂彦 2009/07/16 20:46:16 Comment(0)