トップ 最新

糸の切れた凧( a threadless kite )

ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。
<< 2007年1月 2007年2月 2007年3月 >>  

2007/02/15(木)木曜日ー。(まさかリンクを貰えるとはw)

[セキュリティ] * 蔵出しセキュリティ: ファイル転送サービスはセキュリティツールとして「使える」のか?
“反論” だなんて、そんな恐れ多いものではありません。(^-^;
textile私は「送る手間が増えると、それだけ安全になる」と考えていますが、やまがたさんは「送る手間が増えたところで、大して安全性は向上しないし、面倒になっても送るヤツは送るだろう」という考え方でいらっしゃるようですね。
元もとの話の流れが、メールで「未修正の脆弱性を悪用した文書ファイル」を添付してくるような標的型攻撃から身を守るためにファイル転送サービスを使おう!といった感じのものでしたので、大規模にばらまくものよりは、狭く深く狙う(=手間を厭わない)ものをイメージしていました。 そのため、「手間」 「コストパフォーマンス」 「効率」よりも、「効果」を重視するような悪人さんを想定した話をしました。
textile私が「送る手間が安全性の向上に繋がる」と考えるのは、「痕跡の残りやすさが増える」ということが理由だったりします。…送り手=悪い人たちは、…機械的な送信プログラムのネットワーク(=ボットネット)を使って、手間をかけずに、かつ痕跡を最小限にしつつ送りつけてくるわけです。
ボットネットの話をするのであれば、多くの種類で メール送信機能だけではなく、特定の URL にアクセスする機能や http/https のプロキシとなる機能を備えていますので、痕跡の残りやすさについてはメールの場合とそれほど変わらずに出来るのでは?と思ったりします。 (特に、送信者の確認を行わない「データ便」は。) (また、ボットネットを経由せずとも、日本と関係の薄そうな国々の httpプロキシを何段か通されてしまえば、現実的には痕跡を追えないのかとも思いますし。)
textileあるいはビジネスマナーとして「…ファイルを送る前には、メールで一言断ろう」などと教え込むという手も良いと思います。
良いと思います。 おっしゃるとおり、いつものパターンと外れていれば「おかしいな」と気づいて貰えるかも知れませんしね。 ただ、この告知をすることは、ファイル転送サービスの場合であろうが 添付ファイルで送る場合であろうが 同じく効果がありそうですね♪
textile送信元のメールアドレスを「確認」する、ということすら相当困難だと思いますがいかがでしょうか(ご期待通りツッコミ入れてみました(笑))?
うーん、この際 S/MIME 必須にしますかw Outlook Express などでも署名付きは分かりやすく表示されるようですしね。 もしも、『S/MIME で署名されていないメールは、本文は読めるけど 添付ファイルは取得できない』といったポリシーがソフトウェア的に強制できれば面白そうw (署名されていれば安全と思われても困りますがw) (知り合いからのメールなら安全というわけでもありませんがw)
textileWebサイトに脆弱性が存在したら、もしかしたらまっとうなファイルを怪しいファイルに置き換えられてしまうかもしれませんし、偽装メールによって本物そっくりのURLなのに違うサイトに誘導されてしまうかもしれません。
あるいは、取引先に送った機密書類を、ぜんぜん関係の無い第三者に読み取られてしまう脆弱性とかが Webサイトに存在するかも知れませんね。(←怖い。)
textile一つのサイトだけに依存せずに定期的にローテーションするという手が使えます。それによってここでも「どのサービスを利用しているか外部に知られない」ことで、そもそも偽装や誘導がフィットするリスクを低減することが可能ですね。
実際に脆弱性が見つかった場合には切り替えやむなしですが、そうで無いのなら、少しの変化でも「いつもと違う。 おかしいな。」と気づいて貰うためにも、1つのサイトを長く使って慣れ親しんで貰いたいものです。 ローテーションしてると、攻撃者が送ってきた URL も “見覚えのあるURL” になっている可能性がありますし、メール内の見覚えのあるような無いような URL をクリックして開くクセをつけてしまうと フィッシング詐欺などに弱い人間を作ってしまいそう。
textile誘導する側が「これから送りますメール」を「メーリングリストのアドレス」に出さなければならないようにしておけば、誘導自体の完成度を上げることはかなり困難になるでしょうしね。 ……と考えてくると、わたしが提案している方法もそれほど捨てたモノではないと思うのですが、いかがでしょうか(笑)?
誘導は困難になると思います! (けども、添付ファイルを使う場合でも同じ工夫が出来ると思うので、添付ファイルを止めてファイル転送サービスを使う理由としては弱いかな、とw)ところで・・・ 残念ながら トラックバックの量は 増えませんでしたね。(^-^;;[雑談] * 痛いニュース(ノ∀`): どれ食べたい?アニメの食べ物
私も、少し前まで “ギャートルズの肉” が食べたい! と思っていましたが、でも、実際にあれの数分の一くらいの肉のカタマリ(それでも十分デカい)を食べてみたら・・・途中で胸焼けしたので、その夢は捨てましたw アニメに出てくる穴あきチーズは確かに美味しそうに見えますねw