暗号化の重要性は薄れてきている?

./から:
RSA暗号の生みの親曰く「暗号化の重要性は薄れてきている」
http://security.slashdot.jp/story/13/02/28/0722256/

との記事が。

要するに、暗号化で全てが守れていた時代は終わっているので、
暗号化に代わる別の手法もどんどん考えないとね。とのこと。

RSAといえば、暗号化の世界では最後の扉とも言える、
公開鍵暗号方式の扉を開けた方式で、
非常に解読が困難な暗号化方式。

でも、個別攻撃などによって暗号化する前に攻撃されたりと言った部分や、
ソーシャルハッキングなどをすれば、暗号化は関係なく、情報は盗めるので、
暗号化がセキュリティーの全てでは無いわけだ。

とはいえ、他にどんな防御策があるのかと言われると、それはそれで画期的な方法は思いつかない。

でも、シーザーから始まった暗号の世界も、
次のステージに進む必要がそろそろあるのかも知れない。

DropBoxのメールアドレス流出疑惑の件

以前書いた、DropBoxのデータ流出事件の件
前回記事:https://kerokero.org/wp/archives/1292

原因が判明したそうな。
ITMediaの記事:http://www.itmedia.co.jp/news/articles/1208/01/news088.html

原因は

  1. 全然無関係のサイトのID,パスワードが流出
  2. 流出した中に、DropBox社員のがあった
  3. その社員は、一部の顧客情報をDropBoxに保存していた
  4. その社員は流出したサイトと同一のパスワードを使っていた

という物。

今回の件の直接的な問題点としては
個人情報をID/PASSだけでアクセスできるクラウドに置き、
そのID/PASSを使い回していたという問題だ。

つまり、ID/PASSだけの認証のクラウドに対して
重要な社外秘のデータは置くべきではないということと、その危険性を、
DropBoxが身を以て危険性を見せてくれたということである。

ありがたい事である。

ちなみに、この手のクラウドでの顧客情報管理のシステムを運用している
Salesforce等はどうなっているかというと、
確かにID/PASSでの認証だけれども、
登録されていないIPアドレスからのログインは原則として出来なくなっている。

登録外IPからのアクセスがどうしても必要であれば、
まずは、ID/PASSログインしようとすると、そのユーザーに仮パスワードがメールされる。
そして、その仮パスワードを入力できた場合に限り、ログインが許可される。
という認証システムがデフォルトの設定。
※ちょっと違うけど、原理はこんな感じ。

まぁSalesforce自体が「顧客情報を管理するためのシステム」なので、
このあたりが厳格に作られているというのはあるけれど、
逆に、ここまで厳格なシステムじゃない限り、クラウドに個人情報を置くべきではないということかもしれない。

ちなみに、それはそれとして、その流出したサイトとやらの、
セキュリティーもちょっと気になる。
なんで、平文のパスワードが漏れているんだよ。
ふつう、そこはハッシュ化するだろ!

そっちの方が最大級の驚きだったりして。
※まぁ、その辺の対策はされてなかったほどだから、流出したんだろうけど。

DropBoxのメールアドレス流出疑惑

先日、DropBoxのメールアドレス流出疑惑が報道された:
http://jp.techcrunch.com/archives/20120717dropbox-users-targeted-by-spam-possible-address-leak-to-blame/

なんでも、DropBoxに氏か使っていないメールアドレスに、
SPAMメールが届いたという報告が何件か寄せられているそうな。

このニュースの後、音沙汰がないのでちょっと気になる。

PASMOの履歴照会サービス停止

PASMOの利用履歴をネットで確認出来るサービスが
先日、サービスを突然やめた:
http://sorry.pasmo-mypage.jp/sorry.htm

まぁ、その数日前から、高木先生が指摘していたので、
なるべくしてなったという感じではあるが。

詳しい経緯を知りたい人は、高木先生のページを見ると良いです
http://takagi-hiromitsu.jp/diary/20120226.html

簡単な経緯を言うと、PASMOの利用履歴をネットで確認するためには、
PASMOのカード番号と、定期の氏名・生年月日・電話番号が分かれば、
閲覧できる使用だったんだけど、
「これらを知っている人なら誰でも見れる」というのが問題点。

まぁ、普通は、そこまで情報を揃えるのは大変だけど、
SNSで写真をあげたら、うっかり写真にPASMOが写っていて、
SNSの友人達は、電話番号とかの情報を知っているとか、
家族にPASMO定期の購入を代わりに行って貰うとか。

そんなシナリオで、いつ、どこで、電車に乗ったかが筒抜けになるわけだ。

そう考えると、ちょっと怖い。

|