最近考えていることがある。

セキュリティと正義についてだ。

たとえば、ethical hacking。

正義の名の下にethicalの名の下に、よその人たちの持ち物にハッキングかけまくる行為が横行している．

本来、ethical hackingとは、高い倫理観の下、正当な手続きの下行う行為である。

ここを履き違えて、親切心で許可なく他人のサイトのセキュリティチェックを行い、事後報告で伝える、という行為がある。日本の不正アクセス禁止法には当たらない可能性もある、というグレーゾーンをついている行為だ。

日本の不正アクセス禁止法で定義される不正アクセスは、とてもグレーで、物理で例えるなら、ドアをこじ開けて侵入するような行為でない限り、不正アクセスには認められないケースもある。

あなたのご自宅に、おたく、裏口の鍵が空いてて侵入できましたよ、実際に入って、タンスに印鑑と通帳があるのをみました。

危ないからかぎしめたほうがいいですよー。

と突然言われたら？

鍵空いてますよ、で報告を受けるならいいと思う。

でもね、鍵が空いてて、入れた状態だから入ってみた。

試しにタンス開けたら通帳があった、盗んでないけど、証拠に通帳の中身、写真撮ったよ。

危ないから気をつけてね？

あ、自分通りすがりの正義の人です！ドヤー

とか突然見知らぬフリーメールから通帳の写真付きで送られてきたらどう思う？

不法侵入だよね？情報窃盗だよね？

その人が本当に何も盗んでないかしんじられないよね。

通帳は盗まれてなくても、パンツ被ってスーハーしたかも知れないじゃない？

ペンテストのブラックボックステストだって事前に誰かしら、所有者の了解や必要な手続きを取るわけよね。

行きすぎた勘違いの正義感は、テロリストとなんら変わらない、と思います。

お久しぶりです。

数少ない、リーダーさんもお忘れなんじゃないかと思いますがお久しぶり、セキュママです。

HeatBleedの衝撃とともに、ムスコのつかまり立ちと高速ハイハイに脅威を感じる今日この頃です。

さて、HeatBleedがホットですね。

皆さん、パスワード変更しちゃいました？

焦って変えない方がいいですよ。

このHeatBleed、パッチが当たって、さらに、サーバ側で暗号キーを作り直して、再起動して、って処理が終わらないとダメなんです。

サイトには数多くの被害を受けているサイト情報やあやしいであろうサイトが記載されてますが、それらのサイトで、被害状況の把握、使ってるモジュールのバージョン情報と使ったパッチ及びその対応が発表されてからでないと、パスワードの変更状況から盗み見されちゃって、変更の意味がないわけですよ。

アメリカの有名どころのサイトは情報出てますが、日本のサイト情報のまとめはほとんどないですよね。

どうなってるんでしょうね。個人的には楽天がヤバイ気がしてます。

あとは、オープンソースバリバリ使ってそうなゲームサイトとか。

しかも、今回、バグが見つかったオープンソースは、結構商用でも使われてて。

銀行も危ないかもですね。

日本は被害状況を隠す傾向にあるから、来週あたり大変なことになる予感です。

日本のニュースも小保方さんとかやってる場合じゃないんですよ。

さらに今回、スニーフィングでカード情報とか個人情報が危ないとか言われてますが、私はサーバーで保護されてる方のものの方への影響もバカにならないんでは？と思ったりしてます。

SNSなんかたいがい一つのパスワードを使いまわしてるから、サイトのひとつが被害にあってたら連動して全部もれちゃって全財産なくしたりする人もいるかもね。

っていうか、こんなに大事になってからその穴を狙うのは、コソ泥っていうか、小物だから被害額が大きくても社会混乱はない、と思う。

でも、金銭的被害で済むなら不幸中の幸いだ。

何億台もある重要システムのサーバで管理もれはあるだろうな。

某国のハッカーや、極悪テロリストが悪用しませんように…

というわけでまとめ。

今回の個人的被害を最小限にするには。

1 少し待つ。そして、サイト側の対応が終わったら、めんどくさくてもパスワードをいっこいっこ変える。そして頭で覚える。紙で書くなら金庫管理。

クレジットカードの明細や銀行の明細は細かくチェックする。

2  この機会にアナログな生活に戻る。現金以外なるべく使わない。

余分なサイトの個人情報は全部削除する。(気休めだけど)

っーことです。

ネットショッピングだけでなくって、お店で使うクレジットカードの決済情報もインターネット流れてますからね！注意ですよー！場所によってはipsecじゃないものもあるし。

因みに、銀行のATMは独自ネットだから、その銀行自体がすでに乗っ取られて無い限りは大丈夫。