Wednesday, November 8th, 2006

Time	Event
5:43p	セキュリティホールとその対応 ゼロデイ攻撃というのは、 　セキュリティ対策を行う人がセキュリティホールを発見し、公開してから、 　パッチが当るまでの時間に起こる攻撃。 その間は誰もが知る脆弱性です。 レス・ザン・ゼロデイというのは、 　攻撃者以外の誰にも知られていない欠陥のことだと言います。 　http://www.computerworld.jp/news/sec/51709.html しかし、「対策」の人が気付くまでに攻撃者が知っていたか知らなかったかは、誰がわかるでしょうか？ それは運営者が、その脆弱性を報告されてから、過去のログ解析などをして発見することが可能なのではないかと思います。（他の方法は単に知らないので書きません） セキュリティホールmemoに、Wizard Bible vol.29 (2006,11,7) (wizardbible.org)へのリンクがあって、その第２章。 　mixiに、セキュリティホールがあいていました。既にパッチ済みです という内容。 「mixiは無料なので、金銭的被害の重要は低い」という個人的意見がついていますが、逆にいえば「無料の」個人情報漏洩による会社の信用低下の度合いは他業種より高いものだと思います。それは外部の銀行サイト等を経由せずとも、mixi内だけで攻撃が完了するという意味です。 これに限らず、誰かがセキュリティホールを発見、報告するよりも先に攻撃者が知っていたかどうか、そして攻撃があったかどうかは、誰が、どのように確認できるでしょうか。 サイト運営者しかありえません。 だからパッチすることを最優先したら、それで終りにせず、 その次には必ず調査をして、 　　「これによる被害は確認されませんでした」 と、声明を出して欲しい。 そういうルールはないのでしょうか？ ・http://press.mixi.co.jp/ ・「mixiの裏技」でパニック　バグ悪用でデマ出回る ・ミクシィのアカウント 「いきなり削除」で大混乱 ・mixiソースコード流出 (2 Comments | Comment on this)
7:36p	行政情報システム研究所の人件費 こまかいことは全然知らないんだけど、 http://www.iais.or.jp/jigyou/documents/h17jigyouhoukoku-syuusikextusan.pdf ７ページの 情　 報　 流　 通　 提　 供　 事　 業　 費〔　 2,401,931,248〕〔　 2,533,409,885〕△〔 131,478,637〕 のうち、 人件費　130,355,828　406,236,403　△ 275,880,575 どういう運営をすると、人件費が２億７千５８８万円の予算オーバーになるのか気になった。 教えて！中の人！ (Comment on this)

<< Previous Day

2006/11/08 [Calendar]

Next Day >>