昨日16時にコインチェックの
記者会見が行われました。
私もYouTubeのライブ配信を見て内容をチェック。
実は私、情報セキュリティの専門家です。
会社員時代にISOの部署にいたことがあって、
ISO14001、ISMS、プライバシーマークの
認証取得の支援を行っていました。
(よく上司に怒られたのは良い思い出です)
後輩達はこの分野で会社を設立し、
独立して現在も頑張っています。
会社が無くなる、仕事が無くなると言われてますが、
逆に今後ニーズが増えるのは情報セキュリティの分野。
自動運転やAIが活躍する時代に入ると、
ハッキングやセキュリティに対する
リスク管理のニーズは飛躍的に高まります。
インターネットに繋がった車が
ハッキングされると兵器と化しますからね。
実用化の鍵はセキュリティが握っています。
仮想通貨も同じですね。
ここに革命が起こればネットの世界は
とんでもない成長を遂げるでしょう。
有効な対策が無いのは今回の事件を見ても明らかです。
無くすのではなく、ゼロに近づけるための施策を
マネジメントシステムと言うのです。
で、コインチェックでネムが無くなった原因を
今回の記者会見で話してましたが、
これは完全にフィッシング詐欺ですね。
要するにメールでパスワードを抜くというヤツです。
古典的な詐欺の部類に該当します。
例えばPayPalを装ったサイトからメールが来ます。
> あなたのサイトがハッキングされたので
> 今すぐパスワードを変更してください。
> xxx.xxx…
みたいなものですね。
で、よーくメールアドレスを確認すると
@の後ろのメールアドレスがpaypay.comとかになってます。
ペイペイどっとこむ笑
しかし、画面に飛んでいつもの馴染みのある
管理画面に飛んだとしたら、ついつい
パスワードを入力してしまうというワケ。
それでペイペイどっとこむの管理者が
入力されたパスワードを入手して、
本家のサイトで普通にログインし、
お金を引き出したり振り込んだりしちゃいます。
私も以前、フェイクサイトに
入ってしまったことがありました。
eBayだったんですが、管理画面にアクセスすると
見に覚えのない商品が並んでます。
深いリンクに入っていこうとしても行けない。
あれ?と思ってすぐパスワード変えて
被害を免れました。
スモールビジネスの場合の対策は簡単です。
ブックマークしたサイトから
ログインするように気をつければ良いだけ。
しかし従業員が増えてくると
話しが変わってきます。
危機意識の低い従業員が
リスクの高いサイトに
ログインする権限を持つからです。
やってませんか?外注さんに
直接アカウントにログインさせる行為。
これを防ぐために、例えばeBayなら
サードパーティと言われるツールから
アクセスさせるという対策が有効です。
eBayならNijuyonとかですね。
goo.gl/LXTffo…
その他にも管理画面にアクセスさせたい
ケースは多いでしょう。
その場合はシンプルな対策として
「従業員にパスワードを教えない」
という方法が有効です。
例えばリモートデスクトップがあります。
お名前デスクトップ
goo.gl/zoh5Xy…
こういったデスクトップ上にあなたが予め
管理画面のパスワードを記憶させておいて、
従業員にはリモートPCからログインさせます。
フィッシングサイトはビミョウに
URLが違うので、いつもと違うURLを踏んでも
記憶されたパスワードは出てきません。
また、監視ツールを走らせておくことで
不正があった場合にキャプチャをチェックできます。
1.管理画面へのパスワードは教えない。
2.作業者はリモートデスクトップで実務を行う
この2点を徹底することで、
大半のセキュリティ上のリスクは回避できるでしょう。
もちろんコインチェックの場合は
月間3兆円!とか扱っていたようなので
その場合は更に細分化されたリスク管理が必要ですが、
中小企業レベルで実装すると、それだけで破産します。
「現実的な対策」は
事業消失リスクを回避するために
ネット企業の場合はマストです。
にしても黎明期的企業がよくやりがちな、
防御力ゼロで攻撃力マックス事件でした。
冒頭から空いた口が塞がらなかったもんね。
それ知っててINしたワケだけども。
カオスこそチャンスなのです。
ファーーーーーーーーーー!
ああ。バカ野郎。