13/03/03 13:42
Evernoteパスワードリセット

今日Evernoteにアクセスしてみると、パスワードがちがってログインできませんでした。もうかしてアカウントが、乗っ取られたかもとひやりとしましたが、ホームページを見てみた、不正アクセスのため、リセットされたとのことでした。

最近、Apple、Microsoft、Twitterにも不正アクセスが仕掛けられたことが、記憶に新しいですが、このように事件が珍しくなくなってきています。このらの対応で共通するのが、どこも事実をスピーディに公開していることです。今回当事者で実害がすぐにあったためとくに思いますが、この素早い対応はとても重要だと実感しました。
一番怖いのは、不正アクセスについて実害はないからと勝手に判断して公開しなかったり、それに気付かなかったすることです。たぶん世界中の企業で不正アクセスが日常化していることと予想します。ITの仕事をしている自分自身も、セキュリティについては(便利なネットを安全に使うための)最大の課題だと思っています。

この対応には、私なりにいろんな方法を考えていますが、具体的にまとめるのはなかなか大変ですので、大まかな考え方を示したいと思います。

これは交通安全に似ていると思っています。交通ルールを守ることは、第一なのですが、交通ルールを守っていたって、相手がぶつかってきたら事故は起きます。つまり事故に巻き込まれないようにするための教育をすめことが重要だと思っています。
具体例をあげると、スピードの出しすぎを注意することは多いのですが、スピードが遅すぎを注意することはあまりありません。同じ道路を走るもの車同士、最高速度よりも相対速度に差があることの方が危険なケースもあります。また信号が青だとか優先道路とか、ルール上こちらに問題がない状態のときに、安全確認を怠る傾向にあります。例えば狭い道路で中央分離線を引いたときと、ひかないときでは、後者の方がスピードを下げる傾向にあるようです。これは線をひくと、こちらのエリアは私が走ってしかるべきところだから問題ない、と認識してしまうのでしょう。ちょっとわかりにくい例で恐縮ですが、簡単にいえば、ルールをまもっているのだから、大丈夫でしょ、問題ないでしょ、私は悪くないでしょ、ということです。ルールがあっても本質的な部分に関心を向けるべきだと思うのです。

セキュリティに関しても、各企業教育には熱心でPCの使用にいろんな制限をかけています。制度化やルール化がすすみ一昔前にくらべたらセキュリティ意識は、かなり高くなってきていると感じます。しかし必要なのは「意識」だけではなく「知識」もと最近感じるようになりました。
実際にコンピュータウィルスとというのはどういうものかとか、そのプログラムというのは、どのように動くのかとか、オフィスワークの女性の方でも知っていた方がいいと思うのです。それだけ最近危険度が高くなってきています。開発者ならなおさらです。

昔まだMS-DOSで業務アプリケーションを開発していたかろ、ごく普通の会社で、ごく普通のプログラマであっても、バイナリエディタによるEXEファイルのパッチあてだとか、逆アセンブラしてジャンプアドレスを書き換えたりとか、そのようなことをみんな普通にやっていました。またDISKBIOSを使ってFDにプロテクト情報を書き込んだりとか、その手の書籍を多く出回っていました。最近はOSも高度になり、プログラム規模が大きくなりすぎて、そのようなことやることはなくなってきており、それだけ低レベルレイヤに触れる機会がなくなってきている傾向があります。

私もウィルス被害には、最近はありませんが、過去には何度か遭ったことがありますが、実際に経験してみるとその怖さを実感します。(最近のシステムの大きさに、自分がブラックボックスとして目を閉じてしまっている部分に、これではいけないというあせりを感じます。)

最近の不正アクセスは、サービスサーバ自体への攻撃よりも、その内部で働くユーザのPCへの不正アクセスが多いと聞きます。そこを起点としてサーバにアクセスするようです。(勝手な分析ですが・・)
それゆえ、ユーザのセキュリティ「知識」の必要性を感じるこのごろです。