アカウント名:
パスワード:
悪いID/パスワードを使用しています、と通知されても変更しない・できない企業って結構あるだろうな。変更にも予算が必要だろうし、経営者の理解がない場合もあるだろうし。
外部ベンダーが作ったもので、要求仕様書にID/パスワードのことが記載されていない場合修正には追加費用がかかるよね。そんなザルなセキュリティ設定しているベンダーとは関わりたくは無いが。
個人とかだと、息子が出て行ったからもうわからないとか結構あるんですよ。コレガのクソ古いブロードバンドルータがついていたりして、さらにソイツがセキュリティホール付きだったりね。外部(外国が多い)から「お宅のこのIPアドレスからアタックされてるからどうにかしろや」とくるから、それを印刷して契約者に「どうにかしろっていわれてるよ→買い替えるといいよ」的な内容の紙を郵送してる。
NOTICEだと日本国内からだから日本語で印刷して同じことをしてる。
外部のどうにかしろメールの前にネットがつながんねーというユーザからの連絡があることも多い。後で通話履歴を確認するとやられちゃっていたんだなということが分かったりするけど、その時にはわからないのよねー
直ちに侵入が可能なID・パスワードの変更に予算組んで…みたいな悠長なことを実際にやる企業なんてあるの?保守を放棄してるとかでもない限り、考えにくい。
ID変更はともかく、パスワードの変更は簡単なのではないですか?
変更が簡単なことと、変更に予算が出ることとは別なのよ。
「悪いID/パスワードを使用しています」と通知され問題意識を持っている状態で予算がないからやらないっていう組織があることに、にわかには信じられないのです。営利企業であるなら想定被害額>投資額ならすぐに対応しそうですが。
>経営者の理解がない場合もあるだろうし。探索の結果「総務大臣からの直接勧告です」となるとびびる経営者も多いのではないか
お上にビビる程度なら労基違反などしないでしょw
nftables.confへincludeしておこう
define NICT-NOTICE = { 122.1.4.87, 122.1.4.88, 150.249.227.160/28, 210.150.186.238,}
192.168.xxx.xxxは対象外なのね
127.xxx.xxx.xxx もセーフみたいだ。安心した。
うちも同じIP使ってるからチェックしてほしかったのに
ほっとけや
放っておいた結果、加害者として逮捕されても良いのなら
毎度思うんだけどスキャンしてID・パスを適当に入れて侵入するって不正アクセス禁止法にひっかからないのかな。よくあるパスワードなら見逃してもらえるということ?
こうやって収集したリストが第三者に流出したらスキャンなどの試行せずに一発で攻撃成立するという。おそろしすぎる
通常不正アクセスにあたるから、国立研究開発法人情報通信研究機構法附則第8条第2項に基づいて実施するんでしょ?認可されると、不正アクセス禁止法が
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てす
既知のデフォルトID・パスワードなら不正アクセス禁止法にひっかからない。ただ、念為的にNOTICEは違法ではないことを明確化したりはしている。違法じゃないから民間でもやっているところはあるし、国として実施して先手を打つという考え方に基づいている。JVNが収集した脆弱性情報を発信しているのと同じことで、特におそろしい話ではない。
総務省がNICTにハッキング免状を出した
・前回はスキャンだからまあいいか的に許可出し↑現行法的にダークグレー
・今回はパスワードアタックの許可出し↑現行法的にアウト
これであってる?
まちがってる。前回も今回もやってることは同じ。で、どっちも現行法的にホワイトかせいぜいライトグレー。
これをネタに、NTTのほうから来ましたという業者が営業かけてくるのが迷惑すぎる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
設定変更 (スコア:0)
悪いID/パスワードを使用しています、と通知されても変更しない・できない企業って結構あるだろうな。
変更にも予算が必要だろうし、経営者の理解がない場合もあるだろうし。
外部ベンダーが作ったもので、要求仕様書にID/パスワードのことが記載されていない場合
修正には追加費用がかかるよね。
そんなザルなセキュリティ設定しているベンダーとは関わりたくは無いが。
Re:設定変更 (スコア:1)
個人とかだと、息子が出て行ったからもうわからないとか結構あるんですよ。
コレガのクソ古いブロードバンドルータがついていたりして、さらにソイツがセキュリティホール付きだったりね。
外部(外国が多い)から「お宅のこのIPアドレスからアタックされてるからどうにかしろや」とくるから、それを印刷して契約者に「どうにかしろっていわれてるよ→買い替えるといいよ」的な内容の紙を郵送してる。
NOTICEだと日本国内からだから日本語で印刷して同じことをしてる。
外部のどうにかしろメールの前にネットがつながんねーというユーザからの連絡があることも多い。後で通話履歴を確認するとやられちゃっていたんだなということが分かったりするけど、その時にはわからないのよねー
Re: (スコア:0)
直ちに侵入が可能なID・パスワードの変更に予算組んで…みたいな悠長なことを実際にやる企業なんてあるの?
保守を放棄してるとかでもない限り、考えにくい。
Re: (スコア:0)
ID変更はともかく、パスワードの変更は簡単なのではないですか?
Re: (スコア:0)
変更が簡単なことと、変更に予算が出ることとは別なのよ。
Re: (スコア:0)
「悪いID/パスワードを使用しています」と通知され問題意識を持っている状態で
予算がないからやらないっていう組織があることに、にわかには信じられないのです。
営利企業であるなら想定被害額>投資額ならすぐに対応しそうですが。
Re: (スコア:0)
>経営者の理解がない場合もあるだろうし。
探索の結果「総務大臣からの直接勧告です」となるとびびる経営者も多いのではないか
Re:設定変更 (スコア:1)
お上にビビる程度なら労基違反などしないでしょw
出禁 (スコア:0)
nftables.confへincludeしておこう
define NICT-NOTICE = {
122.1.4.87,
122.1.4.88,
150.249.227.160/28,
210.150.186.238,
}
よかった (スコア:0)
192.168.xxx.xxxは対象外なのね
Re: (スコア:0)
127.xxx.xxx.xxx もセーフみたいだ。安心した。
Re: (スコア:0)
うちも同じIP使ってるからチェックしてほしかったのに
余計なお世話だよ。。。 (スコア:0)
ほっとけや
Re: (スコア:0)
放っておいた結果、加害者として逮捕されても良いのなら
漏洩もセットで (スコア:0)
毎度思うんだけどスキャンしてID・パスを適当に入れて侵入するって不正アクセス禁止法にひっかからないのかな。
よくあるパスワードなら見逃してもらえるということ?
こうやって収集したリストが第三者に流出したらスキャンなどの試行せずに一発で攻撃成立するという。おそろしすぎる
Re: (スコア:0)
通常不正アクセスにあたるから、国立研究開発法人情報通信研究機構法附則第8条第2項に基づいて実施するんでしょ?
認可されると、不正アクセス禁止法が
Re: (スコア:0)
既知のデフォルトID・パスワードなら不正アクセス禁止法にひっかからない。
ただ、念為的にNOTICEは違法ではないことを明確化したりはしている。
違法じゃないから民間でもやっているところはあるし、国として実施して先手を打つという考え方に基づいている。
JVNが収集した脆弱性情報を発信しているのと同じことで、特におそろしい話ではない。
まとめ (スコア:0)
総務省がNICTにハッキング免状を出した
・前回はスキャンだからまあいいか的に許可出し
↑現行法的にダークグレー
・今回はパスワードアタックの許可出し
↑現行法的にアウト
これであってる?
Re: (スコア:0)
まちがってる。
前回も今回もやってることは同じ。
で、どっちも現行法的にホワイトかせいぜいライトグレー。
迷惑営業 (スコア:0)
これをネタに、NTTのほうから来ましたという業者が営業かけてくるのが迷惑すぎる