Innovative ways to fool people:Web2.0に代表される、インターネットの将来に対する楽観は否定しないけれども、ダークサイドは理解しておかねばならない。セキュリティだからと言って、システム監査とかSarbanes-Oxley Act(サーベンス・オクスリー法、いわゆるSOX法)といった、誤解を恐れずに言えば形式主義的に実行されがちな領域のことを指しているのではない。本当の意味のリスク管理ポイントは実は別のところにあるのではないかってこと。この記事はそれを感じることのできる秀逸な出来だと思う。ここで何度も例に挙げられている日本の某有名銀行(ここで述べられているSWIFT絡みの事件は報道されたのだろうか?)の方はもちろんのこと、いろんな金融関係者やCSO、情報システム部門責任者に読んでもらいたいと思う。
Scott Granneman's latest column looks at recent security examples where people have been fooled in increasingly innovative ways: from keyloggers used in a massive bank heist and new Trojans that encrypt data and request ransom money, to real financial rip-offs that extend out from online virtual gaming worlds like World of Warcraft.
ところで、いわゆるシステム監査やソレ系の仕事に関わる方達は経験や実績ということで、どうしてもそれなりの年齢の方になってしまう。でも、どこまでこの21世紀の世界を理解できているのだろうか。彼らがKeyLoggerなどのトロイの木馬やRootKitのようなバックドアの実態を知っているかどうかは甚だ疑問だ(要求されてもいないだろうが)。また、先月、ゲームがもたらす仮想経済と現実経済の関わりについて少し書いたのだけれども、この記事にあるように、悪い連中が、賃金の安い発展途上国の人達を使ってアイテムを増やし、オークションによってリアル経済に関わっていることもあまりご存じないだろう。EverQuestの仮想世界であるNorrathのGNPは、約1億3500万ドルで世界79番目の規模らしい。ソニーがEverQuest IIのためのオークションサイトを開設したらしいが、インターネットのダークサイドをどこまで知っているのかには興味がある。
アチラ側とコチラ側、プログラマと経営者、監査系と技術系、ゲーマーと非ゲーマー、いろんな溝があるんだけど、頭のいい奴は、この記事のタイトルである「Innovative ways to fool people」という形で、そういう溝を利用しようとする。冒頭で述べた、別のリスク管理ポイントとはそういう溝に関係するグレー領域というか、「両眼で見る」といったようなことだと思う。自分は「どちら側」ということを意識しがちだけど、当たり前のこととしてバランス感覚が要求されるってことだ。Julius Caesar(カエサル)の言うように、"libenter homines id quod volunt credunt (Men willingly believe what they wish)"ではダメだということですな。思い出したのが「グーグル幻想の『毒消し』」と称して展開された、月刊FACTA阿部編集長のウェブ進化論6――出会い系の「冬ソナ」入門編。読んだときは正直「ちょっと違うんちゃうか?」と苦笑いのだけれど、「見たくない現実も見よ」という意味では結構イイ線を突いているのかもしれない。ところで、下記引用にある、「『金か人生か』は『データか人生か』に単純に置換できる。21世紀なんだぜ」という部分はドキッとさせられるなあ。
Innovative ways to fool people:で、僕はと言えば、こういうダークサイド面も軽視できなくて、少なくとも企業においてはPC利用は終焉させるべきではないかと考えたりしているわけです。少しでもリスクを減らすには、70年代~80年代のダム端末に戻るしかないと思える。今風に言えば、WBT(Windows Based Terminal)のようなガチガチの完全Thin Clientか、以前、Netscapeが提唱したWebTop+Ajax Appか。Google PCが企業ユースも睨んでそういう方向性も兼ね備えているとハッピーなのかなとも思うけどねー。
In one sense, all three of the criminal attacks I've discussed aren't original. In the case of Sumitomo Mitsui, the attackers used inside access, disguise, and keyloggers, while the perpetrators of ransomware use the same threat victims have heard for millenia: 'Your money or your life!' Just substitute 'data' for 'life,' and you're now in the 21st century.
[Security][KeyLogger][Virtual Economics]