NTT東日本フレッツ光メンバーズクラブの不正アクセス事件
4月4日にフレッツ光メンバーズクラブのサイトが攻撃を受けた。数万の不正アクセスで数十の不正ログインが行われたようだ。特定のIPアドレスからとだけして具体的な場所は公表していない。
偏見になるかもしれないが、多分、これも中国でしょう。中国は意図的に踏み台になっている可能性がある。サイバーウォーの言い訳のために用意している可能性さえ否定できない。
4日に続いてサービス再開後の9日にも攻撃を受けたため、
NTT側の対応としては、サイトの一時閉鎖(IDパスワードのロック)を行い、現在は初期化・再設定をユーザー(メンバー)に要求している。
https://flets-members.jp/pub/info/20130404info.html?link_id=info
https://flets-members.jp/pub/info/20130410info.html?link_id=info
発表は比較的早かったようだが、個人情報が流出してしまったメンバーへの対応はどんな内容になるんだろうか。
.*.
ISMSの観点では;
《ネットサービス提供者の作法》
日頃から中国からのアクセスについては帯域を絞って被害が深刻にならないようにすべきだろう。犯罪の温床地域からのアクセスを黙って通していることの方が余程異常なことだと認識すべきです。
国内のサーバーなら関係者を捕まえに行けばよい。
事後対策より未然防止。それが管理の基本でしょう。以上アクセスを検知した段階では帯域を絞るだけでなく、遮断してしまうこと。実際はダミーのトラップネットへ誘導してやればよい。ログインできたと見せかけて犯罪者の情報を逆に取りに行く仕掛けです。犯罪者側の防御能力も調べることが出来るはずだ。不正なアクセスは諸刃の刃と知らしめるのです。
.*.
《利用する側(メンバー)の作法》
情報の入力はミニマムにすること。必須事項だけの入力にする。アンケート感覚で様々な情報の入力を要求するサービスサイトがあるが、あれはサイト管理者が未熟な証拠(率直にバカということです)。必須事項以外の入力欄があるのは多分いい加減な会社。アンケートならアンケートで協力を依頼すればいいのだが協力者が少ないから場違いのところでアンケートを始める愚かしさです。
必須事項が多すぎると感じたら、偽情報を入れます。サービスの本質関係ない入力項目には正しい情報を入れる必要はありません。
.*.