SlideShare a Scribd company logo

“責任ある” 無責任な情報開示 ~あるモバイルマルウェアの報道発表に見る情報開示の難しさ~

Tetsuro Sasabe
Tetsuro Sasabe

セキュリティ情報共有・開示の難しさについて

Engineering
1 of 14
“責任ある” 無責任な情 報開示 ~あるモバイルマルウェア の報道発表に見る情報開示 の難しさ~ 笹部哲郎
とかく discloseure は難しい • セキュリティ情報の共有は難しい。 • 責任とは何か。 • 宣伝目的の disclosure。
Internet Watch 2013年3月19日 http://internet.watch.impress.co.jp/docs/news/20130319_592388.html
マルウェアの機能 • 電話帳を利用した利用者の意図しない SMS 送信による感染拡大。 • 課金メッセージの表示。 • 電話帳を利用者の意図によらずマルウェ アホストサイトへのアップロード。
セキュリティベンダーのブログ http://www.symantec.com/connect/ja/blogs/androiduracto
ブログに示された情報を使い…
検索でマルウェアサイトが判明
サイトは稼働中
他にも情報が残っていた
被害者?の電話帳が見える状態
情報共有の二大流派 • Full disclosure (意訳:ぶっちゃけ全公開) vs Coordinated disclosure (意訳:協調公開) • Coordinated disclosure の人々は responsible disclosure という言葉も使う。 Full … 派を言外に「無責任」と…。 • Coordinated disclosure は被害の拡大を防 ぎ得る開示方法とされる。
撃墜星 = kill marks • セキュリティ企業の報道発表は宣伝。 http://commons.wikimedia.org/wiki/File:A-10_Thunderbolt_II_Kills.JPG
とかく discloseure は難しい • ほとんどのセキュリティ企業は coordinated disclosure 派。 • Symantec もこの立場。 – http://www.symantec.com/security/ • にもかかわらず被害者の情報を開示する 事故?を起こす。
注記 • 公表日現在、マルウェア配布サイト = 被 害者の電話帳を掲載したサイトは閉鎖さ れています。 • ドメイン名も無効になっています。 • 著者はブログ掲載企業に対し直後に問題 の可能性指摘しています。 • 当該ブログ英語版では修正されています。 原題 How Symantec intentionally exposed malware victim's privacy.

Recommended

Smartphone security at ZenCoworking
Smartphone security at ZenCoworkingSmartphone security at ZenCoworking
Smartphone security at ZenCoworkingTaisuke Oe
 
The World of Mobile Threats: Japan
The World of Mobile Threats: JapanThe World of Mobile Threats: Japan
The World of Mobile Threats: JapanLookout
 
Azure sentinel ことはじめ
Azure sentinel ことはじめAzure sentinel ことはじめ
Azure sentinel ことはじめMasakazu Kishima
 
第六回課題
第六回課題第六回課題
第六回課題Hiroki Yoshida
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Masakazu Kishima
 
通信系オブジェの楽しみ(公開版)
通信系オブジェの楽しみ(公開版)通信系オブジェの楽しみ(公開版)
通信系オブジェの楽しみ(公開版)Tetsuro Sasabe
 
お役所風最悪なスライド
お役所風最悪なスライドお役所風最悪なスライド
お役所風最悪なスライドTetsuro Sasabe
 
6 9security2
6 9security26 9security2
6 9security2Yuki Fujino Oita Univ.
 

Recommended

Smartphone security at ZenCoworking
Smartphone security at ZenCoworkingSmartphone security at ZenCoworking
Smartphone security at ZenCoworkingTaisuke Oe
 
The World of Mobile Threats: Japan
The World of Mobile Threats: JapanThe World of Mobile Threats: Japan
The World of Mobile Threats: JapanLookout
 
Azure sentinel ことはじめ
Azure sentinel ことはじめAzure sentinel ことはじめ
Azure sentinel ことはじめMasakazu Kishima
 
第六回課題
第六回課題第六回課題
第六回課題Hiroki Yoshida
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Masakazu Kishima
 
通信系オブジェの楽しみ(公開版)
通信系オブジェの楽しみ(公開版)通信系オブジェの楽しみ(公開版)
通信系オブジェの楽しみ(公開版)Tetsuro Sasabe
 
お役所風最悪なスライド
お役所風最悪なスライドお役所風最悪なスライド
お役所風最悪なスライドTetsuro Sasabe
 
6 9security2
6 9security26 9security2
6 9security2Yuki Fujino Oita Univ.
 
Softonic journal 2012年11月号
Softonic journal 2012年11月号Softonic journal 2012年11月号
Softonic journal 2012年11月号softonicjapan
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]guestf8346b68
 
6 9security
6 9security6 9security
6 9securityYuki Fujino Oita Univ.
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践itforum-roundtable
 
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPSWhite Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPSShotaro Kaida
 
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM,INC
 
5 9security
5 9security5 9security
5 9securityYuki Fujino Oita Univ.
 
講演資料 201606 web公開版
講演資料 201606 web公開版講演資料 201606 web公開版
講演資料 201606 web公開版Ruo Ando
 

More Related Content

Similar to “責任ある” 無責任な情報開示 ~あるモバイルマルウェアの報道発表に見る情報開示の難しさ~

Softonic journal 2012年11月号
Softonic journal 2012年11月号Softonic journal 2012年11月号
Softonic journal 2012年11月号softonicjapan
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践itforum-roundtable
 
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPSWhite Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPSShotaro Kaida
 
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM,INC
 
講演資料 201606 web公開版
講演資料 201606 web公開版講演資料 201606 web公開版
講演資料 201606 web公開版Ruo Ando
 

Similar to “責任ある” 無責任な情報開示 ~あるモバイルマルウェアの報道発表に見る情報開示の難しさ~ (8)

Softonic journal 2012年11月号
Softonic journal 2012年11月号Softonic journal 2012年11月号
Softonic journal 2012年11月号
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
6 9security
6 9security6 9security
6 9security
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
 
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPSWhite Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
 
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
 
5 9security
5 9security5 9security
5 9security
 
講演資料 201606 web公開版
講演資料 201606 web公開版講演資料 201606 web公開版
講演資料 201606 web公開版
 

“責任ある” 無責任な情報開示 ~あるモバイルマルウェアの報道発表に見る情報開示の難しさ~