気がつけば…




最後に記事を書いてから、すでに3ヶ月が経っていた。
なんてこった。サボるにもほどがあるよなぁ~

こうしている間にも、世間ではいろいろな事件や事故が起こっていますね。
例えば…

カード情報窃盗で3人が起訴された(被害規模は過去最大の1億3000万件)  とか
中国政府のフィルタリングソフト導入の目論見が失敗に終わった  とか
IE8がセキュリティテストでFirefoxやGoogle Chromeに勝った  とか
攻撃のターゲットのトップはソーシャルネットワーキングサービス(SNS)  とか
新しいウイルスの52%は、その生存期間が24時間  とか

その他にも、たくさんありますねー。
まぁ、今回は細かいことは割愛させていただきます(って放置しておいて、ソレなの?!)

では、この辺で…   えぇぇぇっ




ソーシャルネットワークが殺人の道具に…



個人情報をネット上に公開するのは危険! ってのは分かっているけれど、殺人の道具にされるなんて…。ホント、怖い世の中になったもんだ。

ドイツ出身のDavid Heiss(21)は、今回被害者となったMatthew Pykeさん(20)の彼女であるJoanna Wittonさんに対し狂信的な想いを抱いていた。

PykeさんとWittonさんは、任天堂DSの「Advanced Wars」というゲーム向けのフォーラムを通じてHeissと知り合った。Heissは、その後Wittonさんに対し恋愛感情を抱くようになり、何度も彼女のFacebookプロファイルを訪問する。しかし、ネット上の付き合いのみでは物足らなくなり、ついには彼女とPykeさんの暮らす英国のアパートを訪れ、彼女に会いに行った。彼女らが住んでいるアパートの住所や勤務先など、必要な情報はすべてネット上から得ていた。

こうしてはるばる英国まで彼女に会いに行ったわけだが、当然門前払いをくらってしまう。で、どうしたかというと、それから1ヶ月の間英国に滞在し、彼女をストーキングした。これが昨年7月のこと。

その後、一度はドイツに戻ったが、あきらめきれず8月に再度彼女のもとを訪れる。このときも、彼女からは会うことを拒絶される。これをきっかけに、Heissはフォーラム上に脅迫状を送るようになる。が、もちろん彼女は本気にしない。「ネット上での脅迫なんて、よくあることだと思っていたわ」というWittonさん。

そして、9月。Heissは再び彼女らのアパートを訪れる。それでも彼女に会えないHeiss。溜まりに溜まったフラストレーションを抑えられず、持参したナイフでPykeさんに切りかかってしまう。

Pykeさんは、大量出血により死亡。彼の体には、なんと86箇所にもおよぶ刺し傷があった…

裁判によりHeissに下った判決は、「無期懲役」。

ネット上のトラブルが殺人事件にまで発展した今回のケース。稀なケースかも知れないが、改めてネットの怖さを思い知った感じがする。普段、何となく書いているブログや、特に考えもせずに投稿した記事やコメント。そこには、自分でも気づかないうちに多くの個人情報が含まれているのかも知れない。

例えば、俗にプロファイラーと呼ばれる人々は、掲載された写真や記事の内容から、その個人の私生活や普段の行動が分析できるという。家族構成や友人関係、行きつけのお店、職業、好きな食べ物、飼っているペットの名前、通常使用する交通機関など、様々な情報を得ることが可能だ。

今回の事件を受けて、警察はネット上への個人情報の開示について、さらに注意するよう警告している。

別の場所に書いている自身のブログを読み返してみたが、写真も割とたくさん掲載しているし、どこどこに誰と行った、などという情報も多く書いてあるなぁ。参加しているコミュニティからも、どんな人間なのかが分かってしまうし。かと言って、ブログを公開している以上、暗号文みたいなのばかりでは、読んでくれる人もつまらないだろうし(イヤ、反対にそのほうが面白いのか?)

言論の自由…  

自由を求めるには、それなりのリスクも背負わなければならないということか。テレビ放送で、放送禁止用語を使ったら「ピーッ」って鳴るように、あまりにも個人的な言葉を書き込んだら同じような警告音が出る仕組みってないかなー?

私は昨日、Aさん(ピーッ)と○×公園(ピーッ)で…

って、書きずれぇ~

やっぱり、最後は自己責任だな。

国民性の問題か?




いつも思うけど、アメリカ人のアバウトさには驚かされる。

昨日、カリフォルニアのゴルフ場に予約のための電話をかけた。こっちは夜中の4時、向こうは昼の12時。コレだけ時差があるのに、ほぼ同じくらいどっちもテンションがアップなのには笑えたけど。必要事項を伝え、予約を取り付けると、「確認メール送る?」と聞かれたので、「うん、ぜひ」と答えると、数分のうちに送られてきた。

内容を確認しようと中身を見ると…

え?予約した名前のスペルが違うんですけど… 予約の人数も違うんですけど…

念のために言っておくが、これは英語という言葉の壁が原因ではない。一応、英語での日常会話くらいはできるし、電話では正しい情報が伝わっていることも確認している。すぐさまメールに返信し、確認メールの内容に誤りがあること、修正して再度新しい確認メールを送信してほしいことをお願いする。さっき、レスが早かったから、今度もすぐに対応してくれるだろう。

しかし、30分待っても連絡が来ない。だんだん(酒が切れてきて)眠くなってきたし、かといって気になったまま床に就くこともできないので、再度電話をかける。

Ring Ring Ring 電話

"This is XXX, can you hold?"

あー、はいはい、待ちますよ。

あ、余談だけど、上記はアメリカではよくあること。電話に出たと思ったら、その第一声が「わり、ちょっと待って」って。しかも、相手が「NO」と言うことは全く想定していない聞き方。まぁ、まず日本の会社ではありえないよな。慣れてる人間にはどってことないけど、英語での電話に慣れていない人は大抵面食らってしまう。もしくは、聞き取れない(この場合、質問文なのに語尾を上げないから特にね)。で、「え?何?」って考えている間に、ブチッって保留にされちゃうんだよね。

それはともかくとして、数分後つながった別の担当者に、届いた確認メールの内容に誤りがあったことを伝え、直してもらう。次に送られてきた新しい確認メールには、きちんと正しい情報が記載されていた。 なので、安心して眠りに就く。

で、今日。イヤ、正確には電話したときから日付は変わってないけどね。最初の担当者からメールが届いた。

「あー、あの確認メールは、要は時間が分かればいいんだよー。後の情報はぶっちゃけそれほど重要じゃないんだよねー」ってな内容。

えぇぇ?! いいのか、そんなアバウトで? 朝から脱力してしまいましたよ。

でも、思えばアメリカの中小企業なんて、そんなのが多いよなー(さすがに、大きいところはもう少ししっかりしてると願いたいが)。で、考えた。今、日本でも少しずつではあるが普及しつつあるPCI DSS。発信源のアメリカでは、既に多くの企業がPCI DSSに準拠済みだ。しかし、PCI DSSってのは、もちろん最初に準拠するときもそうだが、その後準拠した状態を維持していくのも大変な基準である。アメリカの中小企業で情報漏えいやセキュリティ侵害が発生するのは、こうしたアバウトさが一つの原因なんじゃないか?アメリカに限ったことではないが、セキュリティ対策において、「あー、まぁ、こんなもんでいっかぁ~」という妥協的な姿勢がクセになってしまうと、絶対に抜けが生じる。もちろん、きちんと現状分析をしたうえで、関連するリスクを理解、その一部を許容するという前提があるなら別だ。

昨今、情報セキュリティに関する基準が次から次へと出てくるけど、どうも基準に振り回されている気がしてならない。みんな、基準に準拠しようと躍起になっているけど、基準はあくまでも基準。基準に準拠したからって、攻撃されないという保証はないのですよ。

企業は、「準拠」が目的ではなく、「保護」を目的としてセキュリティに取り組んでほしいな。