パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

岡山県玉野市全市民の個人情報入りパソコン、東京の委託先業者が紛失 」記事へのコメント

  • > 紛失したノートパソコンを起動するにはユーザー名とパスワードの入力が必要なため、社外の者が起動することは困難

    これって、ログインパスワードじゃないの?それともOS起動前に認証がかかるような仕組みでも採用してるのかなぁ。

    それにしても、起動させなくても HDD 外したりすればデータが読み取れたりしませんかね。
    # 発表資料で、暗号化の有無について触れられてないってことは、おそらくそういうことは何もされてない、と。
    ## しかし規定では暗号化することになってるようだが…

    --
    入手した者がそこまでするかは分からないが

    • by Anonymous Coward on 2012年12月08日 15時35分 (#2286943)

      まともな運用の場合、ISO云々の認証を通すために
      持ち出すためのPCにはUSBセキュリティトークン+ユーザ名、パスワードセットでディスク上のデータをすべて暗号化し、
      PC起動時(OSではなくBIOS直後のレイヤー)で
      ユーザ名、パスワードを数回間違えたら
      リカバリ不能かつ他PCにディスクを載せ替えても中身は見えない、という運用をします。
      というかせざるを得ません。

      ※ USBセキュリティトークンは要求セキュリティレベルに応じて無しの運用もアリ

      そのうえで、今回の正式報道PDFには

      >紛失したノートPC の起動には、
      >当社の定めた規定に沿ったユーザー名及びパスワードの入力が必要です。
      >いずれも、英大小文字、特殊文字、数字の組み合わせで設定されているため、
      >社外の人間が、ユーザー名及びパスワードを推定して起動することは困難です。

      とありますので、
      上記起動時のユーザ名、パスワードであったことは間違いありません。

      暗号化については触れられていませんが、
      通常は上記セキュリティソリューションの導入時にデフォルトで暗号化されるのが普通ですので
      「書いてないからやってない」という印象は受けません。

      親コメント
      • by Anonymous Coward on 2012年12月08日 17時35分 (#2286981)

        ユーザ名、パスワードがなければOSが起動できないという事は、
        逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので、
        紛失したノートPCの電源が切れていなかった場合、ユーザ名、パスワードを類推することが可能ですよ。
        http://news.mynavi.jp/news/2008/02/22/026/index.html [mynavi.jp]

        親コメント
        • by Anonymous Coward on 2012年12月08日 18時00分 (#2286990)

          >ユーザ名、パスワードがなければOSが起動できないという事は、
          >逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので

          まず、今回の件で挙がっているセキュリティソリューションのほとんどは
          コールドブートのとき、スクリーンセーバーからの復帰時、スリープからの復帰時などについて
          (実際には、上記につながる状態遷移の際に認証済みであるという情報を強制破棄しているため)
          強制的な再認証を要求するものがほとんどです。
          ですので、OSにログインしたままでスクリーンセーバーもかからずスリープもしていない、
          本当にOS操作可能なまま放置されていたのでもなければ、
          ユーザー名とパスワードの入力が要求されることは間違いありません。

          次に、上記のようなセキュリティソリューションでは
          セキュリティソリューションでの認証後にOSが起動していても
          (OSではなく、セキュリティソリューション側の)
          ユーザ名、パスワードはDRAMの中には持たないのが一般的です。
          実際には、ユーザ名、パスワードで認証が通ると
          「認証が通った状態であることを証明する情報」がメモリ上に一時的に作成され、
          これがある間は暗号化されたディスクの復号ができ、また端末の操作が可能となります。
          この情報は、上記「それが破棄される契機」で強制破棄されます。

          結果として、今回のノートPCを拾得したものが
          ノートPCを開いてスリープから復帰した場合には、
          ユーザー名もパスワードも、また「認証が通った状態であることを証明する情報」も存在しない状態で
          ユーザー名とパスワードの入力を要求されます。

          親コメント
          • by Anonymous Coward

            マジレスするとは
            OSが起動し続けていたと仮定するのがそもそも無理筋なんだから
            難癖つけたいだけだろ

          • by Anonymous Coward

            MicrosoftのBitLockerはスリーブ状態でもDRAM 内に暗号鍵が存在しますよ。
            http://blogs.technet.com/b/jpsecurity/archive/2012/06/26/3505962.aspx [technet.com]

            • by Anonymous Coward

              今回件で言えば、使われていたのがBitLockerであるという情報は見当たりません。
              どこかに明記はありますか?
              データレベルだとBitLockerを単品で使っていることはなく、
              おそらくSafeBootなどになるはずだと思います。

              そのうえで、セキュリティソリューション全般の話では
                  #2286990 が一般的な見解となります。
              そこで「BitLockerという例外はある」という話は、
              今回の件がBitLockerを使用している話であるという限定条件が付かない限りは
              言っても意味ないでしょう。
              どんな物事にも例外はありますけど、言い出したらキリないですよね。

              ですので、「今回の件で使用されているのはBitLockerかつ単品利用だ」を示してください。

              • by Anonymous Coward

                >データレベルだとBitLockerを単品で使っていることはなく、
                >おそらくSafeBootなどになるはずだと思います。
                であることを明示してください

                はあバカらしい

              • by Anonymous Coward

                >>データレベルだとBitLockerを単品で使っていることはなく、
                >>おそらくSafeBootなどになるはずだと思います。
                >であることを明示してください
                >
                >はあバカらしい

                「バカらしい」で表現されるのはのはあなただけですね。

                幼稚園児などが現実を無視した一方的な決めつけ(内容は誤っている)に走った際、
                周囲がそれをさとすために
                より現実的な例を「あえて同じレベルで」挙げたり、
                その決めつけが正しいとするとこのような矛盾があると「あえて同じレベルで」挙げたりします。
                これはしつけの基本の一つです

                自分がそのように扱われていると気付”け”ないのであれば、
                あなたはかなり厳しい幼少期を過ごした方なのでしょう。
                悪いことは言いませんから保護監督者のもとで、
                スラドのようなごみ溜めを見ることもない生活を送るように周囲に助けを求めるべきです。

        • by Anonymous Coward

          私もDRAMからデータを入手する為に必要な情報を得る方法があったのを思い出していたのですが、実際この方法はそう簡単に(jbeef先生の様な方でなく、ごく普通にパソコンが扱える位の一般人が)できるものなのでしょうかね?

          • > 実際この方法はそう簡単に(jbeef先生の様な方でなく、ごく普通にパソコンが扱える位の一般人が)できるものなのでしょうかね?

            物理的には楽勝でできますね。
            ダンプからパスワード等を特定できるかは別として。

            親コメント
            • by Anonymous Coward on 2012年12月08日 21時09分 (#2287081)

              >物理的には楽勝でできますね。

              そんな簡単じゃないですよ。

              ICチップの表面はがして直にスキミングするとかもそうですが、
              この手のものは
              「理論上できるけど、実際やるにはとてつもなく大変で慣れた人間でも失敗がほとんど」です。
              一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、
              しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして
              適切なタイミングでデータを抜くことを試行する必要があります。
              そこまでやって「抜けることもある」です。

              本当の意味で一発勝負であれば専門の人間がやっても成功する確率は
              データが抜ける時点でほぼ低く、抜いたデータにパスワードなどが含まれており破損していない確率はもっと低いものです。

              この辺は、
              「何度も何度も失敗を繰り返し、偶然超うまくいったときの動画だけ見ろと言っている」の典型例ですね。

              親コメント
              • > 一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、
                > しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして
                > 適切なタイミングでデータを抜くことを試行する必要があります。
                > そこまでやって「抜けることもある」です。

                その方法だとサルベージ側PCが結露して壊れるよ。

                親コメント
      • by Anonymous Coward on 2012年12月08日 17時07分 (#2286970)
        暗号化されていれば安心させるためにそう報道するでしょ
        親コメント
      • by Anonymous Coward on 2012年12月08日 15時45分 (#2286951)

        >まともな運用
        いやぁ、そんな運用してたらそもそも・・・
        この杜撰な現実の運用とセットでありえるのはwindowsのログインパスワードだけと
        普通は思いますね。

        そんな情報はいっていたら、怖くて普通は持ち出せないと思いますし
        ましてや網棚に乗せる神経が判らないです。

        光回線導入したとき、端末装置の設定にきたおじさんが使用していたパソコンは、
        指紋認証とかついていて流石と思いましたが。
        なんせ、局側の設定もリモートでしてしまえるので、紛失したらしゃれにならないと。

        親コメント
        • by Anonymous Coward

          長いので要約: 証拠はないけど叩きたい

      • >まともな運用の場合、ISO云々の認証を通すために
        >持ち出すためのPCにはUSBセキュリティトークン+ユーザ名、パスワードセットでディスク上のデータをすべて暗号化し、
        >PC起動時(OSではなくBIOS直後のレイヤー)で
        >ユーザ名、パスワードを数回間違えたら
        >リカバリ不能かつ他PCにディスクを載せ替えても中身は見えない、という運用をします。
        >というかせざるを得ません。

        うちの会社だとBIOSパスワード(ユーザ名は無い)、HDD暗号化、OS loginUserとパスワードだけだ。
        まともな会社ではないとは薄々思ってたけど、世間様から見るとそうだったのか・・・
        (パスワード3つでも毎月変えたりするとめんどくさいのに)

        親コメント
      • by Anonymous Coward
        パスワードについてそこまで詳細に説明しているのに、暗号化について一切触れていないのは、暗号化してないと解釈するのが自然かと。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...