リンスに気をつけよう

永久脱毛のために何度もサロンに通う

女性なら誰もが関心を持っているかは、永久脱毛だ。実際に私も永久脱毛に非常に関心があり、実際に永久脱毛施術を受けたこともある。まず、一定の金額を支払う永久脱毛が完了するまで何度でも施術を受けているということだった。しかし、永久脱毛が完了するまで通うのが面倒なサロンに行かなくなってしまった。通うことなく一度の施術で永久脱毛ができるサロンがあったらいいのに、よく考えている。
ムダ毛処理はかなり面倒なことですが、それに適当に、お座なりになってしまっていても何も作っていない非生産的な作業になってしまいます。やはりレーザー脱毛確実に、適切に除毛してムダ毛処理は完璧にしたいですね。レーザー脱毛を利用すれば何の心配も必要なく、完璧確実なムダ毛処理できます。
　大日本印刷（DNP）と城北宣広は6月2日、Android端末向けにプッシュ通知で電子チラシを配信するサービス「チラシ直送便PLUS」の実証実験を6月末から大阪府内で開始すると発表した。2012年度の実用化を目指す。

　新聞折り込みチラシを電子化し、Android搭載の専用端末に毎朝プッシュ配信する。利用者は最初に自宅の郵便番号を入力するだけで身近な生活情報を容易に手に入れられるという。チラシは一覧表示や拡大表示ができるほか、気になったチラシを「お気に入りチラシ」として登録できる。

　実証実験は、ケイ・オプティコムを通じて実施し、モニターに配布した専門端末に生活情報を配信する「eoスマートリンク」を活用して行う。対象となるのは大阪府北摂エリア5市（豊中市、池田市、吹田市、茨木市、箕面市）のモニター500世帯。

　チラシ直送便PLUSは、「デジタルサイネージジャパン2011」（6月8〜10日、幕張メッセ）のDNPブースに出展する。

【関連記事】
サイバーエージェントとDeNA、スマートフォン向けアドネットワークを共同展開　合弁会社設立
講談社・DNP・博報堂DYメディアパートナーズ、電子雑誌を製作委員会方式で創刊


4．情報開示や対策が的確だったのかを考察

今回の場合、4月19日に気が付き、22日にFBIに情報提供、26日に告知し、翌5月1日に日本においても記者説明となっています。気が付いて1週間も経過しての告知が遅いと言っている方々もいます。私の経験では、遅い行動だとは思いません。これまでの日本の事例を思い出して頂きたいのですが、その多くが、気が付いて1カ月程度、場合によってはまだ長い月数がかかっています。深刻な事件ほど多くの時間を必要としています。例えば、恐喝されていた場合、犯人を特定するまで公表できないこともあるでしょうし、クレジットカードの場合、カード会社との調整も必要だと思います。

ただ、反省点としては気が付いた段階で、少なくとも気が付いたことだけでも告知してよかったかもしれません。しかし、まだ、なにも判明してない時点で告知すること自体が大きなリスクとなり得ます。特に日本の場合は、利用者に何をすればよいか具体的に伝える必要もあり、告知においては慎重になりがちです。

対策に関してはどうでしょうか。現段階で公開されている情報だけでは何とも言えませんが、当社で対応した情報流出事件で、パスワードのハッシュ値が流出した事件というのは記憶にありません。ほとんどは平文のまま流出しています。今回はパスワードが流出したと報道されていますが、正確にはパスワードのハッシュ値が流出したとなっています。よって犯人もそのまま使用することができません。

※執筆者註：ハッシュ値からパスワードそのもの得るには、推測したパスワードからハッシュ値を生成し盗んだものと付き合わせるか、予め計算しているハッシュ値のデータベース（レインボーテーブル）と付き合わせるかのどちらかです。現在、8桁程度のパスワードのハッシュ値は全て予め計算されていますので、それ以上の強度（出来れば15桁程度）のあるパスワードを使用していれば、現状では問題になることはありません。また、これらのパスワードの漏えい対策のひとつとして、システムの環境にもよるが、Salt（Hash化の際にパスワードと共に与えられる文字列）を付加するなどがある。

また、クレジットカードも暗号化していると報道されています。暗号化の管理方法によっては解かれる可能性も否定はできませんが、当社で事件対応した案件でカードデータが暗号化されていた例は皆無です。さらに、情報流出をどうやって気が付いたかということですが、当社での経験の大半は外部からの指摘により気が付いています。今回は（犯人が意図的に気付かせたのかもしれませんが）自分たちで気が付いています。これは、実は大きな違いなのです。

今回流出したと言われているデータが悪用されることはあるでしょうか。私は、可能性は限りなく低いと思っています。C-type（ネット市民運動）の犯行であれば金銭目的ではないからです。また、今回FBIに相談しており、彼らがどこまで本気かはわかりませんが、犯人が売却や悪用などに動けば足がつくため、下手に動けない背景もあると思います。

　※編集部註　ハッカー5類型一覧
　A-type：パイオニア
　B-Type：開発者
　C-type：ネット市民運動
　D-type：犯罪者
　E-type：セキュリティ関係者

この事件は基本的にすべて米国で発生しており対応も米国で行っているように思います。また、対応方法は良かったか悪かったかはみんなの評価はあると思いますが、1月以降一貫として法的手段で対応しています。明らかに、そういう対応することを経営で判断し動いていることだと思います。徹底的に戦うことを選択したのですから、今回の事件も予見の範囲なのかもしれませんし、もう少しハッカーと対話をすべきだったのかもしれませんし、攻撃の予見に関して証拠を押さえる努力が足りなかったかもしれませんが、毅然とした対応は評価されるべきだと思います。（つづく）

（株式会社ラック 最高技術責任者 西本逸郎）

【関連記事】
株式会社ラック
西本逸郎氏 Twitter 公式アカウント
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (1) 事件の背景にある様々なハッカーの存在
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (2) 金銭目的ではない犯行、犯行動機の脅威と変化
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (3) 「閉鎖環境だから安全」に疑問符がつく、攻撃手法の考察