ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性の穴 (サーバセキュリティ)
たまには、本業ネタでも。
もう一ヶ月近く経過してしまいましたが、
こちらのページで紹介されているDNS(Bind9)の穴(セキュリティーホール)が見つかり
JVNVU#90255292
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
緊急っとなっている件があります。
この穴をつついてくる本人は多分知らないでやっていると思いますが、
使用しているBind9のバージョンによっては、
アクセス元ログに残っちゃってますから、
身元バレバレになってますよー、
というお知らせでした。笑
日本国内から突いているアクセス元発見したので、
これって何を条件にサイバー攻撃として刑事告訴すれば
逮捕してもらえるんでしょうかね?
サーバを停止した時間に対する損害なのかな?
明らかな業務妨害にあった事実だけですかね?
それに、被害届はどこに出せばいいんでしょうか?
サーバーのある場所の管轄なんでしょうか?
それとも管理している人の管轄?
証拠は、サーバにログだけでいいでしょうか?
なんか取り決めがどんなになっているのか興味津々です。
先日の日経新聞の記事に、
なんて記事がありました。
日本は資格大好きですねー。笑
このような資格なんて話の前に、
現状サイバー攻撃があったらどこに通報するのか?
とか、資格制度なんて考える前にやることあるだろう?
と思いますけど。
と、言っても捜査する警察側もサイバー攻撃に対する人材育成がまったく間に合ってない
と思います。
警察側もサーバーやセキュリティ関連の知識だけではなく、
この手の事に対応できる人(心)としての育成ができないと、
とんでもない痛い目に合いそうですから、慎重なんでしょうかね?
単純に、警察側でハッカーを抱え込むという話ですからね。笑
まあ、この手のことは20年近くやってきてますので、なんでしたらお手伝いしますよー。笑
話がそれましたが、サイバーセキュリティーの国家資格について、私は問題があると思います。
自分の経験上の話ですが、コンピューター系の資格を持った人は、言うことはデカイけど、結果なにもできなかったり、持っている資格で満足しちゃっている人が多いのが現状かなーと。
特に若い時代(高専卒など)に資格とっている人は、世間ではどちらかというとNGな人ってイメージが強いかと思いますが…。
サイバーセキュリティーなどは、内容から考えて、時代に合わせて常に新しい情報を持つ必要があるものに関して、国家資格はないと思います。
自動車などの運転技術のような技能が必要となる内容ならば、資格制度は当然必要かと思いますが、コンピューター系の資格、将来的にお金だけ払って更新なんて資格ならば、資格制度の内容を根本的に考え直した上で、何のための資格なのかをもっと考えたほうがよいかと思います。
それにサイバーセキュリティーの国家資格を取得しても、どこぞの企業のSEなんて名乗っている以上、資格手当なんて雀の涙じゃないですかね?
その資格がないと事業ができない弁護士とか、日本のネット系だと.ad.jp所有者とかなら話は別ですけどね。
しかしあれですなー、サイバーセキュリティーを国家資格にしようと考えた人は、サイバー攻撃対策がマニュアル化なんてできると思っているんですよね?
その時点で、サイバー攻撃してくださいって言っているようなものだと思うのですが。笑
セキュリティーホールはソフトウェアの更新が続く限り、
永遠の課題なので、国家資格をもった人は何ができるのかが興味津々です。
警察に通報できるとか、
対策相談を仕事としてできるとか、
一級建築士みたいに、人の作った書類に印鑑押せる、
とかだけだったら本当にがっかりだ。笑
