ファイル偽装の復権が来るんじゃないか
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

ファイル偽装の復権が来るんじゃないか

2015-10-04 02:52
    DQ6を十数年ぶりやっているんですよ。
    あと7も。
    7やってるってだけでこうネタになる感じが得ですね。
    振り返ればDQってなんだろうってのをそのうち書こうと思っています。

    ***

    えと、クラウドな時代じゃないですか。結構な。
    で、よく分かってない人たちが怖がっているじゃないですか。
    まあ、リスクもあり、メリットもあるわけなんだけど見極めがね。

    実は数年前に警視庁コンピュータ犯罪特別捜査官の警部補試験の最終候補に残ったことがあるんですが実はそのとき論文試験でクラウドの危険性を述べるならどういうことかという出題があったりもして、まあ時代だなぁと思ってたんです。

    最近は会社のルール的にもクラウド接続禁止とか、Winny禁止の時代のころのように言われますね。

    10年ぐらい前の思い出で社内で『Winny検出ツールを作ったので、自宅でかならず実行してください!』みたいなお触れがでたときに、batファイルが全員に配れてきたことが合ったんですけど、叩くのこえーなと思って中読んだら、winny.exeという名前をCドライブから探しているだけで、これが日本のSIer企業かといたく感動したものです。

    はい。

    で、まあクラウド。なんですけど、Dropboxへのアクセス見つけたら磔にしてやると意気込むわりにはガンガンGmailみんな使ってるんですよね。バカなのかな? と感じてしまいますね。

    正直なところ、Webメールを認めると欲しいファイルを添付ファイルで自分宛てに送るなどでクラウド化してしまうわけですし、他人に送られたらばもう。ってことですよね。

    ***

    で、社内情報システム部もどこまで見てるんだろうかなぁとは昨今の情シストレンドは気にはなるんですが、個人的に熱いテーマが今再びファイル偽装。

    名作レトロゲームをテーマにしたブログをおこなっており、支社扱いでここで縛られないゲーム系話を書いているのですが、ゲームには著作権違反のダウンロード問題はつきまとっているのはご周知の通りで13年前とかは普通のレンタルサーバとかにアップロードされてたんですよね。

    ゲームは実機派! という身としてはそういう楽しみ方は遊ぶことよりもそういう行為が楽しいんだろうなと認識していた程度なんですが、サーバ管理者に削除されるのを防いだりするためだったりとかで、様々なファイル偽装ツールが流行したんです。

    ファイル偽装のツールブームみたいなのがあってね。もうツール自体がネタにもなってて。

    ***

    そんなこととかを思い出しながら、昨今のクラウドブームなんですが、外向けの通信の許可不許可の範囲や、社内の多数がアクセス可能な場所に置くべきレベルのファイルであったりとか社内の情シスレベル、他人の目を欺く程度ぐらいならファイル偽装ベースでかなりの部分がスルーされてクリア出来てしまうんじゃないだろうかと個人的に少し危惧しています。

    例としてあげるなら、共有フォルダに「ond32.dll」という名前のファイルが一瞬目についてもどうしようとも思わないと思うんですよ。でも実は拡張子をzipに書き換えて解凍が可能で。中は共有したい見積ファイルで。そんなことすればフロアAからフロアBへのファイルがそれで行えたりとか可能だよね。しかもパス付きzipならもう最強じゃん。

    メール添付のファイル名監視されてても、「Re:先日はありがとうございました.eml」なんていうファイル添付ひっかかったとしてこのログ見て監査行為するとはあんまり思えねぇなって。でもこのemlファイルって本体は拡張子偽装のRARだったり。

    あなたのクラウド接続、メールファイル添付。社内ではどんなファイル名までか見抜いていますとか言われようものならもう、自分のファイルを全部げろしゃぶ偽装にしてしまいたいですね。

    ***

    そんなことを思いながら実行はしませんが、本質的な部分が曖昧なままクラウド禁止、対策として甘い行為を見るたびにファイル偽装(単純なファイル名、拡張子偽装からのライン含めて)でどの程度欺けるのか興味を抱いていたりします。

    ***

    聞いた話ですが、FF3移植困難話の際に、当時のプログラマーは自分の範囲を他人に読まれるのが嫌な人が多かったらしく各個人PCでソースを管理していてしかも暗号化などをほどこしているひとが多かった逸話を聞きました。ナーシャ・ジベリとか。

    ***

    そんなわけでクラウドのリスクを鑑みるに泥臭い考えですが、ファイル偽装レベル行為しておくだけで想定されうるリスクの大部分が回避できるんじゃないですかね。
    なんていう結論なんですが。
    時代はどこまでも回るのでしょう。何も得られないIT奴隷社会。
    マイナンバーなんかMelt it!で一発なんですよ(意味不明



    ※当ポストは違法性、内規違反行為を助長する目的はなく、情報セキュリティスペシャリストなどの資格保有の立場の人間としての安易な「クラウド接続」が悪であるということとするトレンドに対して、そういう考えは本質な対策にはなり得ないという警鐘のための思いで投稿しております。
    広告
    コメントを書く
    コメントをするには、
    ログインして下さい。