実はCISSPを受験しようと思ってて、最近その勉強をしている。(結構長く勉強してるはずなんだけど、業務が忙しくて実質時間が書けられてなくて進捗だめであああああああああああああああああああああああああああああああ）。まあ、こういうこと書いてるからなのかもしれないんだけど、しかたがない（しかたなくない）

CISSP自体に暗号はドメインとして含まれていないのだが、ドメインをまたがる問題として出題されているので、結城先生の「暗号技術入門」を読書している。

せっかくなので、そのアウトプットとしてGoでAES・CBCモードのSecret Keyを実装してみることにした。 余談だが、共通鍵方式はSecret Key, Common Key, Shared Key...など色々あるようだが、CISSP(の問題)ではSecret Keyに統一されているので、本投稿もそれに合わせる。

尚、@ken5scalは暗号技術の専門家ではないので、間違いはあると思う。何か見つけた場合は是非連絡を頂きたい。

AESアルゴリズム

さて、AESアルゴリズムの実装に入る前に、その説明だけしておこう。 これは別名Rijndaelアルゴリズムともいい、DESが機械の性能向上により物理的敗北を喫したのをきっかけに、NIST(米国立標準技術研究所)によりFIPS(連邦情報処理標準規格)と認定された。これにより保管データ暗号化時の推奨アルゴリズムとして、デファクトとなる。@ken5scalの使うMBPのディスク暗号化機能「FileVault」もAESアルゴリズムを利用している。

面白いのは、このアルゴリズムがNISTによって秘密に作成・運用されているのではなく、DESに変わるSecret Keyアルゴリズムを選定するコンペで採用されたものであり、公開されていることだ。wikiにも結城先生本にも記載されてるし、NISTもがっつり公開している。*1

実は米国は、AESが選定されるまで暗号に関しては非常にクローズな立場をとっていた。1992年の時点では暗号化ソフト(含むアルゴリズム)をAuxillary(補助的?)軍需品と指定し、輸出規制の対象としていたぐらいである。具体的にはアルゴリズム・鍵長(40bit以上)で規制をかけてた*2。当然、通信の暗号化などプライバシーの強化に大活躍したが、それと同時に犯罪者によっても悪用される。従って、法執行当局のシギント的捜査が難航するからコントロールしようとするのは当然のことだろう。包丁をコンビニに置くと...みたいな話に感じそうだが、当時の背景（第２次世界対戦後と冷戦後）を考慮すると、「せやな」と思えなくもない。当局による取り組みの１例としては、1994年に「鍵預託」(key escrow)というシステムを組み込んだ「預託暗号標準(EES)」があるだろう。ホワイトハウスはこれを承認し、電話通信・コンピューター通信に個人の秘密鍵を埋め、同時に鍵のコピーを連邦当局に保存する方向に持っていこうとしてた*3。日本のマイナンバーの前身みたいなものだろうか。

でも、結局のところ、規制を米国ほどかけたくないヨーロッパや市場からの反応により、管轄が1996年に国務省(Department of State)から商務省(Department of Commerce)に移管され、それとともに軍需品の対象ではなくなった。そして、その後色々あって(知らない)、2000年のAES選定につながる。ただし、現在でも輸出規制が完全になくなったかというとそうではなく、Secrete Keyアルゴリズムは鍵長64bit超のもの且つマスマーケットになっていないものが輸出規制対象となっている。*4

なお、米国に暗号の輸入出規制があると書いたが、別に米国に限ったものではない。武器輸出を規制するワッセナー・アレンジメントに調印した国や、独自の基準をもつ中国など、様々な規制があって面白いので、別途調べてみたい。*5

AESアルゴリズムとは(リトライ)

AESルゴリズムはブロック暗号アルゴリズムで、固定長(128bit)のブロックを、128/192/256bitの鍵で暗号化するもの。この暗号化は複数回行われ、各回(ラウンド)ではSubBytes -> ShiftRows -> MixColumns -> AddRoundKeyするもの。それぞれの解説は図が絡むのでしないｗ　結城先生の「暗号技術入門」を買ってください。実装といっても、そんな難しくはなく、すでにGoでは標準パッケージ「crypto/aes」で容易されているので、それを使ってやればおｋ。

// AESによる暗号化
func EncryptByBlockSecretKey(key []byte, plainText string) ([]byte, error) {
    c, err := aes.NewCipher(key); if err != nil { // NewCipherで暗号オブジェクトを作る。
        return nil, err
    }
    cipherText := make([]byte, aes.BlockSize)

    c.Encrypt(cipherText, []byte(plainText)) // Input/Output must be 16bits large
    return cipherText, nil
}

func DecryptByBlockSecretKey(key []byte, cipherText []byte) string {
    c, err := aes.NewCipher(key); if err != nil { // NewCipherで暗号オブジェクトを作る。
        fmt.Println(err.Error())
        return ""
    }

    plainText := make([]byte, aes.BlockSize)
    c.Decrypt(plainText, cipherText)

    return string(plainText)
}

func main() {
    plainText := "1234123412341234"

    key := []byte("1234123412341234123412341234123") // あえてAES規格ではない鍵長を使う
    fmt.Println(EncryptByBlockSecretKey(key, plainText) 
        # crypto/aes: invalid key size 31                                       <- 暗号オブジェクト作成時にKeySizeErrorが発生

        key = []byte("1234123412341234") // AES-128
    fmt.Println(EncryptByBlockSecretKey(key, "12341234123412345")) // Longer than 16 byte
        # [196 235 186 96 98 151 252 89 132 220 117 226 229 247 4 48] <nil> <- 1ブロック以上は処理対象にならない

    fmt.Println(EncryptByBlockSecretKey(key, "123412341234123")) // Shorter than 16 byte
        # panic: crypto/aes: input not full block

    cipherText,_ := EncryptByBlockSecretKey(key, plainText)
    fmt.Println(cipherText)                     
        # [196 235 186 96 98 151 252 89 132 220 117 226 229 247 4 48]

        plainText = DecryptByBlockSecretKey(key, cipherText)
    fmt.Println(plainText)
        # 1234123412341234 <- 復号できた。
}

しかし、これでは固定長の平文しか処理できない。固定長以上の平文を暗号化したい場合、16byteのブロック長にきって暗号化を繰り返せばいいのだが、これをブロック暗号のモードを実装しなければいけない。これを次回は実装してみる。

追記( @bata_24さん ありがとうございます）＿

• 復号化 vs 復号 前職のパイセンにもよく言われていたが、本来"復号化”は国語的におかしいみたいだ。なぜなら「復号」は暗号文を元に戻すという意味の動詞だからそうだ。暗号は名詞以外の定義はない。よって、暗号化の対義語は復号になる。ただし、結城本は復号化だが...って思ってたら、字面の対称性を重視しているらしい*6。ま、職場でもよく復号化...と言われてるが、とりあえず本投稿は復号に寄せてる。怒られそうだけど、正直どっちでもいい

• Rijndael vs AES Rijndaelは厳密には128, 160, 192, 224, and 256bitsの鍵長をサポートしている。また、128, 160, 192, 224, and 256bitsのブロックサイズもサポートしている。AESは鍵長を128,192 and 256bits、ブロックサイズを128bitsに絞った点で異なる。

暗号解読〈上〉 (新潮文庫)

• 作者: サイモンシン,Simon Singh,青木薫
• 出版社/メーカー: 新潮社
• 発売日: 2007/06/28
• メディア: 文庫
• 購入: 30人 クリック: 216回
• この商品を含むブログ (233件) を見る

暗号解読 下巻 (新潮文庫 シ 37-3)

• 作者: サイモンシン,Simon Singh,青木薫
• 出版社/メーカー: 新潮社
• 発売日: 2007/06/28
• メディア: 文庫
• 購入: 23人 クリック: 70回
• この商品を含むブログ (161件) を見る

暗号技術入門 第3版 秘密の国のアリス

• 作者: 結城浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2015/08/26
• メディア: 大型本
• この商品を含むブログ (14件) を見る

• 今日はデプロイするところまで.
• 基本的にはKubernetesのチュートリアルを参考にしつつ作った.
• 説明はしないスタイルで。

Kubernetes関連用語

• 説明はしないと言ったな。アレは嘘だ。
• Kubernetesはコンテナ化されたアプリをClusterにデプロイしたり、配布をスケジュール化したりする。今風に言うとオーケストレーションツール？
• Cluster -> 複数のリソース群が１つのユニットとして接続されたもの。２種類のリソースから構成される　
  • Master: クラスター内部を管理する(coordinates). 監視したり、スケールしたり、更新したり
  • Nodes: アプリを走らせるVM。MasterとはKubernetes APIで通信する。Physical Host
• Pod: 正直捉えづらかった。現在進行系で捉えきれてない。デプロイのタイミングで作られるコンテナの集合体 + 共通リソースの集合体。Logical Host. PodはNodeの上で走る。
• Services: Podsの集合。Podsの外部ネットワークへ公開、ロードバランス、サービスディスカバリを出来るようにする
• Labels: そのまんま。PodやServiceにラベリングできる。環境、バージョン、サービスタイプ(front, backend,db)などの情報を負荷できる

Gophishのデプロイ

> kubectl run gophish-deploy --image=asia.gcr.io/${PROJCET_ID}/gophish:latest --port=3333 # gophishアプリをClusterにデプロイ(ポート3333ではしらせる)。デプロイノードは1つ
> export POD_NAME=$(kubectl get pods -o go-template --template '{{range .items}}{{.metadata.name}}{{"\n"}}{{end}}') # Podの名前を取得
> kubectl expose deployment/gophish-deploy --type="NodePort" --port 3333 # 今回は1インスタンスしか立てない
> export NODE_PORT=$(kubectl get services/gophish-deploy -
ate='{{(index .spec.ports 0).nodePort}}') # Portを取得

さて、ここまでやれば外部公開されているはずなのだが、curl "$NODE_IP":"$NODE_PORT"してもtime outする。nmapしたところfilterとの結果が帰ってきたのでFirewall系とあたりをつける。

Firewallの設定

なのでコンピュートサービス > ネットワーキング > ファイアウォールルールで見ると、任意のIPから対象のノード:$NODE_PORTへのアクセス許可設定がされていなかったので、以下で設定

> gcloud compute --project "gophish-150317" firewall-rules create "external2gophish" --allow tcp:NODE_PORT --network "default" --source-ranges "0.0.0.0/0" --target-tags "gke-gophish-cluster-bc6565eb-node"

これで、curl "$NODE_IP":"$NODE_PORT"したら無事アクセスできた。でも、毎回NODE_PORT指定するのダルいなぁ...と思ったので、kubectl exposeでオプションがないか探したが見つからなかった(targetPortオプションは使ってみたが駄目だった)。ただ、yamlファイルでの方法なら指定が可能らしいのでyamlファイルを作成。

http://kubernetes.io/docs/user-guide/services/#type-nodeport

apiVersion: v1
kind: Service
metadata:
  labels:
    name: gophish
  name: gophish
spec:
  ports:
  - port: 3333
    #targetPort: 3333
    protocol: TCP
    nodePort: 30333
  selector:
    name: gophish
  type: NodePort

一旦、過去のサービスを消して再設定. 又、今回は指定したポートを指定してFirewallに穴を開ける。無事通る

% kubectl delete svc/gophish
% kubectl create -f gophish-service.yaml
% gcloud compute --project "gophish-150317" firewall-rules create "external2gophish" --allow tcp:30333 --network "default" --source-ranges "0.0.0.0/0" --target-tags "gke-gophish-cluster-bc6565eb-node"
% curl 104.199.208.112:30333                                                                                  
<a href="/login">Found</a>.

ブラウザ側からも大丈夫

NodePortじゃなくてLoadBalancingも試す

yamlを書き換えるだけ

apiVersion: v1
kind: Service
metadata:
  labels:
    name: gophish
  name: gophish
spec:
  ports:
  - port: 3333
    targetPort: 3333 <- ★
    protocol: TCP
  selector:
    name: gophish
  type: LoadBalancer <- ★

ロードバランサーが作成される過程でFirewallの穴あけもやってくれるらしいので、ロードバランサーに公開IPが付与され次第、アクセスできる。NodePortは手動でやらなきゃいけないからメンドクサイ。

[Kengo@Mac] ~/workspace/docker_gophish
% kubectl get svc                                                                                             
NAME         CLUSTER-IP     EXTERNAL-IP       PORT(S)    AGE
gophish      10.3.249.184   104.155.214.128   3333/TCP   3m
kubernetes   10.3.240.1     <none>            443/TCP    4d
[Kengo@Mac] ~/workspace/docker_gophish
% curl 104.155.214.128:3333                                                                                   
<a href="/login">Found</a>.

スケールアップ

折角ロードバランサー形態にしたので、スケールアップしてみる。おｋ。

# Before
% kubectl get deploy
NAME                 DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
gophish-deployment   1         1         1            1           1h

% kubectl scale deployment gophish-deployment --replicas=2

# After
NAME                 DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
gophish-deployment   2         2         2            2           1h

余談 - お金の話

24日の記事を含めて、このコンピュートエンジンを立ち上げたのが約1週間前。それから立ち上げっぱなしで、利用料金はトータルで1102円。為替とかはもろもろ無視すると、ロードバランサー・ストレージもあるものの、90%がCompute Engineにかかった費用と考えられる。内訳は以下の通り。

でも、あれれ？GCEって5node/clusterまで無料じゃなかったっけ？って思ったら、それはCluster管理の価格だった。ノード料金はそのままかかる。個人だと結構いたいかなあ。こまめに管理しないと。

Google Container Engine Pricing and Quotas  |  Container Engine Documentation  |  Google Cloud Platform

下記で計算もできる。 cloud.google.com

次は

• CircleCIでデプロイしようと思う。一旦サービスはおとそう。

デバッグ

> kubectl cluster-info #
> kubectl get nodes # Cluster内でアプリをホストできるノード
> kubectl get deployment
> kubectl proxy & # ローカルでいながらClusterのAPIに接続できる -> ブラウザからhttp://localhost:8001/uiで管理コンソールを開ける。便利。
> kubectl get pods # 存在しているpodsをリスト
> export POD_NAME=$(kubectl get pods -o go-template --template '{{range .items}}{{.metadata.name}}{{"\n"}}{{end}}') # Podの名前を取得
> curl http://localhost:8001/api/v1/proxy/namespaces/default/pods/$POD_NAME # 接続テスト
> kubectl describe pods # podsの情報(構成情報・イベント)を取得
> kubectl logs ${POD_NAME} # 対象Podのログを取得
> % kubectl exec -it $POD_NAME COMMAND #対象Pod上でCommandを実行。docker execみたいなもん。
> kubectl describe svc/gophish-deploy # サービスの情報

参考資料

Kubernetes - kubectl Overview * 安定の本家ドキュメント GKEで半年運用してみた * お金を調べてるうちにみつけた...最初からこれをみつけていたかった...

更新履歴

• (6/15更新)下記にてpiyologが更新されているので、そちらを見つつ足りてない情報を加え、情報を再整理d.hatena.ne.jp
• (6/16更新)6/15午前から6/16 0時までに公表された情報を追加
• (6/16 18:20更新)タイムラインを更新
• (6/17 01:30更新)6/16から6/17 0時までに公表された情報を追加
• (6/20 01:17更新)6/17から6/20 0時までに公表された情報を追加
• (6/27 19:00更新)6/20から6/27 までに公表された情報を追加

イントロ

• 後でpiyologと答え合わせする用エントリ。

• 2016/6/14、JTBグループは株式会社i.JTBのサーバーに、外部からの不正アクセスがあったことを報告しました。

タイムライン*1*2

• ここではすべて2016年内での出来事とします

攻撃の概要

*22

当時のJTBの体制

発覚以前

• セキュリティを横断的に見る部門は存在せず *23

  5.対策: (中略)ジェイティービー（グループ本社）内にITセキュリティ専任統括部門を設置いたします

• CSIRTも存在せず *24

  サイバー攻撃の緊急対応チームも当時は存在しなかった

• 一部ログを取得していなかった*25
• すぐ情報を公開しなかったのは「不安と混乱を招くと考え、特定できた段階で公表する方針を取った」*26
• 対象データを暗号化していなかった。*27
• 実績データベースへアクセス可能な社員は1人だが、そのPCは乗っ取られていない*28
• 実績データベースのデータを使うBI（ビジネスインテリジェンス）ツールは25人の社員がアカウントを持っていたが、今事案との関連性は薄いと見られる*29

発覚後

• 問い合わせ窓口を設置
  • スタッフ300名規模*30
  • 6/14時点で数千件の問い合わせ
• 警察への相談済み(調査中)
• 7/1までにITセキュリティ専任統括部門を設置

「外部流出について可能性があるという表現にとどめたという。JTBは通信ログの一部を取っていなかった。」とあるので事実がないのではなく事実を確認する術がないというのが正しいかもしれませんね。 https://t.co/fkvewFVs7P

— nobuhiro tsuji (@ntsuji) 2016年6月14日

送信された標的型メール*31*32*33*34*35

• 件名: 航空券控え添付のご連絡
• メアド: ごくごく普通のありがちな日本人の苗字@全日本空輸のドメイン*36
• 署名: 取引先の署名
• 添付ファイル名:
  • 「北京行きのEチケット」パターン*37
  • 「Ｅ－ＴＫＴ控え」パターン*38
    • 社内でもよく使われる
• 添付ファイル種別: PDF。
  • 実態はELIRKS(の亜種?)とPluX(の亜種?)に当該PCを感染させる新種マルウェア
• オペレータから返信。エラーメールがかえってくる
  • 開封すると航空券のｅチケットが表示される
• メールヘッダー: 海外のレンタルサーバー（香港を経由)*39
• 本文内容
  • 本文無しパターン*40
  • 「お世話になっております』などの通常の挨拶文のあとに、『ｅチケットを送付しますのでご確認下さい』と偽った内容パターン*41
• 添付ファイル開封者: オペレータ
  • 標的型メールの訓練済み
    • JTB全体では定期的に訓練していたようだが、当該オペレータが複数回の訓練を受けていたかは不明

被害範囲

• 個人情報悪用の報告もない
• 流出は確定されていない
• 流出に関するログが確認できないため、わからない*42
  • 尚、一部ログを取得していなかったとのこと
  • 可能性は否定されていない*43
• 知らない宛先から不審なメールマガジンが届いた」といった指摘がおよそ１００件よせられた
  • 詳細調査中*44

個人情報の項目

• 以下の一部か全て

  • 氏名(漢字、カタカナ、ローマ字)
  • 性別
  • 生年月日
  • メアド
  • 住所
  • 郵便番号
  • 電話番号
  • パスポート番号
  • パスポート取得日
    • 現在で有効なものは約4300件4359件*45

• 訪日外国人の情報も含む*46

• 以下の情報は含まれない*47
  • 予約した旅行の内容
  • クレカ情報

対象となるユーザー

JTB関連のサービス

• 以下のサービスでオンライン予約したユーザー679万人
  • JTBホームページ、るるぶトラベル、JAPANiCAN
  • オンライン転売提携先でJTB商品を予約したユーザー
    • JTBグループ内外問わない
    • ただし以下の商品を予約したユーザーは対象にならない
    • JTB旅物語、高速バス、現地観光プラン、レジャーチケット、定期観光バス、レストラン、海外ダイナミックパッケージ、海外航空券、海外ホテル、海外現地オプショナルツアー、その他旅行関連商品
  • また、以下の店舗で予約したユーザーは対象にならない
    • JTB店舗、提携販売点店舗、JTB旅物語販売センター
• "ネットで予約後、店舗でご清算のお客様の情報は対象となります。" <- ??
  • 予約 && オンライン清算が対象??
• 期間についての記述はない
  • 2007/9/28 ~ 2016/3/21*48

別会社

NTTドコモのdトラベルユーザー*49*50

• 対象ユーザー: 2014/2/27~2016/3/21に予約したユーザー
• 対象範囲: 33万人
• 窓口設置済み
• ドコモの吉澤和弘新社長が謝罪と対策の強化を表明

auトラベル by DeNAトラベルを*51

• 対象ユーザー: 「auトラベル by DeNAトラベル」国内宿サービスを利用したことのあるユーザー
  • 期間は不明
• 対象範囲: 4,462人
• 窓口設置済み

対策

不正アクセス対策

• 特定された外部への不審な通信の遮断
• 感染範囲の特定とウイルスの駆除
• 個人情報へのアクセス制御の強化

グループ全体の対策

• JTBグループ本社にITセキュリティ千人統括部門を設置
• 実践的な教育演習でサイバー攻撃の察知力を高める (全グループ社員向け)

被害額試算

• biz-journal.jp

不明な点

ウイルス感染からの流れ

• 最初に不審通信を確認してから何をしたのか*52
  • 即時遮断しなかったのはなぜか？ => 継続的に通信していたから
  • ブラックリストに随時追加していた
  • ブラックリストへの追加はJTBへの連絡がなかった
  • 技術的にも業務的にも不正アクセス者がDBにアクセスする前に遮断できた
• 感染したパソコンがどの様な用途で使われたか。
  • 踏み台もしくは直接操作されたのか
  • 内部パスワードを取得されたのか
    • 取得したパスワードで社内ツールを使ったのか
    • 取得したパスワードでサーバにログインしたのか
• サーバ上でどうファイル作成・削除の操作する権限を得たか。

• サーバ上に普段はないデータをどの様に取得したか。

  • ディレクトリサーバ経由ではない*53
  • 遠隔操作である可能性が高い*54
  • データコピー元のサーバは１人しかアクセス権限のないサーバー*55
    • アクセス権限をもつ社員のPCは感染していない*56

• 不審通信はどの様な内容なのか => 不審なパケットデータだったか*57

  • 宛先・通信種別は一定なのか
  • ファイルを送信するような通信なのか
  • 単純にいままでに観測されていない通信だったのか
  • 普段の通信量とどれぐらい違うか(ちがわなそう)
• 何をもってして流出の可能性があると判断したか
  • 不正アクセス者が作成・削除したファイルの存在で判断したか
  • ファイルを外部に送信するような不審通信があったのか
  • ウイルスの解析結果をもって判断したのか

業務推進がミッションの実務担当者に、標的型攻撃につながるメールを開いてしまったことに責任など負わせられない。「そこは訓練していたんです」なんてことは、記者会見で言い訳として言及することですらない。むしろ、その後の攻撃の連鎖への対応に何が欠けていたのかが、スタディには必要。

— riotaro okada (@okdt) 2016年6月14日

インパクト

• パスポート情報漏洩（の可能性）がどれほどのインパクトがあるのか
  • 直接的な賠償額(クレカとかだと500円の金券などをよく聞く)現時点では顧客への一律的な補償は考えていない*58
  • その後の２次的な被害額
  • 直接的なインパクトは余りなさそうだ*59 *ＪＴＢホームページ」で６月21日までの月間販売額が前年同期比１割減*60
• 「るるぶトラベル」では６月21日までの月間販売額が前年と同じぐらい
  • いずれも通常なら１～２割増

事後対応

• なぜ情報公開が認知後すぐでなかったか
  • CSVデータを復元しても正規化が必要で、それだけではユーザーの特定ができず、余計な混乱をまねきたくなかったから
• パスポート情報漏洩（の可能性）に対するエンドユーザーの対策
  • 対策をJTBがしめすのか。外務省がしめすのか。
  • 可能性であれば対応不要で終わらせるのか。

その他

• ホームページのニュースリリース配下に「不正アクセスによる個人情報流出の可能性について」がないのはなぜ？
• 公表した日付と警察が捜査に着手した日付が同じ
• 一部のログが取得されてなかッタ理由
  • 意図的ではなく様々なWebサイトを運営する中で統一できなかったとみられる*61

その他

• 後でpiyologと答え合わせする。
• (2016/6/15追記) piyologと初期情報の量が異なるので、piyologが取得している情報ソースのリストを作る
  • 見せ方に関しては、それをまとめてどう使うかは作成者によって違うので、これはこれでよし
• (2016/6/20追記)２日置いてみたが特にめぼしい新情報がなかった(非営業日だからか？)。とりあえずここまでの振返りをする

振返り

まず最初に

• 今回はJTBがいちはやく整理された公式報告を公表していたので、概要が掴みやすかった。
• 恐らく、こういうタイプのインシデントはレアなのだと思うが、今後のインシデントを気にする（いや、起こらないのがベストなのだが）

情報ソースについて

• Googleでの検索"JTB 情報流出　情報漏洩"
• Feedlyでのニュース登録: Security NEXT, ITmedia, ITpro, Jpcert/CC, ZDNet, @IT, INTERNET Watch
• piyologを見て利用したニュースサイト: 日経、毎日、朝日、産経、時事通信、読売
• 上記のサイトをウォチしてて思ったことは、大手ニュース(日経、毎日...)の情報提供は早く且つ頻繁だということ。
  • ただし各ニュースが全てを完結しているのではなく、欠けていたり、定義が異なったりしていた
  • 当たり前だけど複数の情報ソースを通じてフィルターするのは大事。仮に共通点がない場合は、確定していないということで、断定めいた文脈にしないよう本エントリでは意識した。
  • 産経の記事がどの大手ニュースよりも初情報で踏み込んだ内容をリリースしていたイメージ
  • 日経の記事が最速だったイメージ
  • 日経と毎日の記事は更新頻度が高いイメージ
  • まとめを作りたいなら、大手ニュースをくまなく見るのがヨイ
• 逆に、非大手ニュースはリリース時期も後ろで、内容はほぼ共通していた
  • まとめだけをみたいなら、非大手ニュースを数個見ればヨサそう

情報整理について

• まあまあ出来たのではないかと。できるだけpiyologを見ずに情報収集・整理したが（途中みてしまったが...)、取りこぼしたものはあまり無かったので。
• 勿論、取りこぼしたものもある。ので、更新頻度が高く、また情報密度も濃いpiyologはやっぱり凄かった

まとめの構成

GotSome \W+ech?

• 更新内容 -> イントロ -> タイムライン -> 攻撃の概要 -> JTBの体制(発覚前と後) -> 流出した可能性のある情報の項目 -> 対象となる可能性のあるユーザー ->対策 ->被害額 -> 不明点

piyolog

• 公式発表 -> タイムライン(提携先も含む) -> 被害状況 -> 発端 -> 原因 -> 対策…対応 -> ユーザーへの対応 -> 更新履歴

• まず最初に更新内容を持ってくるのはやめる。更新が増えれば増える分だけ、リーダーが欲しい情報に到達するまでの距離と時間が長くなるから

• タイムラインを直後に持ってきたのは良かった。提携先を別テーブルに切り出すことはまでは考えつかなかったけど....備考カラムを作ったのは良い
• 此処から先が明確にpiyologの構成と大きく異なってくる。piyologの場合は"被害状況"と軸をユーザーと現在の時間に置いてるが、本エントリの場合は「攻撃の概要」と環境に軸を置いている。これは本エントリが、この話を自分の担当する環境とのdiffをとり改善ポイントを洗い出せることを目的としているので、この書き方になっている。逆にpiyologは広範囲への情報共有が主目的である(気がする)から、軸が異なるのではないかと推測する。よって、どっちが良い悪いではないと思う。

• それを踏まえた上でいうと、本エントリの流れと粒度は若干ぎこちない。攻撃内容ときたからには、攻撃結果(攻撃成否, 攻撃対象,..)が次にくるべきではないか。で、その後に対策がくるのがキモチイと思われる。よって、今後新しく書くとしたら...

  • イントロ -> タイムライン -> 攻撃の概要 -> 攻撃の成否 -> 攻撃の影響(範囲、期間、被害額) -> 原因 -> 対策 -> 不明点 -> 更新内容

• という訳で、次は構成にもうちょっと気をつかって書いてみる

• ミニネタとして、はてなでは大見出しと中見出し２つで構成したほうがよさそう。少見出しと中見出しの見た目に違いがないように思える
  • piyologの標的型メールのみやすさが圧倒的だった
  • 問い合わせ窓口は想定リーダーが異なるから本ブログではいいかな...

今後

• 本件について引き続きウォチ
  • 現在わかっていることを元に、仮説を立ててみたいと思う
• 今後のインシデントもまとめていけたらおもう。どれを線引にするかは自分の匙加減次第で、自分にもわからない。何となくじゃないかな。
• piyologはやっぱり凄い