ちょっと前にカカクコムという会社のホームページにウィルスが仕込まれていて,そのサイトを訪れた人のPCに感染したというニューズがありました。ちなみにこのウィルスはWindowにしか反応しないようでMacは無問題だったそうな。ITmediaのニューズサイトなどでこの問題の特集を組んでいまして興味深く読ませてもらいました。
今日はこれら一連の問題の中で浮かび上がった問題点などをITProのサイトから引用して見ていこうと思います。
(May/26/05 ITProより箇条書きにして引用開始)
【カカクコムは情報をきちんと公開すべきだ】(引用終了)
◎製品価格を比較できるサイト「価格.com」が不正侵入された。5月14日以降閉鎖した同サイトは5月24日の夜,一部を除いてサービスを再開した。翌5月25日には,この件については最後になる可能性がある記者会見が開かれた。
◎一体どんなウイルスなのか?」「(通常はありえないことだが)サイトにアクセスしたユーザーは全員感染するのか?」――といったことが分からなかった。
◎緊急記者会見では「警察が捜査中」を理由に,侵入経路や侵入された原因などについては,一切公表されなかった。
◎穐田誉輝代表取締役社長兼CEOが「ネット専業として,最高レベルのセキュリティを施していたつもりだが,今回このようなことになった」と発言。
◎だが,「最高レベルのセキュリティ」なら,Webサーバーにセキュリティ・ホールが存在するわけはない。「(最高レベルのセキュリティなら)セキュリティ・ホールを突かれたということはないですよね」と同社に質問すると,これについても「捜査中」を理由にノーコメントだった。
◎「5月11日に発覚していたのに,なぜサイトを運営し続けたのか?」との質問に対して「閉鎖すると侵入経路が分からなくなる」(穐田社長)。侵入経路が分からないまま閉鎖すると,再開後に被害を受けるというのだ。理解に苦しむ。ユーザーを危険にさらしたままでよかったのだろうか。
◎「24日午後からサービス再開,盗まれたメール・アドレスは2万件超」と発表
◎25日待ち望んでいた記者会見が開催された。そして失望した。「類似犯罪を招く」「不正アクセスの捜査に支障をきたす」――。この2つの理由で,不正アクセスを受けた原因や対応策などについては,一切明らかにされなかった。今後も明らかにするつもりはないという。
◎類似犯罪を防ぐには,情報を共有したほうがよい。穐田社長は会見中「(同社が受けたような攻撃は)他のサイトでも起こりうる」と発言している。
◎同社では,秘密保持契約を結んだ他社には,今回の攻撃について話をしてもよいとしている。だが,そこまでして聞きに行く企業はあるのだろうか。
◎穐田社長は,「できる限りのセキュリティ対策を施したが,結果的に不正アクセスを許した。このため問題がなかったとは言えないが,(カカクコムに)過失はなかったと考えている」と発言した。
◎結局,この件については最後になると思われた記者会見でも,不正侵入された原因は明らかにはならなかった。
警察とか弁護士から何を教えられていたのかは知りませんが,この会社からは良心の言葉が聞こえてきません。「最高レベルのセキュリティが破られたのは当社の責任ではない」そりゃそうだ。でも破られて被害を被った人たちはやりきれないでしょう。問題が発覚していたので放ったらかしにしておいて(裏方で作業はしているようですが)その間にサイトを訪れて被害を被った人たちに対してお詫びすらしないというのは,およそ責任ある会社の社長のとる態度ではない。「過失はなかった」なんて僕なら恥ずかしくて言えないです。問題放置は立派な過失です。放置した結果2万件もの個人情報が流出したのだから重過失です。事件が起きるちょっと前の読売新聞に社長のインタビューが載っていましたが,その時はヨイショ記事に騙されて好青年だと思ってしまったものです。とんでもない輩でした。
というわけで,この問題が悪いほうに広まらないように対策は十分とっておくことですね。まず行政とか個人情報の流出責任が重いところはこういう風にやらないといけません。
(May/18/05 asahi.comより引用開始)
【HDD内蔵しないパソコン導入へ 個人情報保護で鳥取県】(引用終了)
鳥取県は、個人情報などのデータが外部に漏れないよう、業務で使うパソコン約4800台のすべてを、記憶装置のハードディスクドライブ(HDD)を内蔵していない型に切り替える方針を固めた。パソコンのデータは県庁のサーバーで一元管理し、パソコンを紛失したり盗まれたりしても情報は流出しない。総務省地域情報政策室は「データが残らないパソコンの導入は初めて聞く取り組みだ。個人情報保護の面で全国のモデルケースになってほしい」と注目している。
同県は個人情報保護法の施行に伴い、各職場のパソコンに記憶させている個人情報の扱いを検討。今年に入って大手メーカーがHDDをなくした新型パソコンを発売したことから、導入を決めた。
計画では、県の関係機関にあるパソコンを4、5年かけて新型に切り替える。職員はパソコンでサーバーからデータを呼び出し、書き込みや書き換えなどの作業を終えたら、再びサーバーに記憶させる。サーバーの新設と合わせて約2億円かかる見通しで、早ければ来年度から導入を始める考えだ。
県行政経営推進課は「2億円は高額だが、個人情報の保護は社会の流れだ。不特定多数に情報が漏れるリスクに対応したい」と話している。
これでもまだ完璧とは言えませんがかなりの前進であることは確かです。ブロードバンドが普及しているのだから,中央サーバをセキュリティでガッチガチにして,そこにデータ閲覧を要求するだけの端末を事務所に置いておけば十分なパフォーマンスは得られるはずですね。最新技術はこういう風に使わないと宝の持ち腐れになりますよ。
ついでにサーバーもWindowsなんていう中国べったり企業のブラックボックスOSは無視してLinuxとかMacOSXサーバーを導入しましょう。どちらもオープンソースですからセキュリティ甘ければすぐに指摘されて直せますから。
セキュリティの話を続けます。最近流行のIP電話もセキュリティが甘いらしい(参考)。
要するに無料とかになったらおかしな連中もおかしなことをしやすくなるってことね。スパムメールが音声電話に発展しているということでしょう。ウチの事務所はこういうスパム電話(とでも言うのかな)をシャットアウトする機能がついているので,ある程度の対策はとれていると思うんですが,実際に着信音が鳴らないので効果が分かりづらい(笑)。技術が進むと余計なリスクが増えるというのも考えものですねえ。
