トップページへ PASSJ ブログへ
トップページへ
分科会
特集!
コミュニケーション
資格
セミナー・コンファレンス
インフォメーション



セキュリティ ボードリーダー:河端 善博
毎月第2、第4木曜日はボードリーダーからのレポートを掲載いたします。
 
   

2004年2月12日
『最近のセキュリティ事件によせて』

PASSJ Conference 2004 がいよいよ近づいてきました。
自分の担当するセッション用の資料も完成し、一息ついたところです。
セキュリティのセッションを担当させていただきますが、この中で、
みなさんの意見交換タイムを設ける予定です。
いろいろな意見をおうかがいできればと思います。

■最近のセキュリティ事件によせて
 年始から、メディアを騒がせる事件が発生しました。
 セキュリティの世界ではよく知られた方が、あるサイトの脆弱性を
 発見し、200 名ほどがあつまるセキュリティのイベントで、
 その報告を、実際に抜き取った個人情報とあわせて
 発表してしまったという事件です。
 テレビや新聞でも、繰り返し容疑者として、その方の映像や写真が
 流れたので、ご存知の方も多いかと思います。

 今回は、この事件をいくつかのポイントから見てみたいと思います。

 1.目的は、脆弱なサイトへの警鐘であった
  いろいろな報道がありますが、容疑者となった方のこれまでの
  活動を考えると、あくまで目的は、脆弱なサイトへの警鐘であったと
  思います。問題は、イベントでの発表の前にサイトの担当者へ連絡して
  なかったこと、実際に抜き出した個人情報をイベントで公開したことです。

  →善意であっても、サイト管理者が望まない状態で、脆弱性テストする
   行為は今後、訴えられる可能性が高い。
  →たまたまサイトの脆弱性を見つけた場合も、安易にサイト管理者に
   連絡する前に、訴えられないか検討する必要がある。
  →今後、みなさんのサイトの脆弱性を善意の方が見つけた場合も、
   通知されない可能性は高い。問い合わせがないから安全とは
   限らなくなる。
  →事件について、からずしも適切な報道がなされるとは限らない。

 2.刑事事件として、容疑者は拘束され、家宅捜索も行われた。
  拘束され、家宅捜索も行われているようすが、放送されました。
  これまでニックネームで活動していましたが、実名も公表されました。
  1. にあるように悪意をもって望んだわけではなかったわけであることに
  注意する必要があります。
  →訴えられた場合、拘束、家宅捜索に入られる可能性がある。

 3.事件後の漏洩データの破棄、監視
  事件後、すぐに容疑者の方、および、イベントに参加されていた方には、
  漏洩したデータを削除するように指示されました。
  容疑者の方は、該当するデータをすべて削除した旨を、本人の
  ホームページ上で公開しました。
  また、被害にあったサイトでは、情報が流通していないことを
  インターネット、ファイル交換サービスを監視していました。
  ただし、現実には、特定のサイトにイベント会場でながれた情報が
  アップロードされてしまいました。
  →漏洩したデータの回収は、非常に難しい。
  →漏洩したデータが広くコピーされてしまう可能性が高い

 4.システムの脆弱性
  このサイトでは、ホスティング会社が提供していたプログラムを
  流用していました。
  このサイトの事後に構成した調査委員会の発表には、
  ホスティング会社が提供しているシステムとはいえ、
  セキュリティテストをしていなかったことに問題が指摘されていました。
  →自社開発していないプログラムでも、利用する場合には、
   セキュリティテストを行う必要がある。
  →事件が発覚した場合には、落ち度とみなされる。

 5.システム提供側の注意
  プログラムは、ホスティング会社から参考レベルに提供されていました。
  しかし、実際には、そのまま流用され、脆弱性をついて、
  事件が発生しました。
  →プログラム提供者は、プログラムにセキュリティが保証できない場合、
   利用者に明示的に保障しないことを示す必要がある。
   たとえば、最近のマイクロソフトのサンプルコードには、
   それぞのソースコードの最初に、免責事項が記載されている場合が多い。

 6.システム提供側/利用者の事後対応の難しさ
  参考程度に提供されたプログラムは、実際の利用者がそれぞれ改変して、
  利用していたと考えられます。
  この場合、システム提供側は、そのすべての利用者に通知する手段を
  確保しておかないと、事件が発生しても利用者に通知することができません。
  通常のシステムの問題では、マスメディアに取り上げられることは考えにくく、
  利用者が早期に問題を知ることはできません。
  →システム提供側は、システムについてセキュリティ上の問題が発生
   した場合に連絡/広報する方法を事前に明らかにしておく必要があります。
  →利用者は、問題が発生した場合に早期に問題を知る方法を
   事前に確保しておく必要があります。
  
 7.刑事事件への対応
  今回、刑事事件として取り扱われました。
  問題となったサイトには、法律に明るい方々が多く参加されていたため、
  事件への対応が適切に行われたようです。
  実際、刑事事件や、民事として扱われる場合、その前後のすべての
  対応やデータが証拠として扱われます。
  →事件発生時、すぐに弁護士と相談し、関係者はすべて裁判に向けて、
   不用意な行動をとらないようにする必要があります。
  →電子メールやWebサイトへも、関係者が不用意な発言をしないよう
   注意する必要があります。

PASSJ Conference 2004 でも、この事件を含む、最近の
インターネット事件について、話し合えればと思います。

 

ボードリーダーレポート トップページへ

 
 
PASSJメールニュース 著作権ついて プライバシーポリシー リンクポリシー お問い合わせ
(C) 2005 Professional Association for SQL Server Japan. All rights reserved.