2008年11月27日(木) 17時58分
利用者無視の通報対策裏マニュアルが存在する?(Scan)
●通報受けたら、ちゃっかり対応、告知はだんまりの問題発生サイト 2社 通報対策裏マニュアル? あまりに似通った対応
先日、筆者が図らずも個人情報の漏えいやメールマガジン配信システムの脆弱性を発見してしまったことをお伝えした。単に筆者が自分のアドレスで検索したら、メールアドレス漏えいにヒットしてしまったという、どうしようもない話なのである。
諸般の都合で、筆者は自分では通報でしたくなかったので、当該サイトへの連絡などを行って頂ける協力会社さんを募った。筆者が自分では通報したくなかった理由は、この記事を読み終わる頃には分かって頂けると思う。
幸いにも善意の協力会社さんがあらわれたので、早速、連絡をお願いした。ほんとにありがたいことである。
とりあえず対応をお願いしたのは、下記の問題が発生している2社である。
・A社:メールアドレスの漏えい
イベントあるいはその他の参加登録の際のメールアドレスが平文のテキストファイルでWebサーバ上にそのまま放置されていた。また、そのファイルはcgiで管理されているらしいので、筆者が発見した以外にも同様に放置されているアドレスが多数存在する可能性もあった。
・B社:メールマガジン配信システムの脆弱性
メールマガジンの購読管理のプログラムにバグがあるらしく、一定の操作で第三者のメールアドレスを抽出でき、購読しているメールマガジンを知ることができる。このバグを利用することで、もっとクリティカルな操作も可能になる可能性がある。
ところが、この2社は当初、どちらも返信をしてこなかった。
A社は、返信はしなかったが、ちゃっかりと放置していたメールアドレスの入ったファイルを削除していた。なので、連絡は確かに受け取っているらしい。もちろん、A社のWebには情報漏えいのお詫びなど掲載されていない。
B社も同様で、だんまりを決め込んで、対処が終わってから返信してきたという。
そして、2社とも利用者に対しては、告知もお詫びもまったく無しである。
もしかすると、担当者がサーバモンキーで、情報漏えいの張本人であり、通報の受付者だった可能性もある。通報メールを受け取って、こっそりと対処し、誰にも報告をしていない可能性かなりあるんじゃないかと筆者は思っている。
善意の協力会社さんはIPAさんにも届けてくださった。IPAさんは迅速に2社に連絡をとっていただけたらしい。すばらしい。
この2社の対応を考えると、裏カルテルとか、通報対策裏マニュアルとかあるんじゃないかと思うくらいに似通った対応である。
さらに、この通報対策裏マニュアルの存在を疑わせるような、ひどい対応の事例の報告があった。
●「サイバーセキュリティ賢者の選択」体験談
「サイバーセキュリティ賢者の選択」という記事を書いた。筆者が自分で通報しないチキンな理由を説明させていただいた記事である。賛否両論あると思いますが、結構、アクセスが多かったらしい。
実際に通報した経験をもつ方からも体験談を頂いた。ありがとうございます。この事例での企業側の対応が、通報対策裏マニュアル通りだったのである。
Aさんのケースをご紹介したい。以下は、Aさんからいただいた内容を筆者が、編集したものである。個々の具体名は、Aさんの希望により伏せている。
●大手パッケージソフトの脆弱性発見したAさん 当該企業に通報したが、対応を後回しにされる
Aさんの会社で使用しているパッケージソフトの利用者の個人情報が流出する事件が発生した。Aさんは社内の人から「うちは大丈夫なのか?」と確認を求められた。Aさんが調べたところ、脆弱性を発見してしまった。
Aさんは、1週間ほど悩んだが、情報漏えいにつながりかねない問題なので、パッケージソフトの会社に、匿名で連絡してみた。
しかし、そこでAさんは、パッケージソフトの会社に正規ユーザである確認を求められて、正体を明かさざるを得なくなった。さらに、何回も繰り返し、内容の確認などの連絡につきあわされ、最後には「当社としてはクリティカルな問題ではないと思うので、次のバージョンで対応します」というびっくりの結末になってしまった。
ちなみに、このパッケージソフトの会社は業界最大手である。
Aさんは、そこまでのやりとりで、自分が善意の通報者というよりは、脅迫目的などネガティブにとらえられていそうな気配を感じていたため、それ以上は追求することができなかった。
●さらにクリティカルな脆弱性を発見 IPAさんに通報 7ヵ月後に修正完了
その後、Aさんは、すぐにより危険度の高いクリティカルな脆弱性を発見してしまった。しかし、前回の経験から、パッケージソフトの会社には連絡せずにIPAさんに連絡をした。通報者の個人情報を伏せるという項目には忘れずに、チェックを入れた。
その後、IPAさんからパッケージソフト会社に連絡がいき、約7ヵ月後に修正は完了し、脆弱性も公開された。
●IPAさんが通報者の個人情報を誤って公開してしまいそうに?
公開の際に、IPAさんからAさんに、公表に当たって所属組織など個人情報の確認をしたい旨の連絡が来た。個人情報を伏せて欲しいとチェックしたはず……とAさんは思いつつ、念のため、個人情報は伏せてくださいと書き添えて個人情報を送った。翌日、IPAさんから、個人情報の確認をしたのはこちらの間違いでした、という連絡がきた。Aさんが確認をしなければIPAさんの勘違いで個人情報を公開されてしまった可能性があったかもしれない。AさんはIPAさん経由で自分の個人情報が第三者に漏れていないか心配していた。
●パッケージソフト会社の無責任な情報公開 利用者の安全は無視
パッケージソフトの会社では、サイトの目立たないところに告知を載せただで、それ以外には告知をしなかったそうである。つまり、わざわざサイトにいって、見つけにくい告知を見つけられた利用者以外は、クリティカルな危険にさらされ続けるといえる。
Aさん、本当に、ごくろうさまでした。他の利用者の危険を考えて、通報したAさんの勇気には、頭が下がります。
Aさんは、もろに「サイバーセキュリティ賢者の選択」に近い体験してしまったわけですね。
・当該サイトに通報
対応、修正してもらえず、さらに、うさんくさがられる
・IPAに通報
当該企業に連絡してもらい、当該企業は対処はしたが、利用者への告知は対処完了後になってから(その間危険は放置)。
その告知もWEBサイト上の見つけにくい箇所に掲載するのみで非常に限定的。
通報者であるAさんは自分の個人情報が漏れているかも知れないという不安も味わうハメになる。
このような体験をしてしまうと、脆弱性、インシデントの通報には躊躇してしまうのは、いたしかたないでしょう。
●通報対策裏マニュアル 利用者告知の目安は「ウォーリーを探せ」
筆者が想像するに、通報対策裏マニュアルのポイントは、大きく次の3つだろう。
・直接の通報に対しては、ネガティブな対応を行う。基本的には通報者を信用せず、匿名通報などはもっての他、いつでも追い込めるように個人情報を早い時点で入手してしまう。さんざん確認、検証に協力させて、最終的には対応しない。通報者がうるさくいってきたら、これ以上やると脅迫になりますよ、くらい言ってしまう。
・IPAさんなど第三者機関から連絡があったら、とりあえず脆弱性は「無理をしない範囲のスケジュールで対応=次のバージョンアップ項目に入れる」で対処。利用者への告知、お詫びは最小限ですませてしまう。「ウォーリーを探せ」くらいの見つけにくさで、Webサイトに告知をのせる。
・その他は聞こえないフリをする。人のうわさも75日。
●結局、誰が悪いのか? トンデモ制度とそれを活用する企業
裏マニュアルは、あてこすりであるが、当該企業のみなさんは「黙っていれば、ばれない」そして「ばれたら逆ギレして、被害者だと言い張ればいい」と思っているとしか思えない。何度も言っているが、これは当該企業だけが悪いのではない。
問題が起きても放置してもなんの責任も問われない。さらに、問題が発覚して対応しても、利用者への告知やお詫びをしないでもなんの責任も問われることがない。なにも対応しなくても責任を問われない以上、改善する必要はない。そう企業の担当者が考えてもしかたがないだろう。
A社もB社も、そしてAさんのケースも、現行制度をうまく活用しているだけに過ぎないのである。
ところで、筆者は常識ある社会人なので、間違ってもA社やB社の名前を出したり、具体的な脆弱性について解説をしたりはしない……と思う。
なんで、できれば、A社およびB社の方も良識ある社会人として、自社のサイトに問題があったことを公表し、しかるべき対処を行っていただきたいと切にお願いしたい。
【執筆:Prisoner Langley】
【関連リンク】
・
民間のセキュリティ研究者がセキュリティインシデント通報先を募集
・
発見した事件や脆弱性の通報先 誰か受け取って!
・
サイバーセキュリティ賢者の選択−自分が被害者で発見者になってしまったら
・
「サイバーセキュリティ賢者の選択」体験談をいただきました
・
セキュリティコラムばかり書いているLANGLEYのブログ
http://headlines.yahoo.co.jp/hl?a=20081127-00000006-vgb-secu