本連載は、昨年10月に創刊15周年を迎えたScanNetSecurityの創刊から現在までをふりかえり、当誌がこれまで築いた価値、遺産を再検証する連載企画です。1998年の創刊からライブドア事件までを描く第一部と、ライブドアから売却された後から現在までを描く第二部のふたつのパートに分かれ、第一部は創刊編集長 原 隆志 氏への取材に基づいて作家の一田和樹氏が、第二部は現在までの経緯を知る、現 ScanNetSecurity 発行人 高橋が執筆します。--(Scan Legacy第一部は、サイバーミステリ作家 一田 和樹 氏が、Scan事業を立ち上げた株式会社バガボンド 代表取締役 原 隆志 氏(当時)に取材した内容をもとにとりまとめた、事実をもとにした一田和樹氏によるフィクションです)改竄事件や脆弱性の報告では、いろいろあった。ベリサインさんとのやりとりは、今でも記憶に新しい。紳士的なやりとりに終始したのだが、先方の本音を考えるとうすら怖いものがある。なにしろ、改竄事件の翌週にやってきたベンチャーキャピタルの方が開口一番「やってくれましたね。あれで上場延期になりましたよ」とのたまったくらい深刻なダメージだったらしい。私の記憶に間違いなければ、2001年8月4日未明に最初の改竄があった。おそらく日本で最初に発見したのは当社ではないかと思う。だが、問題はこれだけでは終わらなかった。8月6日にも再び改竄されたのである。日本ベリサイン、再び改竄被害 数日で複数回の改竄http://scan.netsecurity.ne.jp/article/2001/08/06/2666.htmlさらに翌年、2002年3月には、情報漏洩の事件まで起きた。日本ベリサインのWebに重大な問題が! ファイルが丸見えにhttp://scan.netsecurity.ne.jp/article/2002/03/07/4232.htmlもちろん、編集部が悪いわけではないが、何度も続けて最初にニュースを掲載したメディアに好感が持てないだろう事は想像できる。その2日後の2002年3月9日にはSecureSiteシールが停止する。日本ベリサインの「SecureSiteシール」サービスが停止http://scan.netsecurity.ne.jp/article/2002/03/09/4283.htmlさらにさらに追い打ちをかけるように致命的な問題が見つかってしまった。すいません。見つけたのは、編集部です。もちろん BUGTRAQ にも投稿しました。ベリサイン Secure Site に偽装の脆弱性 安心のマークが不安のマークに!http://scan.netsecurity.ne.jp/article/2002/03/09/4282.htmlベリサイン「Secure Site シール」の問題点 プログラムの設計方針に初歩的問題?http://scan.netsecurity.ne.jp/article/2002/03/11/4284.htmlここまで来るとベリサインの人も「うちに恨みでもあるのか?」と怒鳴りたくなるだろう。さらにさらに追い打ちをかけるように、当時編集部と提携関係にあったイスラエル Beyond Security の SecuriTeam が追加の検証を行い、その結果を6月28日に自社サイトに掲載、その後 BUGTRAQ に投稿した。 BUGTRAQ には、7月4日に掲載された。というわけで世界的に知れ渡ってしまった。Falsifying a VeriSign Seal (Japan)http://www.securiteam.com/securitynews/5IP0Q2A7FK.htmlちなみにこの問題は、日本ベリサインだけでしか発生しない。本社から日本ベリサインがなんと言われたのかあまり想像したくない。それ以来、当社の営業がベリサインさんのお邪魔すると、「うちとは昔いろいろあったみたいですね」と耳打ちされるようになった。5年くらいは、この挨拶が続いたような気がする。ベリサインは一例にすぎず、それ以外にもマクロメディア(現在はアドビ)の製品の脆弱性の発見などを行ってまたまた嫌われたような気がする。マクロメディアの脆弱性を日本のスタッフは全く内容を理解できず、アメリカの開発チームと直接連絡を取り合った。それでもしまいには「現象を再現できない」というので、脆弱性のある製品で構築したサイト(全く関係ない第三者のサイト)を改竄するコードを送って「これを動かすとわかる」と言ったら、返事が来なくなり、しばらくしてから日本のスタッフから改修したと連絡があった。コードは一時的に表示を改竄するだけで、すぐに元に戻るものだったので、深刻な問題はなかったはずだが、真っ正直にそれを実行した開発担当者はさぞかし驚いたのだろう。コードの中身をチェックすればわかる人にはわかるはずだが、「現象を再現できない」なんて言ってる人にはわかるはずがない。こちらも BUGTRAQ に投稿し、CVE にも掲載された。(原 隆志 / 取材・文:一田 和樹)
