======================================================================編集部はご難続き SCAN編集部騒動記(1) 幻の事件たち− もちろん、本稿の内容はすべて架空のものです。お間違えなきよう −======================================================================●SCANの情報公開原則ご存じない方も多いと思うが、当編集部には情報公開原則というものが存在する。これはネット上でも公開されているだけでなく、毎号マガジンの末尾にURLも記載されている。昨今いろいろ情報公開に関して関連法規などとの整合性はまったく考慮していないので、じゃっかん心配だったりする。「改ざん情報」とか「セキュリティホール情報」など、そのまますぐに公開するとヤバイ情報についても公開基準を掲載したものである。編集部は基本的にこの原則にのっとってヤバイ情報の掲載判断を行っている。しかしながら、この原則はスポンサー企業からお金をいただいている企業とは思えないような内容になっているため、さまざまな問題をまきおこすことがある。●世間話に終わった致命的なセキュリティホール編集部では独自にセキュリティホールの検証を行うことがたまにある。世間の基準とは異なる基準でこれぞと思ったセキュリティホールが世の中で稼動しているサーバにどれくらい放置されているかを調べるのである。不正アクセス禁止法などが施行されているご時勢にヤバイ話しである。 Scalperワームに感染する可能性の自治体ドメインリストを総務省に提供 (2002.7.12) http://old.netsecurity.ne.jp/article/1/5932.html 地域コミュニティサービス「COOL ONLINE」の会員データ1万件以上が外部 閲覧可能な状態に (2001.4.24) http://old.netsecurity.ne.jp/article/1/2022.html 不正中継対応の進む自治体、行政府サーバ(2002.4.11) http://old.netsecurity.ne.jp/article/1/4754.html編集部には日本国内のホストに関するDBがあった。セキュリティホールが発見された際に、どれくらいの規模の影響があるのか、調べようと思えば、ほぼ瞬時にわかった。なので、一時期はよく総務省さんに危険なリストなどを提供していた。余計なお世話といえばそうなのであるが、一般公開されているサーバに致命的な問題がある以上、知らん顔しているのも問題であろう。>> 当事者と業者 素人管理者のヒステリー反応とはいえ、その活動最近はほとんどやっていない。そもそも編集部のような民間がやることでもないし、世間の風当たりも想像以上に強くなってきたためである。こういう大きなお世話をすると、危険だと名指しされた自治体も気分を悪くするし、自治体がシステムを外注している業者はさらに気分を悪くするものなのである。でもって気分を悪くした業者はセキュリティ業界団体の会合で「あいつらは悪質なクラッカーの集まりだ」などとのたまうので、ただでさえ狭い世間が余計に狭くなってしまうのである。でも、こういう方々はいってみれば素人さん。ヒステリックに反応したり、恫喝したりしなくても編集部が事実確認できないようにすれば、記事にはできず、調査や取材は徒労に終わる。プロは余裕をもって、編集部の努力を徒労にしてくれる。>> プロ管理者は茶のみ話でお茶を濁す昨年もご紹介したが、最終的な事実確認がとれなかったために、公開していない事件やセキュリティホールなどはたくさんある。ヒステリックに反応された場合は、逆に事実確認しやすいことが多く、問題の公開ができていることが多い。逆に公開できなかったケースでは、相手がしたたかで話しをしても茶のみ話で事実をうまく隠されてしまう。そうなのである。ざっと思い出せるだけでも生命保険会社のネットワークの一部が完全にのっとり可能になっていたとか、超大手教育産業某社のネットワークに侵入可能なセキュリティホールが放置されていたとか、枚挙にいとまがない。このどちらのケースもあまりに見事に穴が開いていたので、データの盗聴や盗難などがあったか、なかったかすら検証しようがない状況だった。侵入者は完璧に足跡を消すことが可能だったのである。わかるのはせいぜい侵入して、なにかをやった痕跡を消去したということくらい。相手もプロなのである。ただ、責任者がプロだって無数のプロジェクトの詳細まで把握しているわけではない。たったひとりのたった1回の設定ミス、情報伝達の遅れがセキュリティホールになってしまっただけなのである。なので、事態が判明した場合の対応はおそらく的確ですばやいし、どの情報がわからなければ事実確認できないということもよーくわかっているに違いない。だからなにかがあったことはわかっても、記事にできるような情報確認ができないのである。昔の「噂の真相」だったら欄外に1行で「***でネットワークがのっとり可能な状態のセキュリティホール。最悪、契約者全員の個人情報が盗まれた危険。」と書くんだろうなあ。お茶を濁されたからといって実力行使して確認(自分で侵入してしまう!)してしまったら、クラッカーと同じことになってしまう。それも方法論としてはありなのかも知れないが、媒体を運営する編集部としてはナシ。そんなことをはじめたら情報や知恵を収集して発信するのではなくて、自ら情報=事実=犯罪を作り出すことになってしまう。わかっていても記事にできないのはもったいないというか、つらいところである。もちろん、ほとんどの大手媒体は警察やお上から情報をもらうか、自ら情報=事実を作り出して記事を作っている。「やらせ」は枚挙にいとまがないし、それは国内媒体に限ったことではない。>> あいつらのサーバからは個人情報が漏洩していたんですよ!>> なんでうちだけとりあげられるんですか!とある業者さんの事件を編集部が記事にした際、当事者の会社の広報さんから電話があった。わざわざ広報ほぼ全員で当社においでになって、記事についての苦言と今後の対応についてのお願いをされてしまった。もちろん、記事そのものは事実に即しているので、先方としてはそれをやめろとかはいえない。しかし、編集部の書き方があまりにひどかったので、いったいなんで、そこまでひどい書き方をするのか、真意と今後どのように記事にしてゆくのかを確認したかったということである。特に広報担当としては以前に同業他社で事件があった際よりも扱いがひどいように思えて、納得いかなかったのであろう。今から考えると、確かに、書き方がひどかったような気もしないでもない。素直に謝っておこう。ごめんなさい。こういう時、編集部は相手を刺激しないように、紳士的といえば聞こえがいいが、のれんに腕押しの対応をしている。相手の話は一応全部聞いて、その場で結論はいわないけど、こっちは記事を下げたり、変えるつもりはありませんよということを言外に伝えるのである。先方の言い分と愚痴もひととおり聞いて話しも終わって、帰り際に先方のひとりが思わず「あいつらのサーバからは個人情報が漏洩していたんですよ! なんでうちだけとりあげられるんですか!」とつぶやいた。あいつらとは、同業他社=ライバル会社のことだ。あの事件では個人情報漏洩の裏がとれなかったけど、やっぱりそうだったのか!と思ったけど、やはり事実確認できないので記事にできなかった。残念。でもそのライバル会社もその事件を編集部がすっぱぬいた(編集部だけがその事件に気がついていた)おかげで上場延期になったみたいだから、それなりに痛い教訓にはなったと思うのである。
