編集部はご難続き SCAN編集部騒動記(1) 幻の事件たち | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.21(月)

編集部はご難続き SCAN編集部騒動記(1) 幻の事件たち

特集 特集

======================================================================

編集部はご難続き SCAN編集部騒動記(1) 幻の事件たち
− もちろん、本稿の内容はすべて架空のものです。お間違えなきよう −

======================================================================

●SCANの情報公開原則

ご存じない方も多いと思うが、当編集部には情報公開原則というものが存在する。これはネット上でも公開されているだけでなく、毎号マガジンの末尾にURLも記載されている。
昨今いろいろ情報公開に関して関連法規などとの整合性はまったく考慮していないので、じゃっかん心配だったりする。

「改ざん情報」とか「セキュリティホール情報」など、そのまますぐに公開するとヤバイ情報についても公開基準を掲載したものである。
編集部は基本的にこの原則にのっとってヤバイ情報の掲載判断を行っている。しかしながら、この原則はスポンサー企業からお金をいただいている企業とは思えないような内容になっているため、さまざまな問題をまきおこすことがある。

●世間話に終わった致命的なセキュリティホール

編集部では独自にセキュリティホールの検証を行うことがたまにある。
世間の基準とは異なる基準でこれぞと思ったセキュリティホールが世の中で稼動しているサーバにどれくらい放置されているかを調べるのである。不正アクセス禁止法などが施行されているご時勢にヤバイ話しである。

 Scalperワームに感染する可能性の自治体ドメインリストを総務省に提供
 (2002.7.12)
 http://old.netsecurity.ne.jp/article/1/5932.html
 地域コミュニティサービス「COOL ONLINE」の会員データ1万件以上が外部
 閲覧可能な状態に (2001.4.24)
 http://old.netsecurity.ne.jp/article/1/2022.html
 不正中継対応の進む自治体、行政府サーバ(2002.4.11)
 http://old.netsecurity.ne.jp/article/1/4754.html

編集部には日本国内のホストに関するDBがあった。セキュリティホールが発見された際に、どれくらいの規模の影響があるのか、調べようと思えば、ほぼ瞬時にわかった。なので、一時期はよく総務省さんに危険なリストなどを提供していた。余計なお世話といえばそうなのであるが、一般公開されているサーバに致命的な問題がある以上、知らん顔しているのも問題であろう。


>> 当事者と業者 素人管理者のヒステリー反応

とはいえ、その活動最近はほとんどやっていない。そもそも編集部のような民間がやることでもないし、世間の風当たりも想像以上に強くなってきたためである。こういう大きなお世話をすると、危険だと名指しされた自治体も気分を悪くするし、自治体がシステムを外注している業者はさらに気分を悪くするものなのである。
でもって気分を悪くした業者はセキュリティ業界団体の会合で「あいつらは悪質なクラッカーの集まりだ」などとのたまうので、ただでさえ狭い世間が余計に狭くなってしまうのである。
でも、こういう方々はいってみれば素人さん。ヒステリックに反応したり、恫喝したりしなくても編集部が事実確認できないようにすれば、記事にはできず、調査や取材は徒労に終わる。プロは余裕をもって、編集部の努力を徒労にしてくれる。


>> プロ管理者は茶のみ話でお茶を濁す

昨年もご紹介したが、最終的な事実確認がとれなかったために、公開していない事件やセキュリティホールなどはたくさんある。
ヒステリックに反応された場合は、逆に事実確認しやすいことが多く、問題の公開ができていることが多い。
逆に公開できなかったケースでは、相手がしたたかで話しをしても茶のみ話で事実をうまく隠されてしまう。
そうなのである。
ざっと思い出せるだけでも生命保険会社のネットワークの一部が完全にのっとり可能になっていたとか、超大手教育産業某社のネットワークに侵入可能なセキュリティホールが放置されていたとか、枚挙にいとまがない。このどちらのケースもあまりに見事に穴が開いていたので、データの盗聴や盗難などがあったか、なかったかすら検証しようがない状況だった。侵入者は完璧に足跡を消すことが可能だったのである。わかるのはせいぜい侵入して、なにかをやった痕跡を消去したということくらい。
相手もプロなのである。ただ、責任者がプロだって無数のプロジェクトの詳細まで把握しているわけではない。たったひとりのたった1回の設定ミス、情報伝達の遅れがセキュリティホールになってしまっただけなのである。
なので、事態が判明した場合の対応はおそらく的確ですばやいし、どの情報がわからなければ事実確認できないということもよーくわかっているに違いない。
だからなにかがあったことはわかっても、記事にできるような情報確認ができないのである。昔の「噂の真相」だったら欄外に1行で「***でネットワークがのっとり可能な状態のセキュリティホール。最悪、契約者全員の個人情報が盗まれた危険。」と書くんだろうなあ。

お茶を濁されたからといって実力行使して確認(自分で侵入してしまう!)してしまったら、クラッカーと同じことになってしまう。それも方法論としてはありなのかも知れないが、媒体を運営する編集部としてはナシ。そんなことをはじめたら情報や知恵を収集して発信するのではなくて、自ら情報=事実=犯罪を作り出すことになってしまう。
わかっていても記事にできないのはもったいないというか、つらいところで
ある。
もちろん、ほとんどの大手媒体は警察やお上から情報をもらうか、自ら情報=事実を作り出して記事を作っている。「やらせ」は枚挙にいとまがないし、それは国内媒体に限ったことではない。


>> あいつらのサーバからは個人情報が漏洩していたんですよ!
>> なんでうちだけとりあげられるんですか!

とある業者さんの事件を編集部が記事にした際、当事者の会社の広報さんから電話があった。わざわざ広報ほぼ全員で当社においでになって、記事についての苦言と今後の対応についてのお願いをされてしまった。
もちろん、記事そのものは事実に即しているので、先方としてはそれをやめろとかはいえない。しかし、編集部の書き方があまりにひどかったので、いったいなんで、そこまでひどい書き方をするのか、真意と今後どのように記事にしてゆくのかを確認したかったということである。
特に広報担当としては以前に同業他社で事件があった際よりも扱いがひどいように思えて、納得いかなかったのであろう。
今から考えると、確かに、書き方がひどかったような気もしないでもない。素直に謝っておこう。ごめんなさい。
こういう時、編集部は相手を刺激しないように、紳士的といえば聞こえがいいが、のれんに腕押しの対応をしている。相手の話は一応全部聞いて、その場で結論はいわないけど、こっちは記事を下げたり、変えるつもりはありませんよということを言外に伝えるのである。
先方の言い分と愚痴もひととおり聞いて話しも終わって、帰り際に先方のひとりが思わず「あいつらのサーバからは個人情報が漏洩していたんですよ! なんでうちだけとりあげられるんですか!」とつぶやいた。
あいつらとは、同業他社=ライバル会社のことだ。あの事件では個人情報漏洩の裏がとれなかったけど、やっぱりそうだったのか!
と思ったけど、やはり事実確認できないので記事にできなかった。残念。
でもそのライバル会社もその事件を編集部がすっぱぬいた(編集部だけがその事件に気がついていた)おかげで上場延期になったみたいだから、それなりに痛い教訓にはなったと思うのである。
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×