つい最近、筆者は不幸にしてインシデントの被害者&発見者になってしまった。自分のメールアドレスを含む大量のアドレスが、ネットに漏えいしていたのだ。漏えいしている企業に、通報しようかとも思ったが、あまりにも低レベルな問題なので「サイバーノーガード戦法」で逆切れされる危険性もありそうだった。こういう時に、いったいどういう行動をとるのが、安全、安心なのか、今回は「サイバーセキュリティ賢者の選択」を考えてみた。繰り返すが、このケースでは筆者は自分のアドレスが流出している被害者なのである。以下、空想の会話。サイトの人「どうやって、インシデントを発見したんですか?」筆者「自分のメールアドレスをgoogleで検索したら、ヒットしたんです」サイトの人「そのような閲覧は、私どもでは想定していません。想定していないアクセス方法は、不正なアクセスと判断させていただきます」筆者「ええっ、だって、検索しただけですよ」サイトの人「私どもは、私どもサイトに規定したアクセス手順にのっとって、アクセスしていただくことを前提にしています。また、その手順にのっとっていただいた場合には、必要なセキュリティ措置はとっております。お問い合わせのような想定していない閲覧は、私どもの用意したアクセス手順に従わず、セキュリティ措置を回避するものです。したがって、不正アクセス禁止法に抵触しているといわざるを得ません」筆者「ええっ」参考「サイバーノーガード戦法」 https://www.netsecurity.ne.jp/7_12386.html http://ja.wikipedia.org/wiki/サイバー・ノーガード戦法 だめだ、怖くて直接連絡なんかできるわけがないじゃないか、ということで、自分のアドレスが流出しているのに、該当サイトには連絡できない。しかしこれは、賢い人間のやることじゃない。「サイバーセキュリティ賢者の選択」とはいえないだろう。 そういえば、xxx(誤字ではありません、伏せ字です)という組織が、インシデントや脆弱性情報に対応している。よし、そっちに問合せしてみるか、いや待て、シミュレーションしてみよう。以下、シミュレーション。筆者「あれ? 通報する時に、通報者の個人情報を全部明らかにしないといけないの?」xxx(伏せ字の通報先)「個人情報は厳密に管理し、当該サイトなど第三者に公開する場合は、必ず事前にご本人の確認をとります」筆者「サイト側が不正アクセスだといって、警察に通報するとかいってきたら、どうするんですか?」xxx「必要な法的手続きがとられていた場合、調査協力することは国民の義務と理解しております」筆者「それって、通報者を保護しないっていってるんですよね?」xxx「繰り返しになりますが、通報者の方の個人情報は厳密に管理いたします。ご指摘の警察への調査協力については、特殊な事態ですので、状況を鑑みた上で、適切に対処したいと思います」筆者「いや、不正アクセス禁止法は『私が犯罪だと思うものすべてが犯罪です』って言ってる法律ですよね? メールでウイルスつきのスパムメールを受信しただけで、ウィルスの保持という罪状で逮捕できる法律ですよね? あらゆる人間活動を犯罪として立件可能って言われてませんか?」xxx「本件については、これ以上、お話ししても平行線だと思います。他にご質問はございますか?」筆者「サイトは、ちゃんと対応してくるんですよね?」xxx「問題のあったサイト様には連絡いたしますが、改善を強制する権限は私どもにはありません。したがって、連絡した後はサイト様のご判断ということになります。もちろん、改善が望ましいということはお話しいたします」筆者「はあ、えーと、こういう問題があったということは、発表するんですか?」xxx「あくまで統計情報として、件数などは公表します。個別の案件ついての具体的な内容は公表いたしません」筆者「だいたい、どれくらいで対応するものなんですか?」xxx「サイト様によって異なるので、一概にはいえませんが、おおよそ70日前後くらいの時間を要するようです」筆者「ええっ、今、現在、情報流出しているのに、2ヶ月以上かかるの?」だめ、全然だめだ。「サイバーセキュリティ賢者の選択」じゃない。ほんと、不正アクセス禁止法ってどうしようもないな。[筆者註:不正アクセス禁止法が「私が犯罪だと思うものすべてが犯罪です」「あらゆる人間活動を犯罪として立件可能」というのは、デフォルメのある表現ですので、誤解なきようお願いいたします。パソコンもしくはネットを利用しているすべての人に等しく犯罪者になるチャンスを提供する法律という表現というのはアリかも知れません。ウイルスつきのメールの受信やウイルスつきファイルをもらってしまうことは、かなり多くの人が経験していますから、条文でウイルスの保持が違法と規定されている以上、この表現はそれほどはずれていないような気がします。なお同様の記述は、同法の他の条文にもあります。その意味では、包括的にネットおよびパソコン利用者を対象にできる法律といえるでしょう。] となると、残るは民間のセキュリティ関連企業に、かわりにサイトに連絡してもらって、対処を促す方法くらいか…しかるべき企業から連絡があれば、筆者のような無名&無力の個人が連絡するよりは、対応が良いだろう。 そこで、先日、Scanの記事にあったような記事をブログに掲載してみた。発見した事件や脆弱性の通報先 誰か受け取って! http://netsecurity.blog77.fc2.com/blog-entry-6.html さっそく、コメントを複数いただいた。 なお、ブログを見ていただくとコメント数が1となっているが、これはこの1件のコメント以外は管理者以外には見れない形でコメントしたためである。 民間企業への情報提供なら、事態が改善されるかどうかは、わからないが、通報者のリスクはだいぶ軽減されるような気がする。これこそが、「サイバーセキュリティ賢者の選択」だ。●「サイバーセキュリティ賢者の選択」は 自分だけ助かること でも、よくよく考えると、 連絡もなにもしないで 自分だけ そのサービスの利用をやめるというのが一番安全なんだよな。 「サイバーセキュリティ賢者の選択」は、あらゆる面から考えて、これに決まりだ。他の利用者の個人情報がどうなろうと知ったこっちゃない。自分の身を危険にさらしてまで、通報する必要なんかないじゃないか。今度からは、そうしよう。 筆者は、ネット利用上、利用者自身が、いろいろサイトやサービスをチェックすることは重要だと考えている。 しかし、もし、そのチェックで問題を見つけてしまった時に、どのように対応すべきか…いろいろ課題は多い。[筆者註:「サイバーセキュリティ賢者の選択」は、もちろんすべて皮肉です。ネットに限らず、すべての社会活動は、個々人が社会的責任を認識した上で行う必要があります。そうでないと、社会機能は簡単に麻痺してしまいます。自分だけ助かるなどというのは、もっての他です。] 【執筆:Prisoner Langley】【関連リンク】セキュリティコラムばかり書いているLANGLEYのブログ http://netsecurity.blog77.fc2.com/
