2005年05月29日(日) 11時09分
相次ぐ不正アクセス——「納得いく説明」なしにユーザーの不安は消えない(ITmediaエンタープライズ)
5月中旬以降、価格.comをはじめとして、ITmediaで把握しているだけでも少なくとも6つのWebサイトが不正アクセスを受けてWebページを改ざんされ、ウイルスを実行するような仕掛けが施されていたことが明らかになった。
たまたまメディアで報道されたため注目が集まり、いかにも被害が頻発しているように見えるだけだ、という見方をする人もいるかもしれない。しかし、わずか2週間足らずの間にこれだけのケースが浮上してきたことを考えると、今回不正アクセスを受けたサイトと似たような環境で運用され、被害を受ける恐れのあるWebサイトが他にも数多く存在している可能性は高いと考えたほうが妥当だろう。
一連の不正アクセスで問題なのは、Webサイト運営者はただWebサイトを改ざんされる「被害者」であるだけでなく、アクセスしてきたエンドユーザーに被害を及ぼす「加害者」の立場にもなってしまうという点だ。もちろん、こうした攻撃を仕掛けてきた人物が最も非難されるべきであることは間違いない。だがだからといって、Webサイト側もみすみす犯罪者に手を貸していいわけがない。
そしてもっと問題なのは、先にも触れたとおり、同様の立場に立たされる恐れのある——アクセスしてくるユーザーに被害を及ぼす恐れのある——Webサイトがほかにも存在する可能性があることだ。
となると、今われわれが最優先で考えるべきは、刑事責任の追求や各運営者のセキュリティ対策の不備を「叩く」ことではないように思う。同様の被害を防ぎ、ユーザーが安心してインターネットを利用できるようにするために、事実を共有し、それに基づいて可能な対策を施していくことではないか。
●「類似の犯罪を防ぐ」ためにこそ説明を
それには前提として、一連の不正アクセスについて、どんな環境で何が原因となり、いったい何が起こったのか、技術的に見て納得のいく「説明」が必要だろう。「できる限り」といった抽象的な表現にとどまらない合理的な説明がなければ、ユーザーが安心感を得ることはできない。
一連の事件を耳にして不安を抱いているであろう心あるサイト管理者も、何をどうしたら被害を防げるかが分からず頭を悩ませているのではないだろうか。カカクコムではNDA(秘密保持契約)を結ぶことで事実を開示するとしているが、被害を未然に防ぐことを第一に考える場合、あまり現実的な方策には思えない。
もちろん、何から何まですべてを明らかにする必要はない。だが、カカクコムの会見や他社の返答のように「警察による捜査の都合上」「類似の犯罪を防ぐため」といった理由で「詳細は明らかにできない」の一点張りでは、同種の攻撃を防ぐ役には立たない。またユーザーが感じている不安感も打ち消されるどころか、むしろ不審の念を高めるだけだろう。
脆弱性情報やセキュリティ情報についてはこれまでも、「悪用を防ぐため詳細な情報は明らかにすべきではない」という意見と、「ユーザー保護を念頭において情報を積極的に開示し、共有すべきだ」という2つの見方が対立し、揺れ動いてきた。
それぞれうなずける点はあるが、1つ指摘しておきたい。報道を耳にして「類似の犯罪を仕掛けよう」などと考える輩は、たとえ当事者が情報を明らかにしなくとも、検索その他の手段によって詳細を知ろうとするし、現にそうしてきたという事実だ。
そもそも、一連の不正アクセスがありふれた手口によるものならば、いまさら隠し立てしたところで類似の犯罪を防げるとは思えない。逆に、できる限りの対策を施していてもなお防げないような未知の高度な攻撃ならば、なおさら注意喚起が必要ではないか。
一連の事件を通じて、ひょっとすると、企業側のセキュリティやプライバシーについての理解や意識は、ユーザー側のそれに追いついていないのではないかとも感じた。頻発している個人情報の漏えい/紛失事件への反応を見てもそうだが、ユーザーは企業が思う以上に、情報の漏えいやセキュリティに対して敏感になっている(ゾンビ化したPCを放っておくユーザーがまだたくさんいることも否定はできないが……)。
確かに、一連の事件における各社の情報提供は、過去に比べると非常に迅速かつ丁寧に見えた。Webページでの情報公開やウイルス対策ベンダーへのリンク、こまめな更新はこれまでに見られなかったもので評価に値するし、こちらからの質問にも夜遅い時間まで対応してくれた点には感謝したい。
しかし、肝心の「納得できる説明」がなければそれも無意味だ。情報漏えいやセキュリティインシデントに限らずさまざまな事件にいえることだが、被害者および被害を受ける可能性がある人々が欲するのは「ありのままの事実」である。
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ) - 5月29日11時9分更新
http://headlines.yahoo.co.jp/hl?a=20050529-00000002-zdn_ep-sci