「事故」と「カッコ悪い事故」
地方都市在住の元SE、2児の母です。
「こりゃどうにも防げなかった」
後からそう思えるようなセキュリティ事故も、あるっちゃ、ある。
少ないけど。
でも、
「完全に防げたよねぇ」
というような事故もあって、これは非常にカッコ悪い。
本質的には、セキュリティ事故を評価する時にカッコ良さって軸はないんだけどさ。
ブログで曖昧に評価する時には便利な言葉だったりする。
これ。
2016/4/28 に発表された
エイベックスグループのサイトへの不正アクセスと、個人情報漏洩。
これ、いつやられたのかなぁ。
伏線は前からあって、
【セキュリティ ニュース】日テレに不正アクセス - 最大43万件の個人情報が漏洩した可能性(1ページ目 / 全1ページ):Security NEXT
日テレが 2016/4/20 13:00 頃に攻撃を受けて漏洩。
【セキュリティ ニュース】J-WAVEに不正アクセス - ゼロデイ攻撃で個人情報が流出した可能性(1ページ目 / 全1ページ):Security NEXT
J-WAVEが 2016/4/21 0:00〜3:00 に攻撃を受けて漏洩。
【セキュリティ ニュース】「Movable Type」のスマホ表示対応プラグインに深刻な脆弱性 - ゼロデイ攻撃も(1ページ目 / 全1ページ):Security NEXT
両案件の原因となった「ケータイキット for Movable Type」の脆弱性のパッチがアイデアマンズから公開されたのが 2016/4/22。
ココまでに起こった攻撃が、いわゆる「ゼロデイ攻撃」。
脆弱性が見つかってから、対応策が提供されるまでの間に起こった攻撃だ。
これは、「仕方ない」と言える系。
さらに、アイデアマンズは 2016/4/23 に脆弱性を解消したバージョンを公開し、バージョンアップを推奨している。
エイベックスは、いつ、攻撃を受けたのだろうか。
その辺りの情報が、ちょっと見つからない。
公式発表にも載っていない。
対策チームが云々と書いてあるので、そのうち追加リリースされることだろう。
仮に、
パッチが出るまでの期間にゼロデイ攻撃を受けていたとするなら、
攻撃を防げなかったのは「仕方ない事故」だろう。
しかし、他の案件に比べ発見が遅れたのだとしたら、
それは「カッコ悪い」。
発見していたが発表が遅れたのだとしたら、
これもやはり「カッコ悪い」。
パッチが出ているのを知っていて、
対応を後回しにしている間にやられたとしても、
「宿題やりなさい!」「今やろうとしてた!」的な感じで、
そこそこ「カッコ悪い」。
さらに、
脆弱性情報を知らずに脆弱性を放置して攻撃を受けていたとするなら、
これが一番「カッコ悪い」。
そう思ってしまう。
とはいえ、
Security Next や JVN iPedia をチェックするのが日課、
と言う人は少数派だろうし、
一連の漏洩事故をカッコ悪いと思う人も少数派だろうから、
そんなに気にする事じゃないのかもしれない。
がんばれエイベックス。
あと、
脆弱性情報とパッチが出たから、委託先に対応依頼をしていたんだけど、委託先の内部事情が hogehoge してて追いつかずに攻撃うけてしまった
とか
脆弱性対策も含めて委託しているから責任は委託先にある
とかの展開もあるかもしれないが、
これらはなんとなく「いたたまれない」。
ちなみに、個人情報の取扱を委託する場合、
委託先の選定や監督に対して責任があり、これは逃れられるものではない。
いついかなる時も、
漏洩事故は対岸の火事ではない
脆弱性は遠い世界の話ではない
という意識でいないといけないなと思った。