2005年6月2日(木曜日)
カカクコム CEO インタビュー
価格.comのサイトにはこんなのが出ていますね。「株式会社カカクコム - 企業情報 投資家の皆様へ (www.kakaku.com)」。
事件に関しましては現在警察の捜査中ということもあり、お話出来ない事もございます。
各種報道などで一部私どもの真意が伝わっていない報じられ方がなされておりますが、当社が今回の事件を通じて数多くの方々にご迷惑・ご心配をおかけしたことは事実であり、そしてそのことを重く受け止めております。
以上、株式会社カカクコム - 企業情報 投資家の皆様へ より
その一方で、こんなのが出ています……「当社が不正アクセスの手口を公開しない理由」,カカクコムの穐田CEO」 (itpro.nikkeibp.co.jp)。これはやっぱり、ちょっと理解しがたい内容です。
具体的な手口が話題になりすぎると,いわゆるプロのクラッカーではない,一般の人まで面白半分で始めてしまうのではないかと恐れた。
これを読むと、「いわゆるプロのクラッカーではない,一般の人」が「面白半分で」実行できるような簡単な方法でクラックできたのだと解釈できてしまいます。これは、実際にそうだったのかもしれませんね。具体的な exploitコードが公開されれば、誰でもすぐに他のサービスに応用できるようなものだったのかもしれません。
しかし、そもそも具体的な exploitコードを公開してほしいと思っている人がいるのでしょうか? 少なくとも私は、
- OS や Web サーバのセキュリティホールによるもので、最新のパッチを適用していても防げないものだったのか?
- ウェブアプリケーションの脆弱性 (たとえば SQL インジェクション) だったのか?
といったあたりに Yes / No で答えていただけるだけでだいぶ安心できる (あるいは、逆に他人事ではないと分かる) ので、これだけでも公開してほしいと思っています。これらに Yes / No で答えたからといって「いわゆるプロのクラッカーではない,一般の人」が「面白半分で」何かをすることが出来るとはとうてい思えないのですけれども、そんな最低限の情報すら公開されていないのですよね。
もちろん,侵入手口を公開し,皆で情報を共有すれば今後の不正アクセス対策に役立てられることは理解している。だが,仮に手口を公開した場合,その対策を取るまでに企業側はどうしても時間がかかる。万全なセキュリティ体制を固めるまでに,最低でも数日,場合によっては数カ月かかるだろう。
だからこそ、多くの人が早期の情報公開を望んでいるのでしょう。情報が早く公開されれば、早く対応を始めることができ、早く対応が終わります。対応に時間がかかるなら、なおのこと早く対応を始めたいと思うでしょう。情報が公開されなければ、いつまで経っても何の対策も出来ないままですし……。
半面,クラッカーの方は手口を知ってしまえば,すぐに攻撃をしかけられる。同じ情報を知った場合,企業とクラッカーでは対応時間が圧倒的にクラッカーに有利。だからこそ,情報公開について慎重にならざるを得なかった。
ここで言う「クラッカー」って、どういう人を想定しているのでしょうか。今回は実際に悪意をもって攻撃を行った人が存在していると考えられるのですが、その人が別のサイトをターゲットにするとか、別の人にこっそり手口を教えるといった可能性は考えなくて良いものなのでしょうか。現状は、クラッカーは既に情報を持っていて、しかしながら防御側はまだ情報を持っていないという状態だと思うのですが……。
ただ,同じセキュリティ会社から,セキュリティ対策のレベルは決して低かったわけではないと指摘された点も付け加えておきたい。だが実際に不正アクセスを許した以上,これまでの対策では甘い部分があった。
うーん、これは微妙ですが、
- サーバはそれなりにちゃんと管理していたし、ちゃんと OS のパッチも当てていた
- しかしウェブアプリケーションの脆弱性が放置されていた
という状況を評価したものだと解釈すると、いちおう矛盾無く理解できますね。そうであってほしいですが。
……まあそれはさておき、引用が前後しますが
「なんだか危ないからサイトを閉鎖しよう」と言うのは簡単。だが,多くのユーザーや当社で店舗を運営している会社を考えると,おいそれとサイトを閉鎖するのは難しかった。さらに,すぐに閉鎖すれば,不正アクセスの犯人を調子づかせてしまうことにもなる。ただ,結果としては裏目に出てしまった点は否めない。
この点が非常に重要ですね。この手のサイトでは閉鎖は金銭的な損失に直結しますから、個人の責任で閉鎖の判断をするのは非常に難しくなります。
昨日の某所でもこれが話題になりましたが、このような自体を想定した緊急対応マニュアルを整備しておく必要がありそうです。こういう事態が発生したときに、すぐにサイトを閉鎖するという判断が出来る (閉鎖の判断をしなくてはならない) ようなルールを整備しておくことで、少なくとも「サイト閉鎖が遅れて被害を拡大させた」というような事態は避けられるのではないか、というお話になりました。
カカクコムの対応はツッコミどころ満載ですし、情報も出てこないので苛立ちますが、それでも出来るところはありますので、そういうところから実践して行きたいですね。
- 「カカクコム CEO インタビュー」にコメントを書く
- 前(古い): 2005年6月1日(Wednesday)のえび日記
- 次(新しい): 2005年6月3日(Friday)のえび日記