水無月ばけらのえび日記

マルプラクティスとは

• mal-practice
• 間違ったプラクティス
• 辞書を引くと「医療過誤」とあるが、ちょっとイメージ違うかも
• 「ベストプラクティス」の反対語みたいな感じ

マルプラクティス

●プラクティス

• Webアプリケーションに詳しくもないプログラマを丸抱え
• インハウスで開発したものの、まるでだめ
• 結果、はまる
• まるでだめ
• コピペで丸写し
• エスケープコードを丸呑み
• 業者に丸投げ
• 買ったけど電源入れてないから丸損
• 発火セーフ入れても丸腰
• やってることがまるでちがう
• でもそのことはマル秘
• 注入工具で丸出し
• 面目は丸潰れ
• 会社は丸焼け
• 社長は丸坊主
• やったやつは丸儲け
• 困る

この後、会場からも「マル」のネタがいくつか提供されましたが、メモしきれず。

最後に

最後に、以下の言葉で締めくくられました。

• 「失敗のパターンから学ぶ、成功への一筋の光」

感想

1日目の中島社長のセッションを聞いていると2倍楽しめるセッションとなりました。まあ、そうでなくても、何のことを言っているのか全く分からないという人は少なかっただろうと思いますが。

本人に直接言ってあげたほうが……と思わなくもなかったのですが、これは特定個人の問題ではないわけでして。ありがちな失敗のパターンをいかに共有していくのか、というところが課題になるでしょう。

登場シーン

謎のハミングとともに黒マスク、黒マントの人物登場。まあ、タイトルから分かると思いますが。

• 自分のハミングなら著作権侵害は大丈夫だろう

EpisodeⅠ: ハッカーの暗黒面

• 怒り、恐れ→フォースの暗黒面
• 限界を超えたくなる

• 古き良き時代: 実害がなければ良い
• 現代社会: 本当に悪いことをしていないかどうか分からない、アクセス制御の信頼性が重要

EpisodeⅡ: 匿名軍団の攻撃

• 振込詐欺救済法 (金融機関の原則との相克)
• 弁護士に言われたところで口座凍結なんて……
• 攻撃の検知と通信の秘密との兼ね合い
• 情報共有できない?
• ドグマの肥大化
• コンテンツと通信データの区別がない
• 通信データの過剰な保護
• ISPの保護者としての役割
• 攻撃トラフィック、フィッシングメール、名誉毀損メッセージetc
• 著作権制度: フランス 三振法 ISPから警告3回で遮断

感想

話の本筋とは関係ない部分ですが、officeさんの事件に関する話が微妙に不正確なのが気になりました。「アドレスバーに文字を入れた」と言われていましたが、csvmail.cgiには以下のようなコードが書かれていたので……

if ($ENV{'REQUEST_METHOD'} eq "POST") { 
    read(STDIN, $buffer, $ENV{'CONTENT_LENGTH'});
} else { 
    print "Content-type:text/html\n\n";
    print "<html>\n";
    print "<head><title>ANTI SPAM</title></head>\n";
    print "<body>CAN NOT ALLOW GET METHOD.</body>\n";
    print "</html>\n";
    exit(0);
}

GETアクセスされたら「ANTI SPAM」という謎のメッセージを表示して終了し、何も起きません。javascript: で始まる文字列を入れて POST すれば良いという話もありますが、officeさんがわざわざそんな面倒なことをしたとは思いにくいですし。

事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。

Microsoft の Security Development Lifecycle

• 「MSのSDLは重い。君たちにできることを簡単に言わないで」と良く言われる
• SD3+C = "Secure by design, by default and in development" + Communications
• 脅威モデル : バグ以外の脅威、STRIDE分析
• SDLは開発のライフサイクルではない。ウォーターフォールの中に組み込まれたり、併存する

Microsoftのセキュリティの歴史

• 1990年初頭 : シングルユーザOS、セキュリティに関する要求はあまりなかった
• 1994年 : NT3.1がマルチユーザOSとなる。セキュリティ上の脅威、ユーザを他のユーザから、プロセスを他のプロセスから守る必要
• 1998年くらいまで : 各製品チームが個別に対応していた。脆弱性が見つかったらマーケティング部門が対応
• 1997年 : 脆弱性の発見と公表が日常的に。ping of death とか INN とか phf とか
• 1998年 : MSRC設立(Security response center)。脆弱性受付のメールアドレスができる。アップデートリリース、メディア対応の一本化。内部の有志によるボランティアっぽい運営。
• Internet Security Task Force 設立、STF推奨事項、経営の関与etc
• Windows 2000 : 多くのセキュリティ機能を実装。増加するバグレポートが問題に。
• SGIP STOPPER SWIの設立(secure windows initiative)
• Windows XP : 魚を釣るかわりに魚の釣り方を教える。"PREfirst"
• 2001年 : codered/nimdaの大流行。2002年1月、有名なゲイツのメール
• first security push を .NET Frameworkに実施
• Windows Server 2003 : 予定出荷日間近に8000人の開発を停止して security push を実施
• 2004年7月から SDLの実施

まとめ

• セキュリティテストは重要だが十分ではない
• セキュアコーディングも重要だが十分ではない
• エンジニアの啓発とトレーニング etc. が必要

ソニーの製品セキュリティへの取り組み

• 家電製品のセキュリティ……被害は多発していない、対策の価値がエンドユーザに認知されていない
• セキュリティ対策のために製品の価格を上げることは許されない (多くのコストはかけられない)

ライトウェイトアプローチ (LWSSA)

• 費用対効果を高める工夫をする
• 費用対効果の大きいものから初めて、できるところまでやる
• 事後に発覚する1脆弱性につきパッチ作成費用100万円 (広報費含まず、安い事例)。131件の脆弱性を事前に発見 = 1億3000万コスト削減と考えられる
• 計画・設計～実装段階で個々に脆弱性が入り込む
• セキュリティを考慮した設計の実施、脆弱性検査→有効だが、費用対効果が悪い

• プログラマにセキュアプログラミングセミナーを実施 (4時間の座学、必修)。これにより、脆弱性の指摘内容を理解できるようになる
• 少数精鋭のセキュリティ専門組織が、ドキュメントレビューとコードレビューを行う (4ヶ月のトレーニングプログラムを受講)

ドキュメントレビュー

• 脅威分析表を準備する。簡素化したエクセルシート1枚
• 全てを見るのではなく、セキュリティに関連する部分だけ見る。これはドキュメントのほんの一部
• 気になるキーワードを見つける。たとえば、「検索ボタン」というキーワードからSQLインジェクション、XSSが連想される

コードレビュー

• 静的コード解析ツールを使い、結果を分析・整理
• 警告が脆弱性につながるかどうかを判定すると、判定コストが修正コストを上回る場合がある
• 簡単に修正できる場合は無条件に修正する

LWSSA2.0

• LWSSA1.0の限界 : 専門組織が全ての製品をチェックするのは無理。技術分野が広すぎる(ブルーレイとか)
• LWSSA2.0 では……
  • 開発者自身にセキュリティレビューを実施してもらう
  • 核技術領域の開発者にセキュリティを教える
  • 専門組織の中でセキュリティレビュアートレーニングプログラムを受ける。年間10名ほど、セキュリティレビューOJT

問答など

SDLはどのくらい大変?

• 大変です。日本にいても英語で書かないといけない。携帯の端末IDについて本国に説明したりとか……。
• 超大変。ドキュメント間の関係性とか分からない
• 「脅威分析があまりに大変で仕事にならない。ホントにやってるのか?」と聞かれたこともある。

インセンティブはあるのか?

• ない
• スキルを身につけたい人が自ら実践
• これをやっていないと製品を出せない決まり。製品が出せないということは、開発者の存在意義がなくなるということ (やらざるを得ない)

レガシーコードはどう取り扱う?

• 最近になって着手 (費用対効果が高い、現在のコードから着手)
• 古いコードは問題が出やすい、10年前のコードとかもう意味が分からない
• Windowsは互換性を重視している。「メモリリークするけど動かなくなるから仕方ない」とかコメントが書かれていたりする。:-)
• 分からないコードは入れない、ばっさり捨てる覚悟で

失ったものは?

• 楽しいプログラミング、簡単なツールの提供ができない (外には出せない)

Webアプリ開発に応用できそうか?

• できるんじゃないか
• 会社自体が数名の場合はできそう

パッチのコストの話が興味深かったが、MSでは?

• 各国語版でのテストプロセスがとても大変
• 具体的には言えない (が、高い)

感想

Webの話じゃないじゃん!

とはいえ参考になりました。「後から脆弱性が発覚してパッチをリリースする」ということになるとコストが高くつくので、事前にやっておくことでコストが抑えられる……という話は説得力があります。

MSの真似をするのは難しいでしょうが、軽量版でできるところまでやる、というアプローチは面白いですね。どこまでやるのかがポイントでしょうが……。

自転車とGREEについて

• 自転車はGIANTがオススメ
• GREEは2006年11月に携帯にシフト、携帯からのアクセスがぐんぐん増加

携帯の諸々

• Referer来ないかもしれない。auとSoftbankはおおむね来る。来ないなら来ないで統一されていれば良いものを……
• Cookieは、au来ます、Softbankは来ないかも。

Referer漏洩問題について

• そもそも他サイトにリンクしないこと。ドコモ公式では必須
• 端末不具合によって、何故かメールから叩いたURLに前のサイトのRefererが出ることが……
• セッション格納情報でチェックする? UA……Referer漏洩時点でばれている。端末固有情報?
• SIDを変えまくるという対策だと、戻ると死んだりする
• ユーザがGREEにGREEのURLを貼ることは多い (URLにはセッション追跡情報がついている)。GREEではURLをパースしてがんばっている
• 携帯ではHTMLソースは読めない? →スマートフォン経由だと読める場合があるので油断してはならない

携帯ネットワークの特徴

• 位置情報が取れる
• 課金システム
• IPアドレス帯域が固定(重要、絶対チェックした方が良い)

端末固有IDの偽装は可能か?

• 今のところ難しいようだ。ただしIPアドレス確認が必須。Softbankスマートフォン+iモードiDなどのパターンに注意
• ARP Spoofingのような手法による IP Spoofing はどうか?
• キャリアによって100%保証されているわけでもない

端末固有情報は一意?

• iモードIDは再使用されないことになっているのでユニーク
• 他の端末はどうだろう……
• メールアドレスの場合、別のユーザに再取得され得る
• SIMカードを入れ替えると別のUAからその端末情報が送られてくることがある

常識が通用しない

• パスワードは adgjmp 123456 などがほとんど
• ソーシャルハックにはとても脆弱
• 携帯の貸し借り、SIMカード貸し借り、簡単にパスワード教えたり……

凄いユーザがいる

• 総当たりフォースフルブラウジングとか普通に来る
• 8桁とかでも破られる。たとえば、着うたダウンロードのURL末尾が 1.mmf?dfX38fJu だった場合、8桁をひたすらブルートフォースでアクセスしてくるユーザがいる

質問

携帯キャリアのIPアドレス範囲のチェックはどうしているか?

アンテナでキャリアのサイトをチェックしたりして頑張っている

逆引きするのはどうか?

それは良いかもしれない

感想

質疑応答の「逆引きで見る」という話は瞬間的に「ヤバイかも」と思いましたが、高木さんが「そのDNSが安全かどうかという問題がありますが」とナイスフォロー。逆引きで判断する場合、PTRの値はそもそも信用できないのでパラノイド検査が必須になりますが、それでも大丈夫かどうかは怪しい感じがしますね。

※ちなみにパラノイド検査というのは、逆引きで得られた名前をさらに正引きして、元のIPアドレスと一致するか確認すること。

パスワードの話は興味深いですね。携帯端末からパスワードを入力するのはしんどいので、入力しやすいものをと考えると、どうしたって脆弱なものにしかなりません。普通に考えると、こまめにログアウトさせてパスワードを入れさせて……という方が安全そうですが、携帯サイトの世界では、パスワードに依存した認証は逆に危険なのかもしれません。

私の感想

「ライオン・エスケープ」ですが、楽天テクノロジーカンファレンス2007「Web開発者のための最新セキュリティ動向」で出てきた「安心クッキー」のリスペクトですね。しかし、今回の話の流れの中で出すのであれば、カカクコムで探した方が良かったのではないかと思いました。

※サウンドハウスでも良いのですが、「エスケープ」で検索しても何もヒットしなかったのです。カカクコムにはいろいろありそうです。

※「感想ってそこだけかよ!!」とつっこまれそうですが、笑いのネタは気になるので。

SSLの課題

• 利用範囲の拡大とともに発行基準が多様化、匿名でも取得可能になった。
• 一般のエンドユーザが確認することは困難 (一般ユーザがCP/CPSを読むというのは現実的でない)
• 鍵マークへの信頼を逆手にとって、フィッシングサイトに悪用されるようにもなってきた

EV SSL

• SSL証明書の発行審査基準の標準化 + 一般ユーザに分かる仕組み
• CA/Browser Forum (CABF) による EV ガイドラインの制定 (2006/10) Vista登場の2ヶ月前
• 日本企業では発行できないガイドライン (組織名は登記簿謄本に記載のものと完全に一致しなければならないとされているが、日本の場合はたいてい漢字で書かれている……)
• JCAF: 日本語版ガイドラインの作成、日本の法体系沿う運用の提案 (Appendix F)

• これまでのSSL=南京錠ひとつ
• EV SSL = 暗号:南京錠、実在証明は別途表示

審査基準

• 各社によって何を「実在」とするかが異なっていた
• 実在証明とは?
  • 法的実在
  • 物理的実在
  • 運用実在 (実際に企業活動を行っているか。海外:金融取引はあるのか、日本:帝国データバンク)
• 審査発行に関する外部監査が義務づけられている。第三者の監査法人によるチェックが入るため、例外運用が勝手にできない

課題

• 暗号アルゴリズム世代交代への対応
• 対応ブラウザの普及: 対応ブラウザがないと無意味。PCは良いが、携帯などが対応していない。実は、ブラウザの実装に関するガイドラインがない
• 日本語の取り扱い: UTF-8の文字をどう格納するのか
• 企業におけるドメインの管理: 大企業でもドメインの管理がルーズな場合が多い。ドメインの所有者とサイト管理者が異なる場合がある。これは認証局にとっても悩みのタネ、二重・三重の確認が必要。ドメインは企業の知的財産なので、ちゃんと会社で管理してください!
• 費用対効果の理解が得られるか: EV証明書は高い。普及すれば安くなるが、安くならないと普及しない。「フィッシング対策ソリューション」と比べると安いはずだが……。

暗号アルゴリズムの2010年問題

• 1024bit RSA は 2010年末までに 2048 bit に移行するべし。MD5はもちろん、SHA-1 も非推奨となる(SHA-256以降を推奨)。ただし SHA-256などはまだブラウザも対応していない
• 携帯などは1024bit のみ対応だったりする。携帯・PCふたつのサイトを立てなければならなくなる
• 移行を遅らせるべき、という提案をしている。1024bit解読には10ペタflopsが必要とされる、もう少し大丈夫。2012年まで待てば、ショボイ携帯は淘汰されて影響が最小限になると推察

質問

EV for mobile というのがあるが?

ルートがふたつある特殊な証明書。ルートの片方は1024bitのみで辿れるようになっている。おそらく日本でしか発行されていない。

Firefox3 で緑にならないのは?

原因はふたつ考えられる。

• ルート証明書の普及がまだかもしれない。
• XP と Vista で違う。Vista は EV を見つけると新しいルートを自動的に拾ってくる。XP でも何とかする技があるが、Vista の Firefox ではうまく行かないかもしれない。

私の感想

「EV SSL は高いけど、フィッシング対策ソリューションよりは安いでしょ」という話が印象に残りました。高いお金を払って使いにくいフィッシング対策を導入し、あげくそのソフトウェアが脆弱……なんて話もあったような気がしますが、ブラウザの基本機能で確認できるのが一番ですね。

Webを活用したビジネスでの心構えとは?

中島

お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう

高木

今まで2回くらい出てはいるのですが……。

2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思いつつもいろいろ説明した。

経産省からプレスリリースは出ている。IPAセキュリティセンターの取り組み、情報セキュリティ白書などもある。しかし、中島社長の耳には届いていない。

認識のある人は注意してくれるのだが、認識のない人の耳には届かないという問題がある。

高木

サウンドハウスには、SQLインジェクションを知っている技術者がいたのか。

中島

2006年の時点でも最低2人はいた

高木

カカクコムの話で「技術が大切だということを知った」と言っていた。ちゃんとやれば守れると言うこと。

穴さえなければ良いのだと言うことを知っているかどうかがキーになる。

ベンダーはソリューションを売ろうとする。ハッカーセーフは有効か。

中島

……(何も言わず)。

この後、中島社長はしばらく沈黙。

あと、どなたの発言か忘れましたが、「リアル店舗では『なんか中国人が多い』とすぐ分かるが、Webではログを監視していないと分からない」という話があって印象に残っています。

セキュリティ対策、どこまでやれば適切なのか?

高木

外注と自社でだいぶ事情が違う。外注のケース、特に自治体発注で、ロクに見ずに検収してその後脆弱性発覚ということがある。

安全な作り方のスタンダードを作れば良い。

専門技術者が評価される仕組みが必要。試験ではなく、本当のプロフェッショナルをうまく評価する仕組みが必要。

中島

戦争なんだ、道路で人が倒れている。理屈抜きで助けてほしい。免許とかどうでも良い

セキュリティ対策コストは誰が負担するべきか?

中島

行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい。

中川

セキュリティ価格は消費者に転嫁されるが、消費者には区別がつかない。

NGNだと匿名性が少なくなるのではないか。

高木

(ぼそっと)NGNはダメだと思いますが

門林

Webは利用者に労働させることで安くしている。企業側が負っていたリスクも消費者に押しつけられている。

カード会社も16桁のカード番号と数桁のパスワードという脆弱な仕組みを使い続けたいために情報を隠蔽する。今のカードシステムは考え直した方が良いのかもしれない。もう Felica に変えてしまったら?

アメリカ主導の「カード」というシステムにこだわる必要はないのではないか。そうすることでリスク負担の構造も変えられるのではないか。

高木

一般市民も勉強してほしいという話があったが、話を聞くと、どうもサウンドハウスではDBにパスワードを生で格納していたということのようだ。そのような実装は非常識。

技術的な常識を全て把握していれば何も起きないはず。そういう常識を共有できる方法はないのか。

対策はしつくした、CIO、CTOができることは?

高木

セキュリティを分かっている人材を評価する仕組みをつくる。

門林

良き翻訳者になれ。経営サイドの言葉と技術サイドの言葉を両方理解すること。

中川

PDCAサイクルが重要。常にチェック、見つけたらアクションという流れを会社のプロセスに流し込む。

中島

一寸先は闇のジャングルの中にいるという認識を持つ。光がほしい。光、ガイダンスがほしい。

山崎

対策をしつくした状態が仮にあったとしても、環境が変化したら漏れが出る。

監視、モニターが必要。中川さんのPDCAの話に同意。

私の感想

中島社長に言いたかったことを高木さんが言ってくれたので、すっきりしました。:-)

中島社長はひたすら「行政が頑張れ」という主張を展開していましたが、高木さんは「既にやっている」と反論。「サウンドハウスには、SQLインジェクションを知っている技術者がいたのか」という質問はまさに核心ですが、これに「いた」と答える社長が凄い。「じゃあ、どうしてSQLインジェクションでやられたのですか?」……という質問は出ませんでしたが、その質問をしても建設的な感じの議論にはならなそうですね。

やはり認識が大きく違うのではないか、ということを再認識させられました。

ネットライフ生命と既存の生保について

• 生保の約款は字が小さく、インクが薄く、紙が薄い
• ライフネットではダウンロードできるようにしている
• 普通の生命保険は、なんと契約しないと約款が見られない!
• 日本の保険は人件費が多い。保険の申込書をかわりに書いてくれたりもするような? (本当はやってはいけない)

企業の責任(CSR)

企業には4つの責任があるというお話。

• 経済的責任(義務) : 利益を上げる……配当金・給料・納税
• 法的責任(義務)
• 倫理的責任 : 社会から期待されていること。たとえば「機微情報は適切に扱ってくれるよね」という期待
• 社会公権的責任 : 社会からの要望

• ステークホルダーに対する説明責任がある。説明ができなければ社会に認めてもらえない、信頼を得られない企業は持続できない
• 生命保険は持続がとても大事 (10年、30年の商品であるため)。そのため、厳しい審査がある。ライフネットは戦後初の独立生保
• 情報セキュリティマネジメントは CSR への取り組みの一環として必要

• 競争の激化: カカクコムで価格比較できる。こんな事は昔はなかった。
• ビジネススピードが劇的に速くなり、チェックの時間も与えられなくなってきている
• 付加価値が競争の源泉となる時代が来ている
• 情報の価値が相対的に高まっている……ヒト・モノ・カネにプラスして情報、「情報」が第4の経営資源となる

• 企業は社会のネットワークの一部であり、社会全体の利益に貢献している
• 信用力が重要。その信用力はセキュリティ管理能力によって左右される
• 脆弱性 = 情報管理メカニズムの欠如。たとえば、トップが「売上げが低いから」とセキュリティ予算を削るのは、企業経営体質の脆弱性

対応

• 責任体制の明確化
• セキュリティガバナンスの確立

セキュリティ投資に意味はあるのか?

• 東京大学田中氏による統計的関連
• 目に見えない資産として評価される可能性がある

まとめ?

• セキュリティを通じて企業の理念を実現する
• セキュリティレベル向上による企業価値の向上

……最後に、ライフネット生命の宣伝など。この会場に来ているようなネットリテラシの高い人は、クルマで言えば給油口を自分で開けて給油できる人。そういう人向けに廉価(れんか)でシンプルなサービスを提供しているのでよろしくお願いします、というようなお話をされていました。

感想

私の感想ですが。

印象に残ったのは、「人事規則に罰則までないと責任が明確化されたとは言えない」というお話。それから、リスク分析と線引きの話でしょうか。

あとは、後のパネルディスカッションで投資額のお話が出たりしています。

導入部

最初の一言が「サイバー戦争」。「戦争」というキーワードは何度も何度も出てきます。

• サウンドハウスができてから15年、突然、攻撃を受けた
• 奇襲攻撃。あっと気がついたらやられている。実体が見えてこない
• SQLインジェクションのミサイルが飛んできている。特に中国から多数のミサイルが来ている。しかも、ミサイルは目に見えない

この「ミサイル」のくだりのスライドがまた秀逸で、会場は爆笑していました。

事件までの経緯

サウンドハウスの紹介と、事件までの経緯。

• やることはやってきたつもり。最善の対策を取れと言ってきた。
• サウンドハウスは業界では大手。30万の顧客データベースをもち、毎年1～2割の増益を継続している会社
• 2005年1月、ハッカーセーフ導入

そして話は「ハッカーセーフ」の内容に。

ハッカーセーフについて

• システム脆弱性を検知する
• 詳細レポートが送られてくる。それぞれの脆弱性は5段階評価で通知され、レベル3より高い脆弱性が検知された場合、72時間以内に対応しないとシールが剥奪される。ただし、そういう高レベルな報告が来ることはほとんど無い

なぜハッカーセーフが効かなかったのかという理由について。

• Webアプリケーションは自社開発だが、消し忘れた不要ページがあったのかもしれない (.aspが2500ほどあり、管理しきれていなかった)
• ハッカーセーフが脆弱性のあるページを見逃した可能性も考えられる。たとえば、リンク切れのページは検証できない

さらに、ハッカーセーフについての反省点の話。

• ハッカーセーフの指示で対策を講じていれば良いと思っていた (が、十分ではないと分かった)。
• 例の中国のブログ (参考:「「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた (internet.watch.impress.co.jp)」) が書かれた日のハッカーセーフレポートを見ると、レベル1の危険度のみが報告されていた
• 対策も表示されるのだが、「対策は特に必要ありません」と言われたので安心してしまった

このときハッカーセーフのレポート画面が映されましたが、そのレポートは「IISがBasic認証またはNTLM認証を許容」というものでした。これはもちろん脆弱性ではなく、「念のためお知らせ」レベルのものでしょう。要するに、何も検知されていなかったということだと思います。

情報漏洩について

情報漏洩の規模とその公表についての話。このへんからちょっと微妙な空気が流れてきます。

• 1回のアクセスで20件引き出し、それが4875回のアクセスで、掛け算して97500件の漏洩と発表
• 2007年～2008年の、新規登録者の顧客データのみが対象
• カードデータの登録は27743件
• うち、2008年の登録は4811件
• さらに、被害のほとんどはカードとサウンドハウスのパスワードが同一の場合

……何が言いたいのかイマイチ分からないまま聞いていると……。

• 実際の被害規模は、4811×8割(カードのパスワードがサウンドハウスのパスワードと同一の人の割合)×5割(攻撃成功の割合) で 1000～2000件くらいだと思う
• しかし、LACの人に「漏洩の可能性があるMAXの件数で発表するべし」という旨のことを言われたので、97,500件の漏洩と発表した

LACならずとも「漏らした側の人が言ってはダメだろう」と思いますが、後の話と総合すると、「真の被害規模が見えない」ということを仰りたかったのだと思います。話は続きます。

悩み

サウンドハウスの悩み、困ったことなど。

悩みの話は以上ですが、情報が少なくて実際のところ何が起きているのか分からない、という話が悩みのメインであるように思います。他に類を見ないプレスリリースが出ましたが、情報がなさ過ぎて本当に困っていたからこそ、自らはとにかく積極的に情報公開するという姿勢になったのかもしれません。それがやり過ぎかどうかは、まあ、議論の分かれるところでしょう。

教訓

今回の事件で得られた教訓。

……この辺、話の進行が早かったので手元のメモが漏れがちになっています。だいぶ抜けがあるかも。

セキュリティ対策の高いハードル

「日本困難で委員会」の話。スライドは「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されている画像と同じものです。

そのまんまなのですが、セキュリティ会社への提言だけメモ。

• 社会のためにデータを公表してほしい
• 他者の被害事例については、「いっぱいやられている」という話は聞くものの、公表できないと言われる
• 被害を受けた会社をなんとか説得して、被害事例を公表してほしい

今後の提言

提言はこんなところ。関連するのでここにメモしておきますが、社長は後に別のセッションで、「行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい」という発言もされていました。

結び

最後に、この言葉で締めくくられました。

• 「絶対に負けられない戦いののろしが上がった! いざ、出陣!!」

残念ながら質問タイムは無し。質問というか、言いたいことはとてもたくさんありましたが……幸い、後のセッションで高木さんがほとんど言ってくださいました。それについては別途書こうと思います。

感想

私の感想を。

まず、なんと言っても中島社長のキャラクターに圧倒されました。話がとても面白いので、また機会があれば是非、生で聞きたいと思います。メモにはあまり書いていませんが、全体を通して「お客様が困る」「お客様に迷惑がかかる」「お客様のために」と、お客様を第一に考える旨の発言をされていました。非常にまっすぐで、好感の持てる人だという印象を受けました。

ただ、話の内容に賛同できるかどうかと言われると、これはまた別の話になります。

まず、脆弱性についての認識。中島社長の認識は、「戦争」というキーワードで象徴されます。気がついたら弾の飛び交う戦場のただなかにいた……というような表現もされていましたが、「普通の人はSQLインジェクションの弾が当たっても怪我一つしない」などという認識はないでしょう。「普通にちゃんと作れば攻撃されても平気」という認識ではなく、「普通にちゃんと作っても攻撃されてしまうので、厳重な対策が必要」という認識で議論を始められているように思います。この点、多くの技術者の方とは認識が異なるのではないでしょうか。「技術が重要」と言われるカカクコムの安田さんとも対照的だと思います。

関連しますが、提言がどこか他力本願なのも気になりました。「LACだけが頼り」とか「お役所から言ってもらわないと」といった発言がありましたが、「誰かが何かをしてくれるだろう」という受け身の体勢に見えます。意地悪な見方をすれば、「単にハッカーセーフがLACに変わっただけで、本質は変わっていない」とも言えそうです。ただ、前述したように、基本的な認識の部分が違っているために「誰かに何とかしてもらわないと、自分ではどうにもならない」と感じられているのではないかとも思えますが……。

積極的な情報公開をしたい、してほしい、という姿勢には共感できる点もあり、頑張ってほしいところです。

※余談ですが、2日目の最後のセッションはほぼツッコミ大会でした。この話を聞いていなかった人にはわからなそうなネタが大量に……。

事件の経緯

まず事件の経緯の話などが出ますが、まあそれはさんざん出ているので割愛します。細かい部分で興味深い話が2点ほど。

• 改竄を把握したのは水曜。改竄部分を戻したら問題なかったようなので運営を継続したが、その後も断続的に改竄と修正を繰り返した。土曜の夕方に一旦サーバを停止。その後再開するも、土曜の夜になって改竄の頻度が非常に高くなり、改修での対応は無理だと判断して閉鎖に至った。
• 「どのくらいで復旧できるのか?」と社長に詰め寄られ、「一週間くらい」と返答 (実際には10日間の閉鎖)。

サイト閉鎖後のシステム対応

サイト閉鎖後のシステム系の対応について。

• OS、ソフトウェアの全再インストール。LACの人から、「ひそかにバックドアが残されているかもしれないので必須」というようなことを言われて実施。100～150台ほどあるサーバすべてについて、地道にCDからインストールを実施。2交代制 (朝10時と夜10時に人員入れ替え) でひたすら作業。しかし、これが完了してもすぐには動作してくれず、色々調整が必要だった。
• お店の人に値段を入れてもらう必要があるため、先にショップ側管理画面を再開。このとき負荷が高くなったりして色々あった模様。
• プログラムの見直し・強化を実施。OS、ネットワークレベルでのスキャンなどを実施。全体で約9000ものプログラムが存在しており、10日間で全体をチェックすることができなかったため、まずは価格比較部分のみ復旧。他は随時、3ヶ月ほどかけて復旧。
• ログを再確認したところ、3ヶ月～半年ほど前から予兆的なアクセスの痕跡があったことが判明。ちゃんと監視していればもっと早くに気づいていただろうということで、監視を強化。
• メールアドレスが個人情報なのかどうかは色々面倒な議論があるが、ともあれメールアドレス以上のクラスの情報は暗号化してから保存、というルールをつくって徹底。

社内の対応

社内の仕組みとして、以下のようなことを実施。

• 社長直属の情報セキュリティ室を設置
• セキュリティ委員会による外部の有識者との会議
• 社員への教育 (ガイアの夜明けDVDを社員教育に使用)
• 連絡網の整備、随時アップデートが必要。何かあったとき、判断を誰が下すのかを決めておかなければならない

ここで一番印象深かったのは、「セキュリティを第一とした企業文化の構築」という言葉。企業文化の改革が必要だったと。

対外的な対応

その他、対外的な対応。

• 当然ながら、ユーザへの対応が発生。コンテンツチームを中心に、電話・メールへ返答。
• 警察への報告は苦労したとのこと。所轄と警視庁のサイバーチーム両方の協力を得たりしながら進めるが、事件性があるかどうかは被害者側が実証しなければならないと言われた。アクセス制御機能があったことを証明しなければ不正アクセス事件として立件できない。警察にはWebサーバとDBサーバを引き渡したり、ネットワーク図なども渡したり。
• 経済産業省にも報告。「何で対策していなかったのだ」という主旨のことを厳しく言われ、もっとも厳しかった。:-)
• 株式市場への対応も行う必要があった。カカクコムはWebサイトが事業の全てなので、サイト閉鎖はすなわち商売をしていないということで、事業継続性が疑われることになる。再開が延びれば延びるほど厳しくなる。
• ショップへの対応。カカクコムに完全依存したショップが多く、「いつになったらオープンするのか」という問い合わせが多数あった。秋葉原のショップをまわりながら説明したり、暫定的に店へのリンク集をつくって対応したり。

※実際には「アクセス制御機能」ではなく「アクセス権限」と仰っていましたが、文脈からして、不正アクセス禁止法第2条3項で定義されている「アクセス制御機能」の事と思われます。

総論

• 「セキュリティ事故は、企業にとって致命的である」ということ。メールアドレス流出による被害問い合わせは事件から1年半ほど続き、謝り続けた。そのメールアドレスが本当にカカクコムから盗まれたのかどうかは分かりませんが、そうでないという証明もできないので、謝るしかない。
• 「セキュリティを守るのは技術と文化」。まず技術、たゆまぬ技術力の向上が必要、技術的な部分が大きい、技術負けしないように。ただし、技術があっても運用されなければ腐ってしまうので、マネージメント、会社としての取り組みも必要。優先度で言うと、1に技術、2に文化で、技術のほうが重要。

質問

質問の時間。情報公開しなかったことについてどう思っているのか訊きたかったのですが、武田さん (motivate.jp)がズバリの質問をしてくださいました。

で、回答ですが、「当時はそれで良かったと思っている」とのこと。ちなみに、例の「NDAを結んで情報開示」という話は20社くらい来て契約を結んだそうです。さらに、「今度あったらどうか」という質問をされましたが、それについては「インパクトや責任によって変わっていく」という、当たり障りのないご回答でした。

それから、セキュリティ投資はどのくらいしているのか、という質問が出ましたが、「カカクコムの場合は売上げの数%だが、必要なものを積み上げて行くだけ」というお話でした。

感想

最後に私の感想を。

後半で「技術」を強調されたのが印象的でした。元々Webで営業している企業だからだということもあるのでしょうが、後に話されたサウンドハウスの中島社長とは対照的です。カカクコムの人たちは「SQLインジェクション」というものが何なのか理解していて、何が必要なのかも分かっているという印象でした。

情報公開に関しては、会社の公式見解としては「正しかった」と言うしかないと思うのですが、中の人の心境としては複雑なのかもしれないなぁ、と深読みしております。