水無月ばけらのえび日記

導入部

最初の一言が「サイバー戦争」。「戦争」というキーワードは何度も何度も出てきます。

• サウンドハウスができてから15年、突然、攻撃を受けた
• 奇襲攻撃。あっと気がついたらやられている。実体が見えてこない
• SQLインジェクションのミサイルが飛んできている。特に中国から多数のミサイルが来ている。しかも、ミサイルは目に見えない

この「ミサイル」のくだりのスライドがまた秀逸で、会場は爆笑していました。

事件までの経緯

サウンドハウスの紹介と、事件までの経緯。

• やることはやってきたつもり。最善の対策を取れと言ってきた。
• サウンドハウスは業界では大手。30万の顧客データベースをもち、毎年1～2割の増益を継続している会社
• 2005年1月、ハッカーセーフ導入

そして話は「ハッカーセーフ」の内容に。

ハッカーセーフについて

• システム脆弱性を検知する
• 詳細レポートが送られてくる。それぞれの脆弱性は5段階評価で通知され、レベル3より高い脆弱性が検知された場合、72時間以内に対応しないとシールが剥奪される。ただし、そういう高レベルな報告が来ることはほとんど無い

なぜハッカーセーフが効かなかったのかという理由について。

• Webアプリケーションは自社開発だが、消し忘れた不要ページがあったのかもしれない (.aspが2500ほどあり、管理しきれていなかった)
• ハッカーセーフが脆弱性のあるページを見逃した可能性も考えられる。たとえば、リンク切れのページは検証できない

さらに、ハッカーセーフについての反省点の話。

• ハッカーセーフの指示で対策を講じていれば良いと思っていた (が、十分ではないと分かった)。
• 例の中国のブログ (参考:「「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた (internet.watch.impress.co.jp)」) が書かれた日のハッカーセーフレポートを見ると、レベル1の危険度のみが報告されていた
• 対策も表示されるのだが、「対策は特に必要ありません」と言われたので安心してしまった

このときハッカーセーフのレポート画面が映されましたが、そのレポートは「IISがBasic認証またはNTLM認証を許容」というものでした。これはもちろん脆弱性ではなく、「念のためお知らせ」レベルのものでしょう。要するに、何も検知されていなかったということだと思います。

情報漏洩について

情報漏洩の規模とその公表についての話。このへんからちょっと微妙な空気が流れてきます。

• 1回のアクセスで20件引き出し、それが4875回のアクセスで、掛け算して97500件の漏洩と発表
• 2007年～2008年の、新規登録者の顧客データのみが対象
• カードデータの登録は27743件
• うち、2008年の登録は4811件
• さらに、被害のほとんどはカードとサウンドハウスのパスワードが同一の場合

……何が言いたいのかイマイチ分からないまま聞いていると……。

• 実際の被害規模は、4811×8割(カードのパスワードがサウンドハウスのパスワードと同一の人の割合)×5割(攻撃成功の割合) で 1000～2000件くらいだと思う
• しかし、LACの人に「漏洩の可能性があるMAXの件数で発表するべし」という旨のことを言われたので、97,500件の漏洩と発表した

LACならずとも「漏らした側の人が言ってはダメだろう」と思いますが、後の話と総合すると、「真の被害規模が見えない」ということを仰りたかったのだと思います。話は続きます。

悩み

サウンドハウスの悩み、困ったことなど。

悩みの話は以上ですが、情報が少なくて実際のところ何が起きているのか分からない、という話が悩みのメインであるように思います。他に類を見ないプレスリリースが出ましたが、情報がなさ過ぎて本当に困っていたからこそ、自らはとにかく積極的に情報公開するという姿勢になったのかもしれません。それがやり過ぎかどうかは、まあ、議論の分かれるところでしょう。

教訓

今回の事件で得られた教訓。

……この辺、話の進行が早かったので手元のメモが漏れがちになっています。だいぶ抜けがあるかも。

セキュリティ対策の高いハードル

「日本困難で委員会」の話。スライドは「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されている画像と同じものです。

そのまんまなのですが、セキュリティ会社への提言だけメモ。

• 社会のためにデータを公表してほしい
• 他者の被害事例については、「いっぱいやられている」という話は聞くものの、公表できないと言われる
• 被害を受けた会社をなんとか説得して、被害事例を公表してほしい

今後の提言

提言はこんなところ。関連するのでここにメモしておきますが、社長は後に別のセッションで、「行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい」という発言もされていました。

結び

最後に、この言葉で締めくくられました。

• 「絶対に負けられない戦いののろしが上がった! いざ、出陣!!」

残念ながら質問タイムは無し。質問というか、言いたいことはとてもたくさんありましたが……幸い、後のセッションで高木さんがほとんど言ってくださいました。それについては別途書こうと思います。

感想

私の感想を。

まず、なんと言っても中島社長のキャラクターに圧倒されました。話がとても面白いので、また機会があれば是非、生で聞きたいと思います。メモにはあまり書いていませんが、全体を通して「お客様が困る」「お客様に迷惑がかかる」「お客様のために」と、お客様を第一に考える旨の発言をされていました。非常にまっすぐで、好感の持てる人だという印象を受けました。

ただ、話の内容に賛同できるかどうかと言われると、これはまた別の話になります。

まず、脆弱性についての認識。中島社長の認識は、「戦争」というキーワードで象徴されます。気がついたら弾の飛び交う戦場のただなかにいた……というような表現もされていましたが、「普通の人はSQLインジェクションの弾が当たっても怪我一つしない」などという認識はないでしょう。「普通にちゃんと作れば攻撃されても平気」という認識ではなく、「普通にちゃんと作っても攻撃されてしまうので、厳重な対策が必要」という認識で議論を始められているように思います。この点、多くの技術者の方とは認識が異なるのではないでしょうか。「技術が重要」と言われるカカクコムの安田さんとも対照的だと思います。

関連しますが、提言がどこか他力本願なのも気になりました。「LACだけが頼り」とか「お役所から言ってもらわないと」といった発言がありましたが、「誰かが何かをしてくれるだろう」という受け身の体勢に見えます。意地悪な見方をすれば、「単にハッカーセーフがLACに変わっただけで、本質は変わっていない」とも言えそうです。ただ、前述したように、基本的な認識の部分が違っているために「誰かに何とかしてもらわないと、自分ではどうにもならない」と感じられているのではないかとも思えますが……。

積極的な情報公開をしたい、してほしい、という姿勢には共感できる点もあり、頑張ってほしいところです。

※余談ですが、2日目の最後のセッションはほぼツッコミ大会でした。この話を聞いていなかった人にはわからなそうなネタが大量に……。