新・闘わないプログラマ No.104

情報漏洩


最近、電話会社の職員が、顧客情報を売って捕まった(罪状は窃盗罪でしたっけ?)という事件がいくつかありましたけど、まあ、実際には表面化していないだけで、ああいう犯罪ってかなりたくさん行われているのでしょうね。「電話番号から住所・氏名を調べます」という商売が結構繁盛しているようですし。
ところで、これらの事件ってみんな、電話会社の職員だった犯人が、端末で顧客情報を検索して、その内容を渡していた、というのばかりだったと思うのですけど、なんかあんまり効率のいい方法ではないなあ、などと私なんかは思っちゃったりします。
私がやるんだったら(←やらない、やらない)、そこの電話会社の顧客情報システムの開発・維持・管理を行っているところの人間に目を付けて、顧客情報のデータベース全部を持ってこさせるように仕向けますけどね。これなら、一回の犯罪(?)で、全顧客のデータが手に入るわけで、こっちの方が効率がよかったりするし……。

今は、数百MB〜数GB程度の容量のあるリムーバブルメディアっていろいろありますから、それにコピーしてしまえば、あとそれを持ち出すのは、そんなに大変じゃない。1顧客の情報が1KB程度だったとしても、ポケットに簡単に隠し持てる大きさの640MB MOには、60万人分以上もの情報が入る。厳しい会社などでは、出るときにかばんの中を検査されたりしますけど、MOの1枚くらい、いざとなれば下着の中にでも入れておけば、いくらなんでもそこまでは検査しないだろうから安全です(女性ならなお可 :-))
まあ一旦何らかのメディアにコピーしてしまえば持ち出すのはそれほど難しくないわけですし、いまどき数10GBくらいまでのデータだったらパソコンでも余裕で検索出来ますから、どちらかというと面倒なのが、それだけの量のデータをどうやってコピーするか、という方ですね。
いかに怪しまれないで、データベースの内容をコピーしたらいいでしょうか。まあ、セキュリティが甘いシステムなら、案外、本番システム(実際に運用しているシステム)と開発・テスト用のシステムとがネットワークでつながっていて、開発用のコンピュータから本番のデータベースが覗けたりすることもありますから、こんなやつだったら、そのままデータを抜いてしまうこともできます。
でも、さすがに、最近はそういうセキュリティの甘いシステムは少なくなってきていますし、もしつながっていたとしても、本番データベースに対する操作が全部ログに記録されていて、バレバレ、などということも考えられますから注意が必要です ←まあ、自分が開発にかかわったシステムなら、そんなことは先刻承知のはずで、そんなドジを踏む人間は少ないと思いますけど :-)
で、いろいろ考えたところ(←考えるなよ、んなもん)、一番簡単そうなのは、バックアップを利用することかな、と思いました。まあ、これはだれでも出来るかどうか、というのは、そのシステムの運用体制にかかっていますけど、どんなシステムでも、一定間隔、毎日とか毎週とか、でデータベースの内容をテープなどにバックアップするのが普通です。で、こいつからデータを頂いてしまおう、というわけです。バックアップしたメディアを持ち出せるようなら、それをこっそりコピーしてしまえばいいし、そうでなくても、バックアップ処理自体が終わる直前に、その処理自体を異常終了させてしまって、もう一回最初からやり直させて、バックアップテープを2本作る、なんてことも可能かも知れません。
というわけで、以上のお話を参考に、くれぐれもバレないように顧客情報を持ち出して下さい……って、ちがう、ちがう。いや、その、別に犯罪を助長しているわけじゃなくてですね、こういった危険性もあるんじゃないか、などという指摘がしたかったわけで、そもそもこの程度のことなら、この業界の人間なら誰でも思いつく程度のことなわけで……それはともかく、いったい、何でこんな話になってしまったのでしょう??

私の職場でも、顧客情報を扱っているシステムは沢山あります。どんなのがあるか、というのはもちろんお教え出来ませんけど、どんな顧客情報であれ、欲しがる人というのは必ずいます。
私が入社した頃には、こういうシステムって、どれもメインフレームで処理していました。でもって、当時は一切のセキュリティが掛かっていなかったのです。その当時は、IBMのメインフレームで処理しているものが大部分だったのですけど、このIBMのメインフレームのOSには、標準機能としてファイルのセキュリティの機能が無くて、オプションのソフトウェアを購入しないと出来ない、という代物でした。
そんなわけで、誰でもどんな情報でも見放題(恐ろしいことに書き換えも出来た)、という状況だったのですね。もちろん、ファイルフォーマットが分かっていないと、どんなデータなのか見てもよく分かりませんし、見やすい形になっているわけじゃないから、面倒ではありますけど。
まあ、いろいろあって、さすがにこれじゃあまずいだろう、ということで、今ではメインフレームでも、ファイルにアクセス制限がされれいるらしいですけど ←最近、メインフレームのシステムに絡んでいないので、よく知らない。
とにかく、さすがに最近は、情報漏洩に関しては、いろいろとうるさくなってきていますね。まあ、当然と言えば当然かも知れませんけど……でも、いろいろと穴はたくさんあるんだよなあ。上に書いたのはその一例。

私が入社して間も無い頃のことだったと思うのですけど、こんなことがありました。ある人物(♂)が、とある会社のOLたちとの合コンをやって、そのなかの一人をいたく気に入ったそうです。そのOLの勤めている会社のあるシステムをうちのところで作って運用していたのですけど、そいつは、そのシステムのデータベースから件のOLの個人情報を抜き出して……。
当時、本人はそのことを公言していましたけど、今あんなことやったら、まあクビになるのは間違い無しだよなあ。

[前へ] [次へ]

[Home] [戻る]


mailto:lepton@amy.hi-ho.ne.jp