新・闘わないプログラマ No.119

不正アクセス?


PlayStation.comの顧客情報流出について巷ではいろいろと話題になっているようです。事件の概要は、もう皆さんご存知のことと思いますけど、そうでない方は、こちらのページでもご覧下さい。
件のサイトには「お客様情報への不正アクセスの件」なるお詫びというか、いいわけというか、なんか載っていますけど、おいおいおい、ちょっと待った…「不正アクセス」って、いったい何だよ。
さまざまな情報を総合すると、客が注文の確認かなんかをするためのページを表示するURLに受注番号がそのまま入っていて、そこを適当な番号に変えると他人の情報が見える、ということらしいですね。でも、これって「不正アクセス」なの?
その「お詫び」から引用しまてみます。

3月1日 17時頃に、当社のウエブサイト上で問題の存在を認識。(他人の受注番号を使っての不正なアクセスがなされた痕跡を確認)

聞いた話だと、どこかの掲示板で情報が流れたらしいですね。でも「他人の受注番号を使っての不正なアクセス」ったって、パスワードによる認証すら無くて、単にURLを書き換えただけで(書き間違えだってあるだろうし)、よくまあ「不正アクセス」とまで言えますねえ。

17時22分にこの方法によるアクセスを防ぐ措置をとる。(既に不正アクセスは防止されております。)
その後、直ちに合同の対策本部を設置し、不正にアクセスされたお客様のデータおよび不正アクセス者の特定およびシステム全体のセキュリティ の再検証を開始。

「合同の対策本部」の「合同」って何? それより上の部分を読んでも、どことどこの合同なのか、全く分からないのですけど。システムは日本IBMが作ったという報道があったので、多分IBMとの合同、という意味なのでしょうけど、ここで具体名も出さずに「合同」なんて書くのは…ねえ。余計なことまで書いちゃって、かなり焦っていたようですね。
それはともかく、あくまで「不正アクセス者」と言い張るつもりかいな?

20時にアクセスログ収集のための解析プログラムの作成を開始。
3月2日午前0時から、サイトオープンからのアクセスログの収集および不正アクセスログの洗い出しを開始。
5時に上記作業完了。不正アクセスの対象となったお客様の総数と不正アクセス者の総数の絞りこみが完了。その後引き続き不正アクセスログ から不正アクセスユーザーの洗い出しに着手。

はいはい、徹夜でお仕事、ご苦労様です。
「不正アクセスユーザーの洗い出しに着手」って、おお怖い。URLを打ち間違っただけでも「不正アクセスユーザー」になってしまうんですね。私なんか、いちいちマウスを使って「コピー・ペースト」やるのが面倒で、よくURLを直接打っちゃうし、これまたよく打ち間違うのですけど、打ち間違ったURLのページに秘密な情報があったりしたら、私も晴れて「不正アクセスユーザ」の仲間入り。

一方、システム全体のセキュリティの再検証に関しては、
3月2日 午前3時に日米専門検証チームによるインフラおよびアプリケーションに到る全システムのセキュリティホールの総点検を実施。

おおカッコいい、「日米専門検証チーム」ですか。なんたって、あの「ハッカー」(笑)の本場、アメリカの専門家も入った専門チームですもんねー、すごいですねー。
しかし午前3時ですか、お仕事とは言え、たいへんでしたね。あ、差し入れは出来ませんでしたけど、お疲れ様でした。

6時30分に論理検証終了。ここで今回の問題が、お届先データを取り扱うアプリケーションの不備によるセキュリティホールであることが 確認されました。

ううむ、「セキュリティホール」と言うか、セキュリティそのものが無いと言った方がいいのでは無いでしょうか。家の、道に面したところに透明なでっかい窓を付けておいて、しかもカーテンも吊るさずにおきながら「中を覗かれた」と言って騒いでいるとでも言うか…。
そもそも何のセキュリティも施していないんだから、覗かれたって、それは自業自得じゃないか、と思うわけで……こんなんを「セキュリティホール」と呼んだら、セキュリティホールに失礼ですね :-)

15時に不正アクセスされたお客様および不正アクセス者の特定作業を終了し、不正アクセスの可能性があるお客様への事実の通知とお詫びのご連絡をしております。
また不正アクセス者への対応の検討を開始しています。

「不正アクセス者への対応」ねえ……ケーサツにでも被害届を出すんでしょうか? だいたい「不正アクセス者の特定」と言ったって、アクセスログで分かるのは、アクセス元のIPアドレスやホスト名くらいでしょうから(と言うか、それ以上の個人の特定が、一民間企業が出来るはずも無いし、出来たら、それはそれで恐い)、あとはケーサツにでも行くつもりなのかなあ、法律も出来たことだし。
でもねえ、パスワードによる認証も行わずに、それで「たまたま」アクセスが出来ちゃった、というのが不正アクセスなの? 要するに、この「お詫び」が言いたい事は、「ちょっとしたセキュリティホールがあったんだよねー。んでももう塞いじゃったから大丈夫だよー。でも、本当に悪いのは、そのセキュリティホールを突破して情報を盗んだ『不正アクセス者』なんだかんねー。そこんとこ間違えないでねー。だからウチも被害者なんだよねー」ってことでしょうか? :-)

しかし、URLをちょっと変えてアクセスしてみる、なんてのは私もときどきやるのですけど…。
たとえば、サーチエンジンかなんかで、あるページが見つかって、読んでいるうちに、そのサイトに興味が出てきて「他のページも見たいなあ」という場合とかです。でも、その(サーチエンジンで見つかった)ページに「戻る」とか「次へ」とか、そういうリンクが無かった場合など、そのURLが、例えば、
http://www.hoge-hoge.ne.jp/foo/bar/document003.html
などとなっていたら、
http://www.hoge-hoge.ne.jp/foo/bar/
とか
http://www.hoge-hoge.ne.jp/foo/
とかやって、とりあえずインデックスページのようなのを探しますし、他にも
http://www.hoge-hoge.ne.jp/foo/bar/document001.html
とやって、最初のページ(?)を探したりもしますけど、これって普通のことですよね。

ね、ね、そうですよね、皆さんもやりますよね、このくらい。お願い「私もよくやっている」と言って。私一人だけ犯罪者にしないで〜。

[前へ] [次へ]

[Home] [戻る]


mailto:lepton@amy.hi-ho.ne.jp