ところで、筆者は過去にデータベース・セキュリティ・コンソーシアムという団体を立ち上げたことがあります。当時、「重要な情報はデータベースにあるのだから、そのセキュリティ対策を行うことが最終的な防御手段になるだろう」という思いがあったからです。
また、データベースというものはセキュリティ対策からは最も遠い存在でもありました。なぜなら、データベースは高速かつ安定的に動作しなければいけないために、ログを取得したりアクセスの監視をしたりすることは極力除外したい、という考えがデータベース開発者にはあるからです。現在でも、残念ながらデータベースでのログ取得は一般的にはなっていません。
特に、エラー以外のログの取得は、パフォーマンスの低下ばかりか、そのログ自身のストレージ容量が肝心のデータベース本体の容量をも上回ってしまうことも考えられるため、避けられがちです。同様に、Webアプリケーション以外で通信のログを取得することも一般的には敬遠されています。
今回筆者が推測している方法が取られた場合に、どのような不正アクセスが行われ、どのような結果が返ったかを推測するには、Webアプリケーションのログは期待できません。その前段のWebサーバの通信記録を取得するか、ネットワークのキャプチャを行わなければいけませんが、そのためには高速で膨大な通信量に対応した記憶装置が必要となります。
つまり、「停止しないこと」「確実に動作を続けること」という命題がある巨大なシステムの場合、ログは二の次にされる傾向にあるのです。今回の事件でも発表が遅れたのは、こうしたログが十分に取得されておらず、状況証拠を集めるしかなかったためと考えられます。
ただし、ここで疑問となるのは、「なぜこのような大規模な情報を盗んだか」「誰が盗んだのか」ということです。これだけの大事件に発展することは容易に想像ができたはずです。つまり、FBIその他の捜査機関が本格的に動くことが分かっていてこれだけの情報を盗み出すということは、盗む方にとっても相当なリスクのはずです。
盗んだ情報を闇市場で売りさばこうにも目立ちますし、購入した側も現金化する過程で発覚する可能性が非常に高いからです。そこで考えられるのは以下のようなケースです。
仮にソニーを困らせたかっただけであれば、情報が悪用されることはない、とも考えられますが、そのデータがそのまま闇に葬り去られるとは限りません。安易に他人の手に渡り、そこから闇市場に流れてしまう、ということも十分に考えられます。
現在ではカードを不正に使用して現金化する、ということはいとも簡単に行われてしまいます。筆者も昨年カードがネットで悪用されてしまい、オンラインでチケットを購入されてコンビニで換金された、という経験があります。
またメールアドレスとパスワードも流出しています。例えば、Webメールなどを使っていた場合、そのアカウントのパスワードと流出したパスワードが同一である確率は低いものではありません。むしろ多くのユーザーは、ゲームサイトへのパスワードとWebメールのパスワードが一致していることが考えられます。そもそも安全である、と思っていたわけですから不思議なことではありません。そこでソニーは、同一のパスワードを用いている場合には変更するようにと発表しているのです。
ソニーでは、カードの悪用は確認されていないものの、利用履歴に注意するように推奨していますが、これは極めて中途半端な注意喚起といえるでしょう。
例えていうなら、現在の状況は、リアルな生活でクレジットカードをどこかで紛失してしまった状態と同じです。もし、私がクレジットカードを紛失したことに気が付けば、すぐにカード会社に連絡してカード番号を変更するよう再発行の手続きを取るでしょう。なぜ、今回の情報流出ではそれを行わないのでしょう。
また、利用履歴をチェックするといっても、いつまでそれを続ければいいのか、いつになったら安心していいのかも注意喚起には含まれていません。さらに、不正に使用されたらその被害を誰かが弁償してくれるのか、についても触れられていません。「自分で注意してください、補償するかどうかも分かりません」という状況であれば、ユーザーの自己防衛手段としては再発行が当然といえるでしょう(編集部注:その後ソニーは、PSNサービスのセキュリティを強化した上で段階的に再開し、ユーザーに対し無料コンテンツを提供する方針を明らかにしたほか、米国の利用者に被害が発生した場合、最大100万ドルを補償すると発表した)。
私がカードの不正使用の被害に遭ったときにはカード会社が補償してくれました。しかし、各種のサービス料金の自動引き落としも行っていたカードであったので、再発行に伴って、とても面倒な手間を経験しました。このような手間への補償もどうなるのか、現時点でははっきりしていませんし、検討しているのかも公表されていません。
いずれにせよ現段階では、速やかにカードの再発行を行うことを筆者は推奨します。
今回の事件で、盗まれてしまった事実と同時に問題とされているのは、公表が遅かったことです。公表の仕方やユーザーへの告知がユーザーの気持ちを十分に考慮したものではなく、ユーザーに不安や不信感を与えてしまったことも残念に思われます。想定外の事態に備えて各所で十分なログを取得していれば、被害の全貌についても早期に明らかになったはずです。
「ゲーム機は専用機であるから安全」ともいわれてきましたが、今後はゲーム機自身だけではなく、その通信プロトコルやサーバのセキュリティ対策など、システム全体としてのセキュリティ対策を万全にしなければならない、という考え方を広める機会になるかもしれません。
筆者が懸念しているのは「今回の攻撃手法にだけ対応して終わるのではないか」ということです。つまり、問題のあったアプリケーションのみを改修してそれで終わりにしてしまう、という最悪の対応にならないか、ということです。
根本的には、アプリケーションの脆弱性がなぜ作り込まれたかを検証し、今後再発しないようにするため、セキュアな設計、コーディング、脆弱性検査などが必要になります。そのような地道な活動をセキュリティ文化として根付かせることができるのか、ということにも注目しています。
また、インターネットからのシステムばかりに気を取られるわけにもいきません。最近トレンドとなっているメールなどによる標的型攻撃への対応や、社員の使っているソーシャルネットワークからのハッキング、内部犯行、ソーシャルエンジニアリングなど、全方位で対策を行わないと、結局「弱いところが狙われる」「対策しにくいところが狙われる」という原則から考えて十分な対策とはいえないからです。
この件に関しては、これからも新たな事実が公開されていくことでしょう。動向を見守っていきたいと思います。
PSN Hacked――問題の根はどこに?
Page1
史上最大規模の個人情報漏えい事件
「ゲーム機からのアクセス」のみを前提としていた?も
Page2
ログが取得できていれば……
ユーザーの自衛策として「カードの再発行」を
目先の対症療法に終わらせるな
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.