ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴：セキュリティクラスターまとめのまとめ 2014年7月版（2/2 ページ）

» 2014年08月11日 18時00分公開

社内のUSBメモリ管理って大丈夫!?

　この事件ですが、漏えいしたデータはデータベースの管理に関わっていた派遣社員（後に業務委託と訂正がありました）が、USBメモリを使って何度も少しずつデータを抜き出していたことが判明し、逮捕されます。犯人は普通のユーザーではアクセスできないデータにアクセスする権限を持っていたため、情報を盗み出せたようです。

　当初は被害者に賠償しないつもりに見えたベネッセですが、長期にわたりデータが抜き出されていたことを見つけられなかったというずさんな情報管理が明らかになるにつれ、態度を変化、平謝りとともに賠償の準備を行っています。

　この点に関しては、派遣社員に機密データを扱わせることに問題があるという意見が多かったです。派遣社員の待遇を改善していれば犯罪は起きなかったのではという意見もありましたが、そこそこの収入があり、ギャンブルなどによる借金返済のための犯行であることが明らかになることで、そのような意見が出ることはなくなりました。

　企業データを盗まれないように、USBメモリの接続を管理しているはずなのに、どうしてこの管理をすり抜けて、許可されないUSBメモリを社内PCに接続できたのかが、セキュリティクラスターの間では議論になりました。

　せっかくUSBメモリ接続に対し、お金出して対策ソリューションを導入したのに、すり抜けられたらまったく無駄になってしまいます。管理している側としては、気が気ではなかったようです。

　この投稿によると、USBメモリでなくデジカメやスマートフォンとして認識されると、デバイスを挿しても接続が拒否されないという製品がいくつかあり、ベネッセはそうした製品を採用していたのではないかという意見が出ていました。

　今回の事件では、日本で発売されている多数のUSB接続管理ソリューションには穴があるかもしれないことが明らかになり、頭を抱えた人も多かったのではないでしょうか。

証明書をPinningしないって脆弱性？

　GmailのiOSアプリで証明書のPinningを行っていないため、中間者攻撃による通信傍受の恐れがあるという報道が2014年7月14日にありました。それに関連して、アプリケーションが「Pinningを行わないこと」は脆弱性なのかといった議論が活発に行われました。

　証明書のPinningとは、アプリケーションが通信を行う認証局（CA：Certification Authority）が正しいものかをチェックするため、アプリケーション内に証明書情報を組み込んでおくという仕組みです。スマートフォン向けのアプリではこの仕組みを使っているものが多くありますが、Pinningしていないことが脆弱性だと言いきるべきどうかは意見が分かれました。

　認証局が偽造証明書を発行していることも多いので、「Pinningは必要だ」という意見だけでなく、「仕組みがあるとよいけど脆弱性として騒ぐのは大げさではないか」という意見、「特定の相手としか通信を行わないスマートフォン向けのアプリで、そもそも通信相手の認証管理を認証局に委託するのはどうか」という意見、「Pinningによって第三者が通信内容が見られないようになることもあり、通信内容をチェックしたい側からすると困ることもある」といった、さまざまな意見が出ていました。

　また、スマートフォンアプリにおいては、Webの世界では脆弱性といわれないようなものまで脆弱性として扱われることがあるというツイートもありました。

　この他にも、7月のセキュリティクラスターはこのような話題で盛り上がっていました。8月はどのようなことが起きるのでしょうね。