パスワードは変更しない方が良いのか？：セキュリティクラスタ まとめのまとめ 2018年3月版（2/3 ページ）

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

IPA、排他制御を行わず情報漏えい

　サイバーセキュリティ関連の幅広い情報を公開していることや情報処理の資格試験を運営していることで、セキュリティクラスタの人たちによく知られているIPA（独立行政法人情報処理推進機構）。3月13日に情報漏えいを起こしたことを発表し、話題になります。

　セキュリティ対策を発信している組織が情報漏えいするなんてけしからん、という意見も多くありました。しかし、それよりも情報漏えいを起こした理由に注目が集まります。同じ時間に2人のユーザーが同時にIPAからファイルのダウンロードを行った際、両方のユーザーの情報がダウンロードできたというのです。

　これは同時に複数箇所からアクセスが行われた際の「排他制御」と呼ばれる処理が甘かったとき起きる障害で、レースコンディションとも呼ばれています。

　タイムライン（TL）では、排他制御のような基本的なことに気を遣っていないのはどうかとレベルの低さを問題視する人がいる一方、完全な排他制御は難しい、テストでは同時にアクセスすることが少ないので見つからなかったのかもしれないという意見もありました。

　とはいえ他の人の情報が見えてしまうならともかく、どうしてお互いの情報が両方ファイルに記載されてしまったのかという疑問があり、それに対してもたくさんの意見がツイートされていました。

　情報処理試験を運営しているIPAが起こした事件なので、今回の漏えい事件に関する問題が出題されることを期待するツイートもありました。