[Analysis]
価格.comは被害者か、加害者か?
2005/05/24
商品比較サイト「価格.com」が5月14日にWebサイトを一時閉鎖した。当初は23日にサービス再開予定だったが、1日遅れの24日に再開すると発表された。今回の事件で最も重要なのは、改ざん後に同サイトを訪れたユーザーはウイルスに感染してしまう可能性があった点だ。果たして、価格.comは被害者なのだろうか。
現時点で分かる範囲での事件の経緯は以下のとおりだ。5月11日の11時ごろ、価格.comの運営会社であるカカクコムは、価格.comのWebサーバが何者かに侵入され、特定のプログラムが改ざんされたことに気付いた。その時点で同社は警察と相談したうえで、犯人の侵入経路や手法を探るため、改ざんされたプログラムを手作業で修復して様子を見ていたという。
しかし、14日から攻撃頻度が上がり、手動で対応し切れなくなったためにサイトを一時閉鎖した。この11日(もしくはそれ以前)から14日までに価格.comを閲覧したユーザーは、ウイルスに感染するWebサイトに気付かないうちに転送されてしてしまい、そのサイト経由でウイルスに感染している可能性がある。また、不正アクセスによって、価格.comで提供しているサービス「お知らせメール」に登録してある2万2511件の電子メールアドレスが、外部に漏えいしたことも判明している。
今回の事件で特に問題だと思われるのは、不正アクセスに気付いた11日時点でサイトを閉鎖しなかった点だ。カカクコムによると、価格.comは1日1000万ページビューあるため、サイトを閉鎖しなかったことによって、約4000万回もユーザーをウイルス感染の脅威にさらしたことになる。もちろん、不正アクセスは違法であり、不正アクセスを受けたことに関して、カカクコムは被害者だ。しかし、同社を信頼し訪れたユーザーをウイルス感染の危険にさらした行為は、ユーザーの信頼を裏切るものではないだろうか。
約4日間にわたって様子見をした背景には、「犯人の侵入経路や手法を探りたい」といった警察の意向や、「価格.comに情報提供している販売店に迷惑を掛ける」というカカクコムのビジネス上の意思があったと推測される。また、同社は価格.comのサーバに対して、「最高水準のセキュリティを施していた」と説明している。しかし、同社の説明からは、サイトが改ざんされた際に“瞬時に(少なくとも手動よりは早く)”改ざん前の状態に復帰できるセキュリティ装置や、不正侵入があった際に侵入者を仮想サーバへ誘導することで、侵入を防いだり、侵入者を“泳がせたり”できるハニーポットという装置は導入されていなかったと思われる。
自動で改ざんを修正する装置やハニーポットが導入されていれば、侵入者はおとりサーバへ誘導されるか、もし本番サーバに到達したとしても瞬時に元の状態に戻るため、サイトの改ざんは難しい。高度なスキルを持つ攻撃者であれば、そのような環境下でも侵入や攻撃を成功させる可能性はあるが、少なくとも、ユーザーをウイルス感染の危険にさらす可能性は減っただろう。
インターネットは公開されたインフラであり、常にウイルスや不正侵入などの脅威にさらされているため、“自己責任”が基本だ。しかし、Yahoo!を代表とした大手サイトに対しては、「まさかウイルスに感染させられることはないだろう」と信頼して訪れているユーザーがほとんどだろう。一方で、大手サイトになればなるほど、攻撃の標的にされる可能性は高くなる。大手サイトは、大きくなっていく「ユーザーの信頼」や「攻撃の脅威」のバランスを取ってユーザーの信頼に応えるべく、セキュリティ対策の強化を日々実施しているはずだ。
今回の事件では、この「攻撃の脅威」と「実施していたセキュリティレベル」のバランスが崩れてしまった結果起きたという印象を受けた。インターネット上に限らず、現実世界でも一度失った信頼を取り戻すのは難しい。価格.comが今後どのようにして、信頼回復していくか注目して見守りたい。
情報をお寄せください:
最新記事
 |
|
|
|
|
